فا

‫ اخبار

صفحات: «« « ... 50 51 52 53 54 »
نتایج جستجو براساس برچسب: «گزارشات تحلیلی»
وضعيت امنيت در سه ماهه اول 2010
IRCRE201004030
شركت امنيتي PandaLabs در گزارشي كه به تازگي منتشر كرده است، به بررسي وضعيت امنيتي جهان در سه ماهه اول سال 2010 پرداخته است. در زير خلاصه اي از اين گزارش را مطالعه مي كنيد. هيچكس شك ندارد كه اكنون بدافزارها بيش از هميشه در حال گردش در اينترنت هستند. چند سال پيش، زماني كه از گسترش نمايي خطرات اينترنتي صحبت مي شد، كاربران اين موضوع را باور نمي كردند. امروز اين مساله نه تنها يك واقعيت اثبات شده است، بلكه جرائم اينترنتي به سرعت در حال رشد هستند. يك مثال از اين روند، botnet جديد Mariposa است كه بدون شك يكي از مهمترين وقايع سه ماهه گذشته است. اكنون ما مي دانيم كه اعضاي گروهي موسوم به DDP كه پشت اين botnet قرار دارند، با استفاده از مجموعه اي از ابزارها (packer ها، obfuscator ها و غيره)، از شناسايي اعضاي اين botnet توسط آنتي ويروس ها جلوگيري كرده اند. بدافزارهاي دريافت شده در آزمايشگاه هاي Panda در طول اين سه ماهه مي توانند به صورت زير دسته بندي گردند:



تروجان ها همچنان اسلحه اصلي مجرمان اينترنتي به شمار مي روند، كه بيشترين درآمد را از طريق سرقت هويت يا سرقت جزئيات حساب هاي بانكي و يا كارت هاي اعتباري به دست مي آورند. تروجان­ها 61 درصد از كل بدافزارهاي توليد شده در سه ماهه اول سال جاري را تشكيل داده اند. دسته بعد ويروس ها هستند كه به تنهايي بيش از 15 درصد بدافزارها را تشكيل مي­دهند. جالب اينجاست كه اين دسته كه عملا از محدوده بدافزارها حذف شده بودند، دوباره بازگشته و اكنون از ساير انواع بدافزارها نيز عبور كرده اند. در اين سه ماهه ما شاهد خرابكاري هاي متعددي توسط ويروس هاي پيچيده اي مانند Sality و Virutas بوده ايم. البته ممكن است اين تحرك مجدد ويروس ها براي جلب توجه شركت هاي توليد كننده آنتي ويروس و دور كردن تمركز آنها از ساير خطرات باشد. تبليغ افزارها در رده سوم بدافزارهاي اين سه ماهه قرار گرفته اند كه حدود 14 درصد بدافزارها را تشكيل مي دهند. اين دسته شامل برنامه هاي خرابكاري مانند فريب افزارها يا آنتي ويروسهاي جعلي و تقلبي است، كه از نخستين ظهور خود در دو سال پيش، رشد كرده اند. علت وجود اين دسته از بدافزارها نيز مانند تروجا ها صرفا مالي است. پس از اين سه دسته، كرم ها با 8.7 درصد، و جاسوس افزارها با 0.29 درصد قرار دارند. به نظر مي آيد كه فروش جزئيات عادات اينترنتي كاربران ديگر چندان مورد علاقه سارقان اطلاعات نيست. دسته بعدي نيز كه در مجموع 1 درصد از كل بدافزارها را تشكيل ميدهند، شامل ريسك­هاي امنيتي، PUP (برنامه هايي كه به طور بالقوه ناخواسته هستند)، و ابزارهاي هك مي­باشد.

توزيع جهاني بدافزارها

در اين بخش نگاهي به چگونگي توزيع بدافزارها در سراسر جهان و وضعيت كشورهاي مختلف خواهيم داشت. نمودار زير داده هاي به دست آمده توسط ابزار آنلاين ActiveScan 2.0 را نمايش مي­دهد. اين سرويس به تمامي كاربران اجازه مي­دهد كه به صورت رايگان، سيستم­­هاي خود را به شكل آنلاين اسكن نمايند و آنها را در مورد آلودگي­هاي احتمالي بررسي كنند.
در اين نمودار شما مي­توانيد كشورهايي را كه داراي بيشترين درصد آلودگي هستند مشاهده نماييد:




اين نمودارها در مقايسه با آخرين سه ماهه سال 2009، كاهش درصد آلودگي در تمامي اين كشورها را نشان مي­دهد. بيشترين كاهش آلودگي در اسپانيا مشاهده شده است، كه درصد آلودگي در آن حدود 12 درصد كاهش داشته است. پس از آن مكزيك با 6 درصد كاهش، و ايالات متحده با 3 درصد كاهش آلودگي قرار گرفته اند. در ساير كشورها كه درصد آلودگي پايين­تر بوده است، كاهش اين آلودگي نيز در حدود 1 درصد بوده است.
در تمامي اين كشورها، تروجان­ها گوي سبقت را از ساير تهديدات امنيتي ربوده اند:




درصد تروجان ها در تمامي كشورها چيزي در حدود 50 درصد از كل بدافزارها را تشكيل مي دهد، كه اين موضوع، نشان دهنده علاقه مجرمان اينترنتي به اين دسته از بدافزارهاست كه نوعا براي سرقت اطلاعات مورد استفاده قرار مي گيرند. در اسپانيا و مكزيك، ويروس ها حدود 15 درصد از آلودگي ها را تشكيل مي­دهند. اين دسته در اسپانيا رده دوم بدافزارها را به خود اختصاص داده اند.

هرزنامه ها

هر روزه صندوق هاي ايميل كاربران به وسيله حجم زيادي از هرزنامه ها پر مي­شود. اين هرزنامه ها به شكل هاي مختلفي اعم از متن ساده، HTML، تصوير، فايل PDF و حتي MP3 هستند. كلاهبرداران اينترنتي به طور مداوم از ايده هاي جديد براي فريب دادن فيلترهاي ضد هرزنامه و عبور از اين فيلترها و در نهايت گول زدن كاربران استفاده مي كنند. در ماه فوريه، Twitter و YouTube به عنوان كانالهايي براي توزيع هرزنامه هدف مهاجمان اينترنتي قرار گرفتند. ابتدا پيغامي در Twitter منتشر شد كه شامل يك لينك بود. اين لينك به يك صفحه YouTube واقعي اشاره مي­كرد، و در واقع اين خود YouTube بود كه پيغام هرزنامه را به همراه داشت، و براي وب سايتي تبليغ مي كرد كه ظاهرا، روش هاي پولدار شدن آسان را ارائه مي­داد. هرزنامه هاي سنتي همچنان بسيار مورد استفاده اند، و آمارهاي جهاني نشان دهنده اين موضوع هستند كه روزانه هزاران ميليون پيغام هرزنامه در سراسر جهان ارسال مي­شود. اكنون اغلب هرزنامه ها از طريق botnet ها توليد مي­شوند. سيستم­هايي كه مورد سوء استفاده قرار گرفته و اين botnet ها را تشكيل مي دهند، در سراسر جهان پراكنده اند.
همانطور كه نمودار زير نشان مي دهد، منشاء 70 درصد از هرزنامه هاي ارسال شده در ماه­هاي ژانويه و فوريه، فقط 10 كشور بوده اند:




و نمودار زير نيز نشان مي دهد كه چه كشورهايي پشت اين هرزنامه ها قرار دارند:



برزيل مهمترين منشاء هرزنامه ها در جهان بوده و حدود 20 درصد از كل هرزنامه هاي سراسر دنيا از اين كشور ارسال مي­شود. پس از آن، كشورهاي هند (با 10 درصد)، ويتنام (با 8.76 درصد)، كره جنوبي (با 7.72 درصد)، و ايالات متحده (با 7.54 درصد) قرار گرفته اند. ساير كشورهاي دنيا نيز در مجموع كمتر از 4 درصد كل هرزنامه هاي جهان را توليد كرده اند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
گزارش تحليل رفتار نوجوانان هكر
IRCRE201004031


چند درصد از نوجوانان به موضوع هك علاقمند هستند؟ چند درصد آنها واقعاً دست به هك مي زنند؟ اهداف مورد علاقه هكرهاي نوجوان چيست؟ آيا دختران بيشتر از پسران هك مي كنند؟ انگيزه آنها از دست زدن به چنين اعمالي چيست؟ شركت فناوري هاي Tufin كه يكي از شركت هاي پيشرو در زمينه راه حل هاي مديريت امنيت است، تحقيقي را در اين زمينه بر روي نوجوانان انجام داده است. تحقيق مذكور بر روي 1000 دانش آموز آمريكايي در نيويورك و 1000 دانش آموز بريتانيايي در لندن انجام شده است. نتايج تحقيقات مذكور شباهت ها و تفاوت هاي جالبي را در رفتار هك دو جمعيت مورد مطالعه نشان مي دهد. تحقيقات Tufin نشان مي دهد كه اين دو گروه از لحاظ شيوه هك و محل وقوع آن متفاوت از هم عمل مي كنند. در حالي كه تنها 27 درصد دانش آموزان انگليسي تمايل دارند از خانه خود دست به اعمال غيرقانوني هك بزنند، 51 درصد دانش آموزان نيويوركي مشكلي را در انجام هك از طريق رايانه خانگي نمي بينند. از طرف ديگر 22 درصد نوجوانان لندني از طريق كافي نت ها دست به هك مي زنند، در حالي كه تنها 6 درصد نوجوانان آمريكايي تمايل به هك از طريق كافي نت ها دارند. همچنين 21 درصد و 28 درصد نوجوانان انگليسي و آمريكايي از طريق مدارس دست به هك مي زنند كه حدود 20 درصد آنها در هر دو گروه اين كار را از طريق دستگاه يك نفر ديگر انجام مي دهند. جالب است كه 70 درصد دانش آموزان آمريكايي هكرها را مجرم مي دانند و عقيده دارند كه بايد توسط قانون مورد مجازات قرار گيرند، در حالي كه تنها 53 درصد همتايان آنها در لندن هكرها را مستحق مجازات دانسته اند. نكته جالب در نتيجه تحقيق اينست كه نه تنها پسران، بلكه دختران نيز تمايل زيادي براي هك كردن دارند. 29 درصد كساني كه در اين تحقيق تصديق كرده اند كه حداقل براي يك بار دست به هك زده اند، دختران بوده اند. همچنين 34 درصد افراد مذكور در سن 13 سالگي و 52 درصد بين 14-16 سالگي دست به هك زده اند.
در زير نتيجه تحقيقات مذكور به صورت خلاصه آورده شده است:
  • نوجوانان آمريكايي كمتر هك مي كنند و بيشتر قرباني هك مي شوند. در عين حال نوجوانان آمريكايي بسيار كمتر از همتايان انگليسي خود، در هك كردن و تشخيص هك موفقند.
  • فيس بوك هدف اول هكرهاي نوجوان در آمريكا (20%) و انگليس (27%) است.
  • نفوذ به ايميل دوستان هدف دوم هك در بين نوجوانان آمريكايي (6%) و نوجوانان بريتانيايي (18%) است.
  • 29 درصد هكرهاي نوجوان دختران هستند.
  • 80% نوجوانان آمريكايي تا قبل از سن 13 سالگي، براي هك تلاش كرده اند. اين ميزان در بين نوجوانان انگليسي 44% بوده است.
  • انگيزه اصلي هكرهاي نوجوان، سرگرمي (54%) و كنجكاوي (30%) است.
  • 14% از نوجواناني كه دست به هك مي زنند با هدف خرابكاري اين كار را انجام مي دهند و 7 % آنها مي توانند از اين طريق درآمد كسب كنند. همچنين 6% آنها، هك را به عنوان روشي براي پيدا كردن شغل مناسب در آينده مي دانند.
  • در انگلستان از هر چهار نوجوان يكي از آنها (26%) دست به هك مي زند و از هر سه نوجوان يكي از آنها (36%) هك مي شود.
  • در آمريكا، از هر شش نوجوان يكي از آنها (16%) دست به هك مي زند و از هر دو نوجوان يكي از آنها (50%) هك مي شود.
  • 18% دانش آموزان انگليسي و با كمال تعجب 30% دانش آموزان نيويوركي هك را امري آسان دانسته اند.
  • 51 % نوجوانان آمريكايي از خانه خود دست به هك مي زنند.
تحقيق مشابهي نيز قبل از اين توسط پاندا انجام شده كه به نتايج مشابهي دست يافته بود. در آن تحقيق 67 درصد نوجوانان پذيرفته بودند كه حداقل يك بار تلاش كرده اند دست به هك بزنند. اكثر آنها از روي كنجكاوي، سعي در نفوذ به حساب كاربري دوستان خود در فيس بوك، توئيتر و يا خدمات ايميل داشته اند.
مديرعامل فناوري هاي Tufin در اين زمينه مي گويد:
" فرقي نمي كند هك بر عليه دارايي هاي معنوي يك شركت، حساب بانكي يا صفحه فيس بوك انجام شود، وظيفه ما به عنوان افراد فعال در زمينه امنيت فناوري اطلاعات، جلوگيري از ادامه فعاليت هكرها است. ما بايد به كودكان و نوجوانان خود آموزش دهيم كه مهم نيست كه آنها در انجام هك تمايل به آزار كسي ندارند، بلكه دسترسي غير مجاز به دارايي هاي آنلاين افراد يا شركت ها نادرست و غير قانوني است. اين مسئله نه تنها به علت پيشگيري از هك در آينده بسيار مهم است، بلكه آموزش به كودكان در مورد امنيت آنلاين و آگاهي دادن به آنها در مورد تهديدهاي روزافزون، خود از اهميت بالايي برخوردار است." جهت آگاهي بيشتر از چگونگي حفظ امنيت در اينترنت به مقاله هاي 1387/10/4 چهارشنبه شش راه ساده حفاظت اطلاعات در رايانه هاي شخصي و ده راه سريع براي برخورد با بدترين كابوسهاي امنيتي مراجعه فرماييد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت اينترنت در سه ماهه چهارم 2009
IRCRE201005032
شركت Akamai Technologies هر سه ماه گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر مي شود. اين شركت گزارش خود را درباره سه ماهه چهارم سال 2009، در ماه آوريل 2010 منتشر كرد. در ادامه، خلاصه اي از مهمترين بخشهاي اين گزارش را مطالعه مي كنيد.

ترافيك حمله، كشورهاي مبدأ حملات

در طي سه ماهه چهارم 2009، Akamai شاهد حملاتي بود كه از 198 كشور جهان سرچشمه گرفته بودند. اين ميزان نسبت به سه ماهه سوم كه در آن 207 كشور منشأ حملات بوده اند، كاهش داشته است. در بين كشورهاي مذكور، روسيه با 13 درصد، همچنان در صدر كشورهاي مبدأ حمله قرار دارد. كشورهاي آمريكا و چين با اشغال مكان دوم و سوم، 20 درصد حملات مشاهده شده را به خود اختصاص داده و كشور برزيل كه در دوره قبلي در جايگاه دوم جدول قرار داشت، به مكان چهارم رانده شده است. با وجودي كه ترتيب كشورهاي اشغال كننده صدر جدول در هر سه ماهه جابجا مي شود، اما تركيب 10 كشور اول مبدأ حملات، در طي سه ماهه هاي متوالي يكسان مانده است. ميزان حمله هاي صورت گرفته از 10 كشور مذكور كمي بيش از دوره پيش گشته و به 63 درصد كل حمله هاي مشاهده شده رسيده است.



پورت هاي هدف حملات

در سه ماهه مورد بررسي، حملات بر روي 10000 پورت يكتا انجام شده اند كه از اين ميان 10 پورت اول، هدف 92 درصد حملات قرار داشته اند. تعداد پورت هاي يكتاي هدف حملات، افزايش چشمگيري نسبت به دوره سه ماهه قبلي داشته است كه در آن 3800 پورت يكتا مشاهده شده بود. البته بيش از نيمي از پورت هاي مذكور، تنها به صورت اتفاقي و براي يك بار مورد حمله قرار گرفته بودند كه نشان دهنده اين است كه هدف، جستجوي پورت ها براي دستيابي به يك پورت باز بوده اند و پورتها هدف يك حمله از پيش تعيين شده قرار نگرفته اند. تعداد پورت هايي كه بيش از يك بار مورد حمله قرار گرفته اند، 4800 پورت يكتا بوده است و تعداد پورت هايي كه بيش از 10 بار مورد حمله قرار گرفته اند، تنها 222 پورت يكتا بوده است. در صورتي كه حد مذكور را به 100 حمله برسانيم تنها 32 پورت يكتا باقي مي مانند. 10 پورت اول هدف حملات در سه ماهه هاي متوالي ثابت مانده اند و تنها ترتيب آنها در جدول جابجا شده است.





تعداد IP ها و ضريب نفوذ اينترنت

در سه ماهه چهارم 2009، حدود 465 ميليون IP يكتا از 234 كشور تشخيص داده شدند كه نسبت به مدت زمان مشابه سال قبل 16 درصد افزايش داشته است. اين ميزان در سال 2007، حدود 302 ميليون آدرس IP يكتا بوده است كه در سال 2009، 54 درصد افزايش داشته است.



براي هفدهمين دوره سه ماهه متوالي، كشورهاي آمريكا و چين 40 درصد آدرس هاي IP مشاهده شده را به خود اختصاص داده اند. همان طور كه در شكل زير نشان داده شده است، 10 كشور اول ليست، در دوره هاي متوالي سه ماهه يكسان باقي مانده اند كه 71 درصد از IP هاي مشاهده شده مربوط به كشورهاي مذكور است. در اين ليست تنها كشور برزيل نسبت به دوره قبل روند نزولي داشته است. از بين تمام كشورها نيز، تنها در 57 كشور تعداد IP هاي مشاهده شده در سه ماهه چهارم كمتر از سه ماهه سوم بوده است. در سه ماهه چهارم تعداد كشورهايي كه كمتر از يك ميليون آدرس IP داشته اند 186 و تعداد كشورهايي كه كمتر از 100 هزار آدرس IP داشته اند، 145 و تعداد كشورهاي با كمتر از 1000 آدرس IP، 32 عدد بوده است.



در صورتي كه تعداد IP هاي مشاهده شده در هر كشور را نسبت به جمعيت آن كشور بسنجيم، معياري به نام ضريب نفوذ اينترنت به دست مي آيد. شركت Akamai ضريب نفوذ اينترنت را در كشورهاي مختلف اندازه گيري كرده است. البته بايد در نظر داشت كه جمعيت كشورها دقيق نبوده و تخميني است و از طرف ديگر امكان دارد كه يك كاربر داراي چندين آدرس IP باشد (در خانه، در محل كار و بر روي لپ تاپ) و يا چندين كاربر از يك يا تعداد محدودي آدرس IP استفاده كنند (براي مثال از طريق فايروال و يا پراكسي به اينترنت وصل شوند) و لذا ضريب نفوذ يك معيار نسبي بوده و دقيق نيست. با مقايسه ضريب نفوذ سه ماهه سوم با ضريب نفوذ سه ماهه چهارم به اين نتيجه مي رسيم كه 8 كشور اول ليست ثابت باقي مانده اند و تنها مكان هاي آنها در جدول جابجا شده است. دو كشور جزائر Falkland و جزائر British Virgin از آخر ليست خارج شده و كشورهاي آلمان و استراليا با 3 تا 4 درصد رشد ضريب نفوذ اينترنت، جاي آنها را گرفته اند. كشور موناكو از مكان هفتم به مكان چهارم ارتقا پيدا كرده و آمريكا را به مكان ششم رانده است. در زير ليست 10 كشوري كه داراي بيشترين ضريب نفوذ بوده اند را مشاهده مي كنيد.



سرعت اينترنت

به طور كلي در سه ماهه چهارم 2009 سرعت اينترنت در سراسر جهان، كمي كاهش پيدا كرده و يك درصد نسبت به سه ماهه قبلي افت داشته است. متوسط سرعت اينترنت در سه ماهه چهارم 1.7 Mbps اندازه گيري شده است. از ليست ده كشوري كه داراي بالاترين سرعت اينترنت بوده اند، هشت كشور نسبت به دوره قبلي داراي سرعت اينترنت بالاتري بوده اند و هشت كشور هم در پايان سال 2009 نسبت به پايان سال 2008، شاهد افزايش در سرعت اينترنت بوده اند. كره جنوبي همچنان در صدر پر سرعت ترين كشورها قرار دارد و ميانگين سرعت اتصال به اينترنت در اين كشور 12 Mbps است كه 24 درصد نسبت به سه ماهه سوم كاهش داشته است و مشابه دوره سه ماهه اول و دوم 2009 است. در اين دوره 96 كشور داراي متوسط سرعت اينترنت زير 1 Mbps بوده اند كه اين ميزان نسبت به 103 كشور در دوره قبل كاهش داشته است. در زير جدول و نمودار كشورهايي را كه داراي بالاترين سرعت اينترنت بوده اند، مشاهده مي كنيد.



25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
گزارش امنيتي مايكروسافت از نيمه دوم 2009
IRCRE201005033
مايكروسافت در شماره هشتم گزارش امنيتي خود، به بررسي وضعيت امنيت در نيمه دوم سال 2009 پرداخته است. اين گزارش بر اساس داده هاي به دست آمده از كاربران اين شركت توسط ابزارهاي امنيتي مايكروسافت تنظيم شده است. در زير خلاصه اي از نكات مهم اين گزارش را مطالعه مي كنيد.

توزيع جغرافيايي بدافزارها

در زير فهرست 15 كشوري را كه در نيمه دوم سال 2009 بيشترين بدافزارها در آنها توسط محصولات ضد بدافزاري مايكروسافت پاك شده است مشاهده مي كنيد:



دو كشور چين و برزيل در اين شش ماهه بيشترين رشد را در كامپيوترهاي پاكسازي شده داشته اند كه ميزان آن نسبت به نيمه اول 2009، به ترتيب 19.1 و 15.8 درصد افزايش داشته است. البته عمده اين افزايش به دليل عرضه Microsoft Security Essentials در سپتامبر 2009 است. برخي كشورها نيز با كاهش قابل ملاحظه اي در نرخ آلودگي روبرو بوده اند. بيشترين كاهش در كامپيوترهاي آلوده مربوط به تركيه است كه 26.2 درصد بوده است. در تايوان نيز درصد كاهش سيستم­هاي آلوده برابر با 19.6 و در ايتاليا نيز برابر با 20 درصد بوده است.



نمودار بالا نشان دهنده درصد انواع تهديدات در سراسر جهان و نيز هشت كشور جهان به تفكيك است. اين هشت كشور بيشترين كامپيوترهاي آلوده را در اين شش ماهه به خود اختصاص داده اند. به طور كلي تروجان ها در اغلب نقاط جهان بيشترين تهديدات را تشكيل مي دهند. در مقابل، ابزارهاي جاسوسي كمترين درصد تهديدات را به خود اختصاص داده اند.

آلودگي انواع سيستم عامل



در نمودار فوق درصد آلودگي را به تفكيك انواع سيستم عامل ويندوز مشاهده مي­نمائيد. همانطور كه انتظار مي رود، درصد آلودگي در مورد سيستم عامل ها و سرويس پك ه ي جديدتر پايين تر است. ويندوز 7 و ويندوز Vista SP2 داراي كمترين درصد آلودگي در سراسر جهان بوده اند. در مورد هر سيستم عامل نيز، سرويس پك هاي جديد، درصد آلودگي كمتري نسبت به سرويس پك هاي قبلي داشته اند.

آلودگي به تفكيك بدافزارها

جدول زير ده بدافزار برتر در سراسر جهان را نمايش مي دهد:



در جدول زير نيز حجم انواع بدافزار پاك شده از روي سيستم­هاي مشتريان مايكروسافت در نيمه دوم سال 2009 با نيمه اول اين سال مقايسه شده است:



همانطور كه مشاهده مي­شود، در مجموع بيش از 126 ميليون نمونه خرابكار در نيمه دوم 2009 توسط مايكروسافت شناسايي شده است. حجم انواع بدافزارها در نيمه دوم سال نسبت به نيمه اول رشد داشته است كه در اين ميان، ابزارهاي سرقت كلمه عبور استثنا هستند. اين مساله به اين دليل است كه ابزار سرقت كلمه عبور Win32/Lolyda، از 5.7 ميليلون نمونه در نيمه اول سال، به كمتر از 100000 نمونه در نيمه دوم كاهش يافته است. علت افزايش ابزارهاي جاسوسي نيز بيشتر به ابزار Win32/ShopAtHome مرتبط مي شود كه در نيمه دوم 5 برابر نيمه اول سال بوده است. تعداد زياد نمونه هاي ويروس به اين واقعيت برمي گردد كه ويروس ها مي توانند فايل هاي زيادي را آلوده كنند كه هر فايل، يك نمونه جداگانه محسوب مي شود. به همين دليل، اين تعداد نبايد با تعداد واقعي نمونه هاي ويروس يكي در نظر گرفته شود.

نرم افزارهاي امنيتي جعلي

نرم افزارهاي امنيتي جعلي نرم افزارهايي هستند كه هشدارهاي اشتباه يا گمراه كننده در مورد آلودگي سيستم و وجود آسيب پذيري به كاربر مي­دهند و به وي پيشنهاد مي­دهند كه در قبال پرداخت مبلغي، آن آلودگي يا آسيب پذيري را برطرف نمايد. اين نرم افزارها به يكي از روش­هاي مورد علاقه مهاجمان براي كسب درآمد تبديل شده اند. محصولات امنيتي مايكروسافت در نيمه دوم 2009 حدود 7.8 ميليون كامپيوتر را از اين نرم افزارها پاك كرده اند. اين ميزان نسبت به نيمه اول اين سال، 46.5 درصد افزايش داشته است.

تهديدات ايميلي



در نمودار بالا، درصد انواع پيام­هاي ايميلي را كه توسط فيلترهاي محتواي مايكروسافت مسدود شده اند در نيمه دوم 2008، نيمه اول 2009، و نيمه دوم 2009 مشاهده مي­كنيد. در ميان انواع تهديدات ايميلي، ايميل­هاي معروف به «فريب 419» رشد قابل توجهي داشته اند. در فريب 419، فرد تبهكار وانمود مي­كند كه از دوستان فرد قرباني است كه به پول نياز دارد و از وي مي­خواهد كه پول مورد نظر را به وي برساند. ساير تهديدات ايميلي در اين سه بازه زماني تقريبا ثابت مانده اند. پنج كشور ايالات متحده آمريكا با 27%، كره با 6.9%، چين با 6.1%، برزيل با 5.8%، و روسيه با 2.9%، بيشترين توليد هرزنامه را در نيمه دوم 2009 در جهان داشته اند. botnet ها مسئول اصلي انتشار هرزنامه ها در سراسر دنيا هستند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
وضعيت هرزنامه ها در سه ماهه اول 2010
IRCRE201005034
شركت امنيتي Kaspersky اقدام به انتشار گزارشي در مورد وضعيت هرزنامه ها در سراسر جهان در سه ماهه اول 2010 نموده است. در ادامه خلاصه اي از اين گزارش را مطالعه مي­كنيد.

حجم هرزنامه در ترافيك ايميل



در سه ماهه اول 2010، درصد هرزنامه ها در ترافيك ايميلي به طور ميانگين 85.2 درصد بوده است. در نيمه اول مارس شاهد افت قابل ملاحظه اي در حجم هرزنامه هاي ارسالي بوده ايم. اين مساله ممكن است به دليل افشاي 277 دامنه متعلق به botnet معروفي به نام Waledoc در انتهاي ماه فوريه باشد كه مسووليت ارسال بسياري از هرزنامه ها را بر عهده داشت. مدتي است كه حجم هرزنامه ها نسبت به ترافيك ايميل تقريبا ثابت باقي مانده و به طور ميانگين بين 84 تا 87 درصد است. در اين سه ماهه حداكثر حجم هرزنامه هاي ثبت شده متعلق به 21 فوريه با 90.8 درصد و حداقل آن متعلق به 5 مارس با 78 درصد است.

منابع هرزنامه به تفكيك ناحيه



آسيا همچنان با توليد 31.7 درصد كل هرزنامه ها، بزرگترين توليد كننده هرزنامه در سراسر دنياست. اروپا نيز با فاصله نه چندان زيادي با توليد 30.6 درصد از هرزنامه ها در مقام دوم قرار گرفته است. اگر روسيه را نيز به همراه اروپا در نظر بگيريم، اين مقدار به 36.6 درصد خواهد رسيد. حجم هرزنامه هاي منتشر شده از آمريكاي جنوبي در اين سه ماهه كاهش داشته است. در نيمه اول 2009 اين ميزان به 15 درصد رسيده و اين ناحيه در مقام دوم توليد كنندگان هرزنامه قرار گرفته بود. در حال حاضر آمريكاي جنوبي 10.5 درصد از كل هرزنامه هاي جهان را توليد كرده و در مقام پنجم قرار گرفته است كه اين ميزان، نزديك به سال 2008 (11 درصد) است. در همين زمان ميزان هرزنامه هاي توليد شده توسط اروپاي شرقي افزايش يافته و به 16.4 درصد رسيده است.

منابع هرزنامه به تفكيك كشور



نسبت به سال گذشته، تغيير چنداني در رده بندي كشورهاي توليد كننده هرزنامه رخ نداده است. ايالات متحده همچنان در صدر كشورهاي توليد كننده هرزنامه قرار دارد، و هند و روسيه در رده هاي بعدي قرار گرفته اند. اين فهرست با كشورهايي از آسياي شرقي و اروپاي شرقي دنبال مي­شود. در اين ميان وضعيت برزيل بهبود قابل توجهي داشته است. اين كشور از مقام سوم توليد كنندگان هرزنامه به مقام ششم رسيده است. تركيه و چين همچنان در ميان 10 كشور اول توليد كننده هرزنامه باقي مانده اند. اوكراين و آلمان نيز كه در سال 2009 از جمع اين ده كشور خارج شده بودند، دوباره به اين فهرست بازگشته اند.

اندازه هرزنامه ها



هرزنامه نويسان معمولا ترجيح مي دهند كه ايميل هايي با حجم كم (حتي كمتر از 1 كيلو بايت) ارسال نمايند. چنين ايميل هايي معمولا فقط حاوي لينك هستند، به همين دليل فيلترهايي كه مبتني بر محتواي ايميل كار مي كنند، قادر به فيلتر كردن اين ايميل ها نيستند. از طرفي اين هرزنامه ها به منابع كمتري براي انتشار نياز دارند. در اين سه ماهه، ايميل­هايي با اندازه بيش از 50 كيلو بايت، صرفا 2.9 درصد از كل هرزنامه ها را تشكيل داده اند.

انواع پيوست هاي خرابكار در هرزنامه ها

در اين سه ماهه، پيوست هاي HTML بخش عمده اين هرزنامه ها را تشكيل داده اند. با فاصله كمي بعد از اين دسته، هرزنامه هايي قرار دارند كه علاوه بر پيوست HTML، يك لينك نيز به همراه دارند. هرزنامه هايي با پيوست jpeg، gif، png، و bmp كه همگي پيوست هاي تصويري هستند، در رده هاي بعدي قرار گرفته اند. مجموعا پيوست هاي گرافيكي بطور ميانگين 11.7 درصد از كل هرزنامه ها را تشكيل مي دهند.

سرقت هويت

در سه ماهه اول 2010، لينك به سايت هاي سرقت هويت به طور ميانگين در 0.57 درصد از كل ترافيك ايميلي ديده شد. در ماه مارس اين ميزان به شدت كاهش يافته و به حدود 0.03 درصد از كل ايميل ها رسيد.

هدف مورد علاقه سارقان هويت، PayPal بوده است. سايت هاي Facebook و Google در رده هاي چهارم و پنجم اهداف مورد علاقه سارقان هويت قرار گرفته اند.

انتقال دامنه از .cn به .ru

سال گذشته هرزنامه نويسان از دامنه هاي چيني براي فعاليت هاي خود استفاده مي­كردند و هرزنامه هاي زيادي را كه حاوي لينك­هايي به اين سايت ها بودند منتشر مي كردند. در انتهاي سال 2009، دولت چين براي ثبت كردن دامنه در چين اقدام به سختگيري كرد. به همين دليل هرزنامه نويسان به سراغ دامنه هاي .ru (دامنه هاي متعلق به روسيه) رفتند.

نتيجه گيري

آغاز سال 2010 براي صنعت هرزنامه چندان فعال نبود. حجم هرزنامه ها در ترافيك ايميل رشد نداشته و در اين سه ماهه، از سال گذشته بيشتر نشد. شايد بتوان گفت هرزنامه ها به مرز اشباع رسيده اند. از آغاز سال 2000، هر ساله سهم هرزنامه ها از ترافيك ايميل دو برابر مي­شد. 15 درصد در سال 2001، 30 تا 40 درصد در سال 2002، 50 درصد تا اواسط 2003، و 70 تا 80 درصد تا آخر سال 2003، سهم هرزنامه ها از ترافيك ايميل بود. از سال 2004 تا 2009 اين ميزان از 75 درصد به 85 درصد رسيد. اكنون هرزنامه ها صرفا از ناحيه اي به ناحيه ديگر منتقل مي شوند، اما حجم كلي آنها تقريبا ثابت باقي مي­ماند. هرزنامه نويسان تكنولوژي هاي جديد را به خدمت نمي گيرند.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
مسائل امنيتي مطرح در سال 2010
IRCRE201006035
در ژانويه 2010، موسسه Fortinet گزارشي در مورد پيش بيني مسائل امنيتي برتر سال 2010 منتشر كرد. اكنون كه نيمي از اين سال گذشته است، نگاهي به اين پيش بيني ها داشته و آنها را با آنچه كه اتفاق افتاده است مقايسه خواهيم كرد.
  1. امنيت ماشين هاي مجازي
    با پيشرفت روز افزون مجازي سازي، اين مساله بسيار مهم است كه با هر ماشين مجازي مانند يك شيء فيزيكي برخورد كنيم. براي مثال، يك كرم مي تواند به سادگي مي تواند از يك ماشين مجازي به ماشين مجازي ديگري با اعتبارات دسترسي كاملا متفاوت حركت كند و صدمات بيشتري نيز ايجاد نمايد. در سال جاري شاهد برخي پيشرفت هاي جالبي در اين زمينه بوده ايم، از جمله يك مشكل امنيتي Flash كه فقط در محيط هاي مجازي اتفاق مي افتد.
  2. تدوين سياست امنيتي مستقل از ابزارهاي ذخيره سازي اطلاعات
    امروزه، اطلاعات مي توانند در هرجايي ذخيره شوند: دوربين هاي ديجيتالي، پرينترها، فريم هاي تصويري، درايوهاي USB، لپ تاپ ها و نوت بوك ها، و ساير وسايل. تعداد ابزارهاي ذخيره كننده اطلاعات روز به روز افزايش مي يابد، در حالي كه اطلاعات حساس نسبتا همان اطلاعات قبلي هستند. به همين دليل تشكيلات اقتصادي و مديران احتياج دارند در مورد سياست ها و نيز يك چارچوب امنيتي فكر كنند كه صرفنظر از محل نگهداري اطلاعات، اين اطلاعات را در زمان ورود و خروج به شبكه كنترل كنند.
  3. حفظ امنيت داده ها پيش از انتشار
    اطلاعات از طريق مجاري عمومي در جريان هستند. براي مثال، Facebook اكنون plugin هاي اجتماعي را معرفي كرده است. اطلاعاتي كه در حال حاضر از يك منبع در دسترس قرار دارند، با ساير پلتفورم هاي عمومي مجتمع شده و به اين ترتيب، اطلاعات حساس در فضاي سايبر منتشر مي شوند. به محض اينكه اطلاعات را توسط صفحه كليد خود وارد فضاي سايبر مي كنيد كنترل آن بسيار مشكل مي شود. بنابراين بسيار مهم است كه اطلاعات خود را و در نتيجه شبكه داده هاي خود را قبل از وارد كردن آن به فضاي مجازي، امن كنيد.
  4. تجميع سرويس هاي امنيتي شبكه
    امروزه افزودن سرويس هاي شبكه به دستگاه هاي امنيتي، اساس مديريت واحد تهديدات به شمار مي رود. براي مثال ابزارهايي وجود دارند كه خدمات كنترل امنيت برنامه هاي كاربردي و پيشگيري از نفوذ را به طور همزمان بر روي يك دستگاه ارائه مي دهند. در حاليكه اين دو، داراي اهداف متفاوتي هستند، تكنولوژي زيربنائي بررسي بسته ها منجر به توسعه در هر دو زمينه خواهد شد. با افزايش سطح حملات، نيازمند توسعه تكنولوژي امنيتي مناسب براي مقابله با اين حملات هستيم. تجميع اين تكنولوژي ها و ساده سازي مديريت، دو عنصر حياتي در جهت كاهش تهديدات از ديدگاه مديران است.
  5. CaaS در برابر SaaS
    مجرمان اينترنتي با ايده گرفتن از مدل تجاري «امنيت در قالب سرويس (SaaS)»، روش «جرم در قالب سرويس (CaaS)» را ابداع كرده اند. در سال 2010 سرويس هاي مجرمانه به خصوص از طريق استفاده از botnet هاي ساده سازي شده، به راحتي در دسترس بوده اند. اين botnet ها آمار خود را براي كنترل كيفيت به صاحبان خود گزارش مي كنند، به همين دليل اپراتورهايي كه اين سرويس ها را عرضه مي كنند، مي توانند به مشتريان خود اطلاع دهند كه چه زماني و كجا نرم افزار خرابكار مورد نظر آنها نصب شده است. همچنين در اين سال شاهد بوده ايم كه botnet معروف منتشر كننده هرزنامه يعني Cutwail، با شماره هاي شناسايي متفاوتي منتشر شده است. ربات هاي اجاره اي عضو botnet، بر اساس شماره هاي شناسايي مشتريان، هرزنامه هاي مورد نظر آنها را منتشر مي كنند.
  6. بدافزارهاي گروگان گير
    افزايش بدافزارهايي كه قربانيان خود را وادار به پرداخت پول مي كنند يك واقعيت است. انواع مختلفي از بدافزارهاي گروگان گير در سال 2010 ظهور كرده اند. از جمله اين بدافزارها ميتوان به قفلهاي مبتني بر SMS و يا بدافزارهايي كه برنامه هاي كاربر را تا زمان پرداخت پول از كار مي اندازند اشاره كرد. بدافزارهاي گروگان گير در حال رساندن خود به فهرست ده تهديد برتر امنيتي هستند. علاوه بر افزايش تعداد و تنوع اين بدافزارها، استراتژي هاي حمله و تكنولوژي هاي مورد استفاده در اين حملات نيز روز به روز پيچيده تر مي شوند. تركيب اين بدافزارها با الگوريتم هاي رمزنگاري، بدافزارهاي گروگان گير را به بيماري مهلك فضاي سايبر در آينده تبديل خواهد كرد.
  7. پول شويي اينترنتي
    كاربران بي دقت به ملعبه دست مجرمان اينترنتي براي پول شويي تبديل مي شوند. تا كنون نمونه هاي زيادي از اين دست مشاهده شده است. حملات مهندسي اجتماعي كاربران را فريب مي دهند تا بدون اطلاع، كارهاي مجرمانه و خرابكارانه اي را انجام دهند كه در ظاهر قانوني و بي اشكال هستند. بيشتر موارد مشاهده شده، شامل حساب هاي بانكي است كه براي جابجايي پول در ازاي دريافت مبلغي مورد استفاده قرار مي گيرند.
  8. تهديدات بر روي سيستم هاي موبايل
    ما شاهد افزايش فعاليت تهديدات موبايلي بوده ايم. سيستم عامل Symbianهنوز يك پلتفورم حمله مورد علاقه مجرمان است. ويروسهايي مانند Yxes هر روز پيچيده تر ميشوند و ويروسهاي ديگري مانند Enoriv نيز شروع به فعاليت مي­كنند. سيستم عامل هاي ديگري مانند Android نيز اين قابليت را دارا هستند كه در زمان كوتاهي ميزبان چنين حملاتي باشند.
  9. Botnet ها
    در سال جاري چندين botnet جديد كه به ميدان آمدند، استفاده از پروتكل هاي معمولي مانند HTTP را براي انجام كارهاي كثيف خود آسانتر كردند. Botnet ها كه پيش از اين نيز وجود داشتند، قدرتمندانه به حيات خود ادامه دادند و پروتكلهاي خود را براي پنهان كردن فعاليت هاي خود گسترش دادند. در اين سال Webwail كشف شد كه يك موتور اسكريپتينگ مبتني بر وب است كه مي تواند حسابهايي را در سراسر وب (مانند ياهو، Hotmail، GMail، و غيره) ايجاد نمايد و سپس از طريق آنها به انتشار هرزنامه بپردازد. براي انجام اين كار، الگوريتم هاي CAPTCHA به طور پويا شكسته مي شوند، به همين دليل اعضاي botnet مانند يك انسان واقعي عمل ميكنند. اگرچه تا كنون صرفا ايجاد و انتشار هرزنامه ها را در Webwail كشف كرده ايم، اما به نظر ميرسد كه اين botnet دامنه فعاليت گسترده تري داشته باشد.
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
Top 10 in 2011: An 'explosive' year in security- 2
IRCRE201201088
As we turn the page to 2012, it makes sense to sit back and take a look at what happened during the past twelve months in the IT Security world. If we were to summarize the year in one word, I think it would probably be “explosive.” The multitude of incidents, stories, facts, new trends and intriguing actors is so big that it makes it very hard to crack into top 10 of security stories of 2011. What I was aiming for with this list is to remember the stories that also indicate major trends or the emergence of major actors on the security scene. By looking at these stories, we can get an idea of what will happen in 2012.
6. The Sony PlayStation Network hack

On April 19th, 2011, Sony learned that its PlayStation Network (PSN) was hacked. At first, the company was reluctant to explain what happened and claimed the service, which was suspended on April 20th, would be back in a few days. It wasn’t until April 26th that the company acknowledged personal information was stolen, which potentially included credit card numbers. Three days later, reports appeared which seemed to indicate that 2.2 million credit card numbers were being offered for sales on hacker forums. By May 1st, the PSN was still unavailable, which left many users not just with their credit cards stolen, but frustrated for not being able to play the games they already paid for. Unfortunately for Sony, the story was not over because in October 2011, the PSN was again making the headlines with 93,000 compromised accounts that had to be locked down by Sony to prevent further misusage.

The Sony PSN hack was a major story for 2011 because it points out several main things – first of all, in the cloud era, Personally Identifiable Information is nicely available in one place, over fast internet links, ready to be stolen in the case of any misconfigurations or security issues. 77 million usernames and 2.2 million credit cards can be considered normal “booty” in the cloud era.
7. Fighting cybercrime and botnet takedowns

If the attackers from the PSN incident are still unidentified, 2011 was definitively a bad year for many cybercriminals that got caught and arrested by law enforcement authorities around the world. The ZeuS gang arrests, the DNSChanger gang takedown and the Rustock, Coreflood and Kelihos/Hilux botnet takedowns were just a few examples. These indicate an emerging trend, which is of course “attribution.” Bringing down one cyber-criminal gang goes a long way to slow criminal activity around the world and sending a message to the remaining gangs that this is no longer a risk-free job. One particular case I’d like to mention is the Kelihos takedown, which was performed in cooperation between Kaspersky Lab and Microsoft’s Digital Crimes Unit. As part of this effort, Kaspersky Lab initiated a sinkhole operation for the botnet, counting many tens of thousands of infected users per day. Here’s where the big debate starts: knowing the bot update process, Kaspersky Lab or a law enforcement agency could effectively push a program to all the infected users, notifying them of this fact, or, even cleaning their machines automagically. In a poll ran on the Securelist website, a whopping 83% of the users voted that Kaspersky should “Push a cleanup tool that removes the infections,” despite this being illegal in most countries. For obvious reasons, we haven’t done so, but it outlines the vast limitations of today’s legal system when it comes to fighting cyber-crime in an effective manner.

8. The rise of Android malware

In August 2010, the first Trojan for the Android platform appeared as Trojan-SMS.AndroidOS.FakePlayer.a, which masqueraded as a media player app. In less than one year, Android malware quickly exploded and became the most popular mobile malware category. This trend became obvious in Q3, when we received over 40% of all the mobile malware we saw in 2011. Finally, we hit critical mass in November 2011, when we received over 1000 malicious samples for Android, which is almost as much as all the mobile malware we have received in the past 6 years! The huge popularity of Android malware can be attributed to several things – most notably the wild growth of Android itself. Secondly, the documentation available on the Android platform makes the creation of malware for Android quite trivial. Finally, there are many who blame the Google Market for its weak screening process, which makes it easy for cybercriminals to upload malicious programs. While there are only two known malicious programs for iPhone, we are now approaching 2000 Android Trojans in our collection.

9. The CarrierIQ incident

CarrierIQ is a small, privately owned company founded in 2005 and operating out of Mountain View, Calif. According to their web site, the CarrierIQ software is deployed on over 140 million devices around the world. Although the declared purpose of CarrierIQ is to collect “diagnostic” information from the mobile terminals, Trevor Eckhart, a security researcher, demonstrated that the extent of information CarrierIQ is collect goes beyond the simple “diagnostic” purpose and includes things such as keylogging and monitoring URLs opened on the mobile device. CarrierIQ is built in a typical Command and Control architecture – the admins can set up the kind of information which is collected from the terminals and which information is being sent “home.”

While it is obvious that CarrierIQ does collect a lot of information from your mobile phone, it doesn’t necessarily mean it is evil, or so we are advised to think by its creators or companies such as HTC, which support its usage. Being a U.S.-based company, this means that CarrierIQ could be forced to disclose much of the collected information to US law enforcement, if presented with a warrant. This legal loophole could effectively turn it into a government spy and monitoring tool. If this is indeed the case, or not, many users have decided that it’s best to get rid of CarrierIQ from their phones. Unfortunately, this isn’t a very simple process and is different for iPhones, Android phones and BlackBerry terminals. In the case of Android, you may have to root your phone in order to get rid of it. Alternatively, many users have decided to flash a custom Android firmware instead, such as Cyanogenmod. The CarrierIQ incident shows that we are vastly unaware of what exactly is running on our mobile devices, or the level of control which the mobile operator has on your hardware.
10. MacOS malware
While I do realize that I’ll put myself into the line of fire by even just mentioning Mac OS X malware, I think it’s an important story from 2011 which shouldn’t be overlooked. Products called MacDefender, MacSecurity, MacProtector or MacGuard, which are actually Rogue AV products for Mac OS appeared in May 2011 and quickly became popular. Distributed through black-hat SEO techniques in Google searches, these programs rely on social engineering to get the user to download, install and then pay for the full version. Most of the users who decide to pay $40 for the supposedly “full” version, later discover that they actually paid $140, and sometimes, they paid multiple times.

The expansion of PC threats (Rogue AV programs being one of the most popular malware categories for PCs) to Macs is one of the important trends of 2011. In addition to Mac OS Rogue AVs, the DNSChanger family of Trojans deserves a special mention as well. First identified around 2007, these small Trojans perform a very simple and straightforward system compromise, by changing the DNS settings to point to the criminals’ private DNS servers, before uninstalling themselves. Hence, you may get infected with a DNSChanger, have your DNS settings changed and you may be happily thinking you’re fine because there’s no malware on your computer, while criminals abuse the DNS communication to make you visit fake websites and perform click fraud and man-in-the-middle attacks. Luckily, in November 2011, the FBI arrested six Estonian nationals as part of an operation called “Ghost Click,” as the gang behind the DNSChanger malware.

According to FBI data, during the past four years, they infected over 4 million computers in more than 100 countries and generated approximately $14 million in illegal profit. These incidents show that malware for Mac OS is as real as the malware for PCs, and that even modern security practices fail against carefully elaborated social engineering techniques. It is without doubt that we will see both of them being abused in the future.
SUMMARY

To summarize, these 10 stories are probably just a tiny speck in the galaxy of 2011 security incidents. The reason I selected them is because they point to the major actors of 2011 which will no doubt continue to play a major role in the cyber-security blockbuster which is around the corner. These are the hacktivist groups, the security companies, the Advanced Persistent Threat in the form of superpowers fighting each other through cybere-spionage, the major software and gaming developers such as Adobe, Microsoft, Oracle or Sony, Law Enforcement Agencies and traditional cybercriminals, Google, via the Android operating system and Apple, thanks to its Mac OS X platform. The relations between these can be complicated, full of drama, contain many super-secret details and be as mysterious and darkly dreaming as Showtime’s Dexter. One thing is for sure – these same stars will be playing in all the major 2012 security blockbuster movies.

Source: ZDNet website

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
Top 10 in 2011: An 'explosive' year in security
IRCRE201201087

As we turn the page to 2012, it makes sense to sit back and take a look at what happened during the past twelve months in the IT Security world. If we were to summarize the year in one word, I think it would probably be “explosive.” The multitude of incidents, stories, facts, new trends and intriguing actors is so big that it makes it very hard to crack into top 10 of security stories of 2011. What I was aiming for with this list is to remember the stories that also indicate major trends or the emergence of major actors on the security scene. By looking at these stories, we can get an idea of what will happen in 2012.

1. The rise of Hacktivism

It’s difficult to imagine someone reading this list who has not yet heard of Anonymous, LulzSec or TeaMp0isoN. Throughout 2011, these groups, together with others were actively involved in various operations against law enforcement agencies, banks, governments, security companies or just major software vendors. Sometimes working together, in other cases, working against each other, these groups emerged as one of the main actors of 2011, through incidents such as security breaches of networks belonging to the United Nations, security intelligence firm Stratfor, FBI contractor IRC Federal, US Defense contractor ManTech or the CIA website. Interestingly, some of these incidents, such as the Stratfor hack revealed major security problems such as the storing of CVV numbers in unencrypted format, or extremely weak passwords used by the administrator.

Overall, the rise of hacktivism was one of the major trends of 2011 and no doubt, it will continue in 2012 with similar incidents.
2. The HBGary Federal hack

Although related to the first item on this list, I’d like to point this out as a separate story. In January 2011, hackers from the ‘Anonymous’ hacker collective broke into HBGary Federal’s webserver “hbgaryfederal.com” through an SQL injection attack. They were able to extract several MD5 hashes for passwords belonging to the company CEO, Aaron Barr and COO, Ted Vera. Unfortunately, both used passwords were very simple: six lowercase letters and two numbers. These passwords allowed the attackers to get access to the company’s research documents and tens of thousands of mails stored on Google Apps.

I believe this story is relevant because it shows an interesting situation – the usage of weak passwords together with old software systems and cloud application can turn into a security nightmare. If the CEO and COO would have been using strong passwords, maybe none of this would have happened. Or, if they would have had multi-factor authentication enabled on Google Apps, the attackers wouldn’t have been able to access the superuser account and copy all the company e-mails. It’s important to point out that even if better security measures were into place, we can’t rule out the possibility that the persistent hackers wouldn’t have found another way in. Persistence and determination, together with time, gives the attackers the upper hand.
3. The Advanced Persistent Threat

Although many security experts despise this term, it has made its way into the media and rocketed to the top with incidents such as the RSA security breach or imposingly sounding incidents such as operation “Night Dragon,” “Lurid,” or “Shady Rat.” Interestingly, many of these operations were not too advanced at all. On the other hand, there were many cases in which zero-day exploits were used, such as the RSA breach. In this case, the attackers took advantage of CVE-2011-0609 – a vulnerability in Adobe Flash Player - to run malicious code on the target machine. Another interesting zero-day is CVE-2011-2462, a vulnerability in Adobe Reader, which was used in targeted attacks against U.S. Defense contractor ManTech. Several things stand out in these attacks – many cases involved zero-day vulnerabilities in Adobe software such as Flash Player or Adobe Reader.

Additionally, many of these attacks were directed at U.S. targets, notably companies working with the U.S. military or government. From this point of view, the “Lurid” attack was interesting because it mainly targeted countries in the Eastern part of Europe, such as Russia or the CIS. These attacks confirm the emergence of powerful nation-state actors and the establishment of cyber-espionage as common practice.

Additionally, many of these attacks seem to be connected and have major global ramifications. For instance, the RSA breach was notable because the attackers stole the database of SecurID tokens, which was later used in another high-profile attack.

4. The Comodo and DigiNotar incidents

On March 15th 2011, one of the affiliates of Comodo, a company known for its security software and SSL digital certificates, was hacked. The attacker quickly used the existing infrastructure to generate nine fake digital certificates, for web sites such as mail.google.com, login.yahoo.com, addons.mozilla.com or login.skype.com. During the incident analysis, Comodo was able to identify the attacker as operating from the IP address 212.95.136.18, in Tehran, Iran. If in the Comodo incident, only nine certificates were created, the DigiNotar breach was a lot bigger. On 17th June 2011, the hackers began poking at the DigiNotar servers and during the next five days, managed to get access to the infrastructure and generate over 300 fraudulent certificates. The hacker left a message in the form of a digital certificate containing a message in the Persian language, “Great hacker, I will crack all encryption, I break your head!” To make the link with Iran more solid, days later, the fake certificates were used in a man-in-the-middle attack against over 100,000 GMail users from Iran.

The attacks against Comodo and DigiNotar are an indication of two emerging trends: first of all, we already have the loss of trust in the certificate authorities (CA), but in future, CA compromises may become even more popular. Additionally, more digitally signed malware will appear.
5. Duqu

In June 2010, researcher Sergey Ulasen from the Belarussian company VirusBlokada discovered a most intriguing piece of malware which appeared to use stolen certificates to sign its drivers, together with a zero-day exploit which used .LNK files for replication in a typical Autorun fashion. This malware became world famous under the name “Stuxnet,” a computer worm containing a very special payload, directly aimed at Iran’s nuclear program.

Duqu Trojan created by the same people as Stuxnet, Duqu was discovered in August 2011 by the Hungarian research lab CrySyS. Originally, it wasn’t known how one gets infected with Duqu – later, malicious Microsoft Word documents exploiting the vulnerability known as CVE-2011-3402 were discovered as a means of entry for Duqu. Compared to Stuxnet, the purpose of Duqu is quite different; this Trojan is actually a sophisticated attack toolkit which can be used to breach a system and then systematically siphon information out of it. New modules can be uploaded and run on the fly, without a filesystem footprint. The highly modular architecture, together with the small number of victims around the world made Duqu so hard to detect for years – the first trace of Duqu related activity we were able to find actually dates back to August 2007. In all the incidents we have analyzed, the attackers used an infrastructure of hacked servers to move the data, sometimes hundreds of megabytes, out of the victim’s PCs. Duqu and Stuxnet represent the state of the art in cyberwarfare and hint that we are entering an era of cold cyberwar, where superpowers are fighting each other unconstrained by the limitations of real world war.

source: ZDNet website

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
Four predictions for security in 2012
IRCRE201112086
Date: 2011-12-31
Malicious Android apps will increase
As a target for malicious software, Android is the Microsoft of the mobile platform. Android has more than 50 percent of the smartphone market, eclipsing all others, so it's the most attractive platform for scammers to target. While iPhone apps get vetted by Apple, Google's open apps store model, which lacks code signing and a review process, makes it easy to distribute malware in apps.
The numbers bear this out. In the last six months, the number of malicious Android apps has doubled to 1,000, a report from mobile security firm Lookout says. Granted the vast majority of the malware -often disguised as legitimate apps- is found on third-party sites. But some malicious apps have made it to the Android Market. Google yanked about two dozen apps containing malware in May and nearly 60 malicious apps in March. That's not counting the nearly 30 apps pulled in December that appeared to be designed for fraud.
Google moves quickly when problems are reported, but removing apps after-the-fact means there may be users who have downloaded them already. To be fair, the likelihood that the average Android user will encounter malware is very, very slim because most people avoid third-party sites where they are required to allow apps from unknown sources to be downloaded, and are thus assuming the risk.
Another utility will get hacked
Hacking of corporate and government networks happens all the time. Now that SCADA systems used in utilities and other critical infrastructure environments are being connected to the Internet, without the built-in security that traditional information technology networks have, it should come as no surprise that hackers will make their way in to areas where they conceivably could cause real harm to the environment and people.
The first wake-up call for the industry was the Stuxnet malware that emerged last year that appeared to have been designed to sabotage Iran's nuclear program. Then a leaked report in November appeared to be the first acknowledgement of a cyberattack on a U.S. critical infrastructure system, but the Department of Homeland Security denied that there had been an attack and ultimately it turned out to have been a false alarm.
However, an unnamed hacker claimed to have remotely breached a system at a Texas water plant, as well as systems in Europe. It's clear hackers are targeting these sensitive and critical systems, for whatever reason. Given how easy it is to find SCADA equipment with just a Google search, all the holes the SCADA systems seem to have, and that researchers say it is relatively easy to exploit the weaknesses, you can expect more attacks on critical infrastructure systems in the coming year. Whether they will make it to the news or be kept a secret, is another thing.
People will continue over-sharing despite the privacy ramifications
We have become a society of sharing to the detriment of our personal privacy.
Social media provides a way for us to share every aspect of our life with people, from where we went to school to what restaurant we're dining at tonight to who our friends are. The ego prompts us to accept all the friend requests and seek more followers, and to bombard them with more details of our lives than anyone needs to know. We also are unknowingly revealing sensitive information.
Companies like Facebook are offering increased integration so that our activities on the site and elsewhere are automatically shared with others. So now we can see what music our friends are listening to and what articles they are reading right now. But advertisers are privy to more information about us collectively. Many people don't care if they see ads targeted to their tastes and lifestyle.
Companies need to better explain the privacy implications of the new features they offer, but consumers need to be asking themselves questions before they push "post," such as "Do I care if people I don't know or enemies are able to see this?"
Hacktivists will become more active
There's no doubt that 2011 can be called the Year of the Hackers. The Anonymous movement and its offshoots, notably LulzSec, gained fame and notoriety for their denial-of-service attacks and data breaches on a host of targets. From Sony and the CIA to bankers, police officers, and Fox News, the attacks were a daily occurrence for months. With the emergence of the Occupy Wall Street protests, Anonymous actions became more organized and focused on a cause--political protest of financial inequality and corporate influence--and inclusive, online and offline.
The Anons, as they call themselves, have ownership in the larger political movement and could provide the technical skills and online organization needed to even create a new party.

It seems that 2012, is a more active year for this group of hackers.

Source: CNet.com

25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
McAfee Threats Report: Third Quarter 2011 – 2nd Section
IRCRE201111083
Date: 2011-11-27
The McAfee Labs has studied the security threats of the third half of 2011 in a report. The following report is briefing that report.
Global Infected Computers
The top threats around the world continue to change from quarter to quarter. Last quarter, downloaders and certain potentially unwanted programs (PUPs) were prevalent. This quarter, parasitic malware and exploits are a bit more popular, with exploit scripts at the forefront of global detections.
Messaging Threats
Spam around the globe continues its downward trend. Even though spam volume is way down, McAfee Labs sees targeted spam, often called spearphishing, at its greatest development in years. So, very much like malware, the noise tells us spam levels have dropped, yet the signal we need to hear is that the bad guys have changed their tactics. They are protecting their business models and are doing so with a sophistication that creates a more dangerous threat than before.
Social Engineering
As always, social engineering lures in spam subject lines differ greatly depending on geography and language. The lures can vary by month or season, and often use holidays or sporting events as bait. Attackers show a remarkable insight into what works in different cultures and regions—not just globally but also seasonally. In France phishing may be popular, while in the United Kingdom “419 scams” are the rage. Meanwhile drug spam is hot in South Korea and Russia, while in the United States we see lots of Delivery Service Notifications (fake error messages) as a lure.
Worldwide overall botnet growth also took a small dip toward the end of this quarter, but our analysis of specific regions shows some significant increases.
Several countries saw significant growth in botnet infections. Cutwail, Festi, and Lethic lead the pack in new infection activity this quarter, while new infection rates of Grum, Bobax, and Maazben declined.
Web Threats
Websites can have bad or malicious reputations for a variety of reasons. Reputations can be based on full domains and any number of subdomains as well as on a specific IP address or URL. Malicious reputations are influenced by the hosting of malware, PUPs, or phishing sites. Often we observe combinations of questionable code and functionality.
Last quarter McAfee Labs recorded an average of 7,300 new bad sites per day; in this period that figure dropped a bit to 6,500 sites, which is comparable to the same time last year. In August we saw an average of more than 3.5 sites rated “red” each minute.
We saw four significant spikes in malicious web content this quarter. They are not linked to any particular attack.
The vast majority of new malicious sites are located in the United States. Next in line, we find the Netherlands, Canada, Germany, South Korea, China, and the United Kingdom. Last quarter we saw the same top seven countries though they finished in a different order.
North America still leads by a large margin (with 66 percent of servers this quarter, 60 percent last quarter, and 68 percent in the first quarter). Europe and the Middle East remain in second rank (23 percent, 25 percent, and 18 percent).
This quarter, the number of websites hosting malicious downloads continued to increase, while the number of sites hosting browser exploits slightly decreased.
The following chart provides a picture of the number of websites delivering malware and PUPs that McAfee Labs detected this quarter.
We saw an increase this quarter, with around 3,500 new sites per day compared with 3,000 per day during the prior quarter.
During the quarter we identified approximately 2,700 phishing URLs per day, very similar to our figures for last quarter. During the same period last year, we counted 2,900 URLs per day.
Related Links:
References:
McAfee Threats Report: Third Quarter 2011
25 بهمن 1390 برچسب‌ها: گزارشات تحلیلی
صفحات: «« « ... 50 51 52 53 54 »