شماره: IRCRE201505195
تاريخ: 08/03/94
مقدمه
اين گزارش كه توسط شركت امنيتي پاندا توليد شده است، سعي ميكند با تحليل مهمترين رويدادهاي امنيت فناوري اطلاعات در سراسر جهان در طول سال 2014، وضعيت فعلي امنيت در جهان را مشخص نمايد. همچنين نگاهي خواهيم انداخت به روندهاي امنيتي سال 2015 و نحوه محافظت از خود در برابر تهديدات آتي.
سال 2014 در يك نگاه
در پايان سال گذشته، فروشگاه بزرگ زنجيره اي Target در ايالات متحده گزارش داد كه هكرها اطلاعات كارتهاي نقدي و اعتباري حدود 40 ميليون از مشتريان اين فروشگاه را سرقت كرده اند. در اين مورد، خريداران آنلاين تحت تأثير اين سرقت قرار نگرفته بودند و فقط مشترياني كه در فروشگاههاي اين شركت حضور يافته و از طريق كارت اعتباري خود پرداخت كرده بودند هدف قرار گرفته بودند. و نكته مهم اين بود كه نه تنها اين اطلاعات به سرقت رفت، بلكه بلافاصله بازارهاي زيرزميني به فروش گذاشته شد.
اما شركتها چطور مي توانند از خود در برابر اين نوع حملات محافظت كنند؟ در مورد شركت Target، استفاده از راهكارهاي آنتي ويروس مؤثر نيست. چرا كه اين نوع بدافزار از تشخيص داده شدن توسط آنتي ويروس جلوگيري مي كند. از آنجايي كه سيستم هاي كارت خوان معمولاً پلتفورمهايي بسته هستند، مي توان به راهكار ليست سفيد فكر كرد كه مي تواند در چنين محيطهايي بسيار مؤثر باشد. راهكارهاي ليست سفيد براي اين طراحي شده اند كه يك سيستم را طوري قفل كنند كه صرفاً برنامه هاي مورد اعتماد خاصي مجاز باشند بر روي آن اجرا گردند و هر برنامه ديگري رد شود. اين مي تواند يك ابزار بسيار مؤثر در موارد حملات داخلي باشد كه براي مثال يك كارمند سعي مي كند يك ترمينال را با قرار دادن يك نوع برنامه مخرب بر روي آن آلوده سازد. البته ليست سفيد يك راهكار هميشگي نيست. در بسياري مواقع برنامه هاي مخرب با سوء استفاده از آسيب پذيري هاي سيستم نصب مي گردند و اين موضوع لزوماً توسط ليست سفيد قابل تشخيص نيست.
كره جنوبي نيز شاهد يكي از بزرگترين حملات سايبري تا كنون بود. شركت اعتباري KCB قرباني يك حمله سايبري قرار گرفت كه منجر به سرقت اطلاعات مالي شخصي 105.8 ميليون حساب بانكي شد. اطلاعات سرقتي شامل شماره كارت اعتباري، نام، شماره تلفن، آدرس منزل و آدرس ايميل و حتي شماره پاسپورت بود. اگر فرض كنيم كه هر كره اي به طور ميانگين 5 كارت اعتباري داشته باشد، اين بدان معناست كه حداقل 21 ميليون كاربر قرباني اين حمله شده اند كه نزديك به 42 درصد از كل حمعيت اين كشور را تشكيل مي دهد. اما در حقيقت تعداد قربانيان بسيار بيشتر از اين عدد است. اين بار بر خلاف مورد Target، پاي هيچ بدافزاري در ميان نبود و كل قضيه به سرقت اين اطلاعات در طول 11 ماه توسط يكي از كارمندان دپارتمان ضد تقلب اين شركت مربوط مي شد. بايد توجه داشت كه در چنين مواردي رمزنگاري درست و قوي داده ها مي تواند مؤثر واقع گردد. همچنين سياستهاي كنترل دسترسي جدي و مؤثر بايد به خوبي اعمال گردند.
در سه ماهه اول سال 2014 همچنين شاهد حملات سرقت داده هاي كوچكتري نيز بوديم. براي مثال در آلمان، اداره امنيت اطلاعات اين كشور اعلام كرد كه حدود 16 ميليون حساب ايميل به سرقت رفته است. در اين مورد مهاجمان از بات نت استفاده كرده بودند. اداره امنيت اطلاعات آلمان در وب سايتي به كاربران در مورد اينكه ايميل آنها جزو ايميلهاي سرقتي هست يا خير اطلاع رساني كرد.
كاربران ياهو نيز هدف يك نشت اطلاعات قرار گرفتند كه در اين مورد داده هاي سرقتي مستقيماً از سرورهاي ياهو به دست نيامده بودند. برخي كاربران ايميل ياهو به اين شركت اطلاع دادند كه نام كاربري و كلمه عبور آنها به سرقت رفته است. تحقيقات بعدي نشان داد كه اين اطلاعات از پايگاه داده يك شركت پيمانكار به سرقت رفته است. در پاسخ به اين حمله، ياهو كلمات عبور قربانيان را بازنشاني كرد و از احراز هويت دو فاكتوري براي امن سازي حساب اين كاربران استفاده كرد.
CryptoLocker، بدافزار گروگان گير خطرناكي كه فايلهاي قرباني را تا زمان پرداخت باج مورد نظر به صورت رمز شده نگاه مي دارد، مجدداً ظاهر شد. يكي از قربانيان بي شمار اين بدافزار يك شركت حقوقي در كاروليناي شمالي ايالات متحده بود كه پذيرفت كه تمامي فايلهاي حقوقي موجود بر روي سرور اصلي اين كمپاني هدف اين بدافزار قرار گرفته است. رويدادهايي مانند اين، اهميت سياستهاي تهيه نسخ پشتيبان را در محيطهاي تجاري روشن مي كنند، چرا كه خسارت ناشي از چنين رخدادهايي با در اختيار داشتن يك نسخه كپي پشتيبان از داده هاي از دست رفته و بازيابي آنها، به شدت كاهش مي يابد.
هنگامي كه ما در مورد حملات سايبري صبحت مي كنيم، معمولاً به كامپيوترها، گوشي هاي هوشمند و تبلتها فكر مي كنيم. در حاليكه ساير دستگاههاي سخت افزاري نيز مي توانند تحت تأثير اين حملات قرار گيرند. يك نقص امنيتي در روترهاي Linksys به مهاجمين اجازه مي داد كه عملياتي مانند تغيير تنظيمات DNS روتر را انجام دهند.
8 آوريل به عنوان تاريخي تعيين شد كه در آن مايكروسافت پشتيباني ويندوز XP را متوقف مي كند. اين بدان معناست كه كاربران اين سيستم عامل ديگر به روز رسانيهاي امنيتي را دريافت نخواهند كرد و هيچ حفره امنيتي جديدي اصلاح نخواهد شد. اين موضوع همزمان شد با كشف يك حفره امنيتي خطرناك كه IE را تحت تأثير قرار مي داد و به مهاجم اجازه مي داد هنگامي كه كاربر در حال مشاهده وب سايت حاوي اين آسيب پذيري است، سيستم وي را آلوده سازد. اين مسأله به همراه كشف حملاتي با استفاده از اين آسيب پذيري باعث شد كه مايكروسافت علي رغم توقف پشتيباني XP، اقدام به ارائه يك به روز رساني براي اين حفره نمايد.
Heartbleed نيز در اوايل آوريل و همزمان با توقف پشتيباني XP ظاهر شد. Heartbleed ابتدا يك حفره امنيتي در كتابخانه OpenSSL بود كه براي رمزنگاري ارتباطات به كار مي رود. بسياري از سرويسهاي اينترنتي مانند Webmail، شبكه هاي اجتماعي، بانكهاي آنلاين و غيره، ارتباطات را رمز ميكنند تا از داده هاي در حال تبادل محافظت نمايند. سرورهايي كه از اين كتابخانه آسيب پذير استفاده مي كردند در برابر حمله آسيب پذير بودند. اين مسأله ماژولي را شامل مي شد كه اجازه مي داد ارتباطات باز مجدداً مورد استفاده قرار گيرند و به اين ترتيب 64 كيلوبايت از حافظه سيستم قرباني مكرراً در دسترس مهاجم قرار داشت. البته حداقل مهاجمين قادر به انتخاب اينكه به كدام بخش از حافظه دسترسي داشته باشند نبودند و همچنين، يك كتابخانه نيز براي ترميم اين نقص امنيتي عرضه شد. چند روز بعد، يك دانش آموز 19 ساله كانادايي به جرم استفاده از Heartbleed براي سرقت داده هاي 900 كانادايي از اداره ماليات اين كشور دستگير شد.
يكي از بزرگترين و بحث انگيزترين حملات سه ماهه دوم 2014، به eBay مربوط بود. اين شركت حراج آنلاين از تمامي كاربران خود خواست كه به علت وقوع يك حمله سايبري، كلمات عبور خود را تغيير دهند. مهاجمين به اطلاعات كارمندان eBay دسترسي پيدا كرده و از آن طريق به شبكه اين شركت دسترسي پيدا كرده بودند. اين دسترسي شامل نام، كلمه عبور رمز شده، آدرس ايميل، آدرس پستي، شماره تلفن و تاريخ تولد مشتريان مي شد. پاندا كشف كرد كه مجرمان سايبري در حال ارسال ايميلهاي جعلي از طرف eBay براي كاربران هستند كه به آنها در مورد اين مسأله امنيتي هشدار داده و لينكي مخرب نيز براي تغيير كلمه عبور براي آنها ارسال مي كنند. در صورتيكه كاربران بر روي اين لينك كليك كرده و اطلاعات خود را وارد نمايند، تمامي اطلاعات اعتباري خود را در اختيار مهاجمان قرار مي دهند.
يك عمليات بزرگ اف بي آي عليه جرايم سايبري نيز از كار انداختن بات نت GameOver Zeus بود. اين بدافزار متعلق به خانواده اي از بدافزارها است كه از ارتباطات نظير به نظير براي عمليات خرابكارانه خود استفاده مي كنند و به اين ترتيب بر سرورهاي خاصي كه قابل از كار انداختن با شند تكيه ندارند.
پس از افشاي آنلاين حدود 5 ميليون نام كاربري و كلمه عبور جيميل، اخبار حمله هك بالقوه عليه گوگل، در صدر اخبار قرار گرفت. گوگل به رسانه ها اعلام كرد كه هيچ نشانه اي مبني بر مورد سوء استفاده قرار گرفتن سيستمهاي اين شركت وجود ندارد و هر زمان كه اين شركت از مورد سوء استفاده قرار گرفتن حسابهاي كاربران آگاه شود، به آنها براي امن سازي حسابهايشان كمك خواهد كرد. گوگل اعلام كرد كه 98% از اين كلمات عبور كار نمي كند و به نظر مي رسد كه داده هاي افشا شده از طريق حملات سرقت هويت و حملات هك ديگر از كاربران به دست آمده باشند.
يك حفره امنيتي در Bash كشف شد كه امنيت كاربران لينوكس و مك را به خطر مي انداخت. اين آسيب پذيري كه Shellshock نام گرفت، مفسر دستور اين سيستم عاملها را تحت تأثير قرار مي داد. اين نقص امنيتي به يك مجرم سايبري اجازه مي داد با استفاده از Bash از راه دور به سيستم دسترسي يابد و جاسوس افزار طراحي شده براي سرقت اطلاعات را روي آن قرار دهد يا اينكه كنترل سيستم را كاملاً در اختيار بگيرد. سيستمهاي تحت تأثير اين آسيب پذيري عبارت بودند از سيستمهاي Mac OS X، بسياري از سرورهاي وب و برخي دستگاههاي شبكه هاي خانگي مانند روترها.
در آخر نوامبر كارمندان سوني با رخدادي غيرمنتظره اي مواجه شدند كه قادر به راه اندازي كامپيوترهاي خود نبودند. بك حمله بدافزاري محتويات درايو سخت آنها را پاك كرده بود. بك گروه كه خود را «نگهبانان صلح» مي ناميدند مسئوليت اين حمله را بر عهده گرفتند و ادعا كردند كه بيش از 100 ترابايت داده از سوني سرقت كرده اند. كمي پس از آن، اين گروه شروع به انتشار اطلاعات شخصي كارمندان سوني و خانواده هاي آنها، ايميلها، حقوقها، كپيهاي فيلمهاي عرضه نشده و غيره نمودند. چند روز بعد از اين حمله، بدافزار جديدي با امضاهاي ديجيتال معتبر به سرقت رفته از سوني كشف شد.
يكي از آخرين حملات بزرگ سال 2014، Xbox Live مايكروسافت و شبكه پلي استيشن سوني را تحت تأثير قرار داد. اين سرويسها به علت يك رشته حملات انكار سرويس در بيشتر روزهاي عيد كريسمس از كار افتاده بودند. نكته قابل توجه در اين حملات اين بود كه اين حمله انكار سرويس با استفاده از سيستمهاي آلوده رخ نداده بود، بلكه با استفاده از مسيريابهاي مورد سوء استفاده رخ داده بود.
منابع:
PandaLabs Annual Report 2014
- 9