سامانه دریافت گواهینامه رایگان SSL (LetsEncrypt CA)

تاریخ ایجاد

امروزه استفاده از گواهینامه #SSL در وب سایتها جهت #‫رمزنگاری داده های بین کاربر و سرویس دهنده استفاده میگردد. رمز نگاری داده ها میتواند امنیت حریم خصوصی کاربر را افزایش داده و از دستکاری، سرقت و استراق سمع اطلاعات در مسیر ارتباط کاربر تا سرویس دهنده جلوگیری نماید. هرچند مزایای استفاده از گواهینامه SSL جهت رمز نگاری بر کسی پوشیده نیست اما با توجه به تحمیل هزینه های مالی برای دارندگان وب سایت ها و همچنین دشواری تعامل با CA های خارجی ارائه دهنده‌ی این خدمات، بسیاری از سایت ها از خرید گواهینامه SSL صرف نظر میکنند.
سامانه https://letsencrypt.cert.ir بمنظور تسهیل فرایند درخواست و دریافت گواهینامه SSL از LetsEncrypt CA ایجاد شده است. در این سامانه شما میتوانید برای وبسایت یا سامانه‌های خود گواهینامه SSL معتبر بصورت رایگان دریافت نمایید. این گواهینامه‌ها توسط موسسه‌ی LetsEncrypt CA* صادر می‌گردد. برای این منظور مجموعه ابزاری تهیه گردیده است که بر حسب نیاز، کاربر میتواند با استفاده از آن تمامی مراحل دریافت، نصب، پیکربندی و صدور مجدد گواهینامه‌ی SSL را به صورت خودکار انجام دهد. با استفاده از ابزار تحت وب (آنلاین) سامانه نیز کاربر میتواند تنها با چند کلیک و بعد از احراز مالکیت دامنه، گواهینامه SSL را دریافت نماید.

تمامی مراحل تولید کلید خصوصی (Private Key) بصورت امن طراحی گردیده و این کلید در سامانه نگهداری نمی‌گردد.
گواهینامه های SSL صادر شده توسط LetsEncrypt CA از نظر فنی و امنیتی تفاوتی با سایر گواهینامه‌های تجاری ندارند. اما باید توجه داشت در صدور این گواهینامه‌ها صرفا مالکیت دامنه توسط CA احراز می‌گردد و هویت مالک مورد بررسی قرار نمی‌گیرد. در واقع گواهینامه‌های صادره از نوع DV (Domain Validation) می باشد. در خصوص سامانه‌ها و وبسایت‌هایی که نیاز به تایید هویت ارایه دهنده‌ی خدمات دارند، توصیه می‌گردد از گواهینامه‌های تجاری OV (Organization Validation) یا EV (Extended Validation) استفاده نمایند.
لازم به توجه است در حال حاضر Lets encrypt CA برای دامنه‌های .iran.gov.ir* گواهینامه صادر نمی کند.

https://letsencrypt.org/about

برچسب‌ها

آسیب‌پذیری در IBM WebSphere Application Server موجب اجرای کد از راه دور می‌شود

تاریخ ایجاد

خلاصه آسیب‌پذیری:
یک #‫آسیب‌پذیری در IBM WebSphere Application Server کشف شده که مهاجم با سوءاستفاده از آن می‌تواند از راه دور کد دلخواه خود را اجرا کند. این آسیب‌پذیری ناشی از بررسی ناامن JAVA object deserialization از طریق اتصال SOAP است. مهاجم می‌تواند با ارسال یک شیء ساختگی خاص از طریق اتصال SOAP از این آسیب‌پذیری سوءاستفاده کند.
IBM WebSphere Application Server یک فریم‌ورک نرم‌افزاری و میان‌افزار است که میزبان برنامه‌های کاربردی وب مبتنی بر جاوا است.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا از راه دور کد جاوا را در محتوای برنامه تحت‌تأثیر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در ساده‌ترین حالت بهره‌برداری ناموفق می‌تواند به حمله منع سرویس منجر گردد.
این آسیب‌پذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium می‌باشد.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:

  •    IBM WebSphere Application Server 9.0 prior to 9.0.0.10
  •    IBM WebSphere Application Server 9.0 prior to 9.0.0.9 (Interim Fix PH04060)
  •    IBM WebSphere Application Server 8.5 prior to 8.5.5.15
  •    IBM WebSphere Application Server 8.5 prior to 8.5.5.14 (Interim Fix PH04060)
  •    IBM WebSphere Application Server 8.0 prior to 8.0.0.15 (Interim Fix PH04060)
  •    IBM WebSphere Application Server 7.0 prior to 7.0.0.45 (Interim Fix PH04060)


توصیه‌ها

  • نسخه IBM WebSphere Application Server را به آخرین نسخه به‌روز رسانی کنید.
  • قبل از اعمال پچ، بدون احراز اصالت هیچگونه تغییری در سیستم را تأیید نکنید.
  • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
  • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها
برچسب‌ها

آسیب‌پذیری‌های چندگانه در Mozilla Firefox امکان اجرای کد دلخواه را فراهم می‌کند

تاریخ ایجاد

خلاصه آسیب‌پذیری:
#‫آسیب‌پذیری‌ های چندگانه در Mozilla Firefox و Firefox Extended Support Release (ESR) کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی متوسط و زیاد است.

نسخه‌های تحت‌تأثیر:
   • Mozilla Firefox versions prior to 64
   • Mozilla Firefox ESR version prior to 60.4

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است.
 

firefox

توصیه‌ها

  • به کاربران Mozilla به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
  • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
  • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
  • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
  • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها
برچسب‌ها

آسیب‌پذیری در Google Chrome موجب اجرای کد دلخواه می‌شود

تاریخ ایجاد

خلاصه آسیب‌پذیری:
یک #‫آسیب‌پذیری در کروم کشف شده که مهاجم با سوءاستفاده از آن می‌تواند کد دلخواه را اجرا کند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
این آسیب‌پذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium می‌باشد.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
   • گوگل‌کروم نسخه‌های قبل از 71.0.3578.98

توصیه‌ها
   • به کاربران گوگل کروم به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
   • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

برچسب‌ها

آسیب‌پذیری در مایکروسافت اینترنت اکسپلورر می‌تواند منجر به اجرای کد دلخواه شود

تاریخ ایجاد

یک #‫آسیب‌پذیری با شناسه CVE-2018-8653 در مایکروسافت اینترنت اکسپلورر کشف شده است که می‌تواند منجر به اجرای کد دلخواه شود. کد بهره‌برداری از این آسیب‌پذیری در آدرس https://github.com/p0w3rsh3ll/MSRC-data در دسترس عموم قرار دارد.
این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه در محتوای برنامه آسیب‌دیده شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
این آسیب‌پذیری می‌تواند حافظه را به گونه‌ای تخریب کند که یک مهاجم بتواند کد دلخواه را در چارچوب کاربر فعلی اجرا کند. این مهاجم می‌تواند همان حقوق کاربر را به عنوان کاربر فعلی بدست آورد. اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهره‌برداری از این آسیب‌پذیری‌ می‌تواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود.
در یک سناریوی حمله مبتنی بر وب، مهاجم می‌تواند یک وب سایت مخصوص ساختگی را طراحی کند که از طریق اینترنت اکسپلورر از آسیب‌پذیری سوءاستفاده می‌کند و سپس کاربر را مجبور به مشاهده وب‌سایت می‌کند (به عنوان مثال از طریق ایمیل).
افرادی که به‌روزرسانی ویندوز را فعال و آخرین به‌روزرسانی‌های امنیتی را اعمال کرده‌اند، به طور خودکار در برابر این آسیب‌پذیری محافظت می‌شوند در غیر این صورت می‌توانند وصله امنیتی آن را در لینک زیر دانلود و نصب نمایند.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653


نسخه‌های تحت‌تأثیر:
   • اینترنت اکسپلورر 8 برای Windows Embedded Standard 2009 XP، POSReady 2009
   • اینترنت اکسپلورر 9 برای ویندوز سرور 2008
   • اینترنت اکسپلورر 10 برای ویندوز سرور 2012
   • اینترنت اکسپلورر 11 برای ویندوز 7، 8.1، RT 8.1، 10
   • اینترنت اکسپلورر 11 برای ویندوز سرور 2008 R2، 2012 R2، 2016، 2019

توصیه‌ها
   • به کاربران مایکروسافت اینترنت اکسپلورر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
  • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

برچسب‌ها

آسیب‌پذیری در Adobe Acrobat و Adobe Reader می‌تواند منجر به اجرای کد دلخواه شود

تاریخ ایجاد

#‫آسیب‌پذیری‌ های چندگانه در Adobe Acrobat و Adobe Reader کشف شده است که می‌توانند منجر به اجرای کد دلخواه شود.
این آسیب‌پذیری می‌تواند منجر به کنترل سیستم آسیب‌دیده شود. بسته به امتیازات مربوط به کاربر، مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهره‌برداری از این آسیب‌پذیری‌ می‌تواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود. نام این آسیب‌پذیری‌ها و شناسه آنها به شرح زیر است:
   • آسیب‌پذیری چندگانه افزایش امتیاز Multiple security bypass privilege escalation با شناسه CVE-2018-16018
   • آسیب‌پذیری چندگانه اجرای کد دلخواه Multiple use after free arbitrary code execution با شناسه CVE-2018-16011

سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی متوسط و زیاد است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
   • برنامه Acrobat DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat 20217 برای ویندوز و مک نسخه 2017.011.30110 و قبل از آن
   • برنامه Acrobat Reader DC 2017 برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن
   • برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن

توصیه‌ها
   • به کاربران Adobe Acrobat و Adobe Reader به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

برچسب‌ها

گزارش بررسی رفتار مخرب 300 اپلیکیشن بازی دارای شبیه ساز در فروشگاه های اندرویدی

تاریخ ایجاد

بازی های قدیمی کنسول، دسته ای از برنامه های موجود در فروشگاه های اندرویدی هستند که به دلیل خاطره انگیز بودن آن ها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی های قدیمی در محیط اندروید لازم است شبیه سازی به منظور پیاده سازی و اجرای بازی وجود داشته باشد. این فایل شبیه ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می شود تا برنامه شبیه ساز را نصب نماید. با تایید کاربر، فایل ثانویه شبیه ساز روی دستگاه نصب شده و کاربر می تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. متاسفانه همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامه ها، فایل مربوط به شبیه ساز، بدون پسوند apk در پوشه های جانبی برنامه اصلی قرار داده شده است، در بررسی های امنیتی برنامه، توسط فروشگاه های اندرویدی، به وجود چنین فایلی توجه نمی شود و فایل شبیه ساز مورد بررسی قرار نمی گیرد. در مجوزهای نمایش داده شده در فروشگاه های اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده است و مجوزهایی که شبیه ساز از کاربر می گیرد، ذکر نمی شود. این فرصتی است که مهاجم با استفاده از آن می تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه ای سالم در فروشگاه اندرویدی منتشر سازد.
علاوه بر این، فایل شبیه ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیه ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد.
رفتار مخرب مربوط به این برنامه ها، که عموما ساختاری یکسان و تکراری دارند را می توان به سه دسته تقسیم کرد:
   • استفاده از سرویس های تبلیغاتی، علاوه بر سرویس های تبلیغاتی موجود روی برنامه اصلی
   • دانلود و نصب برنامه های دیگر (بدافزار یا برنامه های دارای سرویس های ارزش افزوده)
   • جاسوسی و ارسال اطلاعات کاربر به مهاجم
در فایل پیوست به بررسی ۳۰۰ بازی از سه توسعه دهنده که جمعا حدود صد هزار نصب فعال دارند، پرداخته شده است.

برچسب‌ها

هشدار; رتبه دوم کشور ایران در آلودگی به بدافزار استخراج رمز ‌ارز NRSMiner

تاریخ ایجاد

نسخه جدید #‫اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نموده‌اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز‌ارز #NRSMiner نیز می‌نماید. اکسپلویت EternalBlue یکی از ابزار‌های جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌نمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.

بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدید‌ترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت EternalBlue در کامپیوتر‌های آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.

این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز نموده است. این بدافزار به صورت چند‌نخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمز‌ارز و فشرده‌سازی اطلاعات را انجام دهد.

این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آن‌ها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا نموده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب می‌نماید.

این بدافزار از استخراج کننده رمز‌ارز XMRig برای استخراج رمز‌ارز استفاده می‌کند.

کاربرانی که به‌روز‌رسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب نمائید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.

برچسب‌ها

فريزشدن رايانه‌های ويندوزی ناشی از نقص جديد مرورگر Chrome

تاریخ ایجاد

اشکال جدیدی در مرورگر Google Chrome کشف و گزارش شده است که می‌تواند به‌طور بالقوه دستگاه‌های #‫ویندوز 10 را به‌طور کامل فریز سازد. این نقص با معرفی خود به عنوان پشتیبان فنی قلابی، سبب فریزشدن کامل Windows 10 می‌شود و سپس به کاربر می‌گوید دستگاهش آلوده به ویروس شده است.
این نقص جدید بااستفاده از یک کد #‫جاوااسکریپت و ایجاد حلقه، مانع از بستن سربرگ یا مرورگر می‌شود. همچنین یک پنجره‌ی pop-up نمایش داده می‌شود که ادعا می‌کند از سوی وب‌سایت رسمی پشتیبانی مایکروسافت است و رایانه آلوده به ویروسی شده است که می‌تواند گذرواژه‌ها، تاریخچه‌ی مرورگر، اطلاعات کارت اعتباری و سایر داده‌ها را به مخاطره بیندازد. از آنجایی که این یک حلقه است، هر بار که کاربر تلاش می‌کند این pop-up را ببندد، تقریباً بلافاصله دوباره باز می‌شود و این امر منجر به استفاده‌ی 100% از منابع خواهد شد و در نهایت رایانه را ناگهان فریز خواهد کرد.
این مشکل، مسئله‌ی جدیدی در مرورگر کروم نیست و این نوع گروگان‌گیری اینترنتی، یکی از رایج‌ترین کلاهبرداری‌های اینترنتی است؛ اما با اجرای گام‌های زیر به راحتی می‌توان این مشکل رایانه را رفع کرد:
   • بازکردن Task Manager از نوار وظیفه
   • رفتن به سربرگ Processes
   • کلیک‌کردن بر روی Google Chrome (یا GoogleChrome.exe)
   • کلیک‌کردن بر روی دکمه‌ی End Task در گوشه‌ی پایین سمت راست
همچنین باید مطمئن شد که Google Chrome به گونه‌ای تنظیم نشده است که دفعه بعد که این مرورگر باز می‌شود، سربرگ‌های قدیمی دوباره بازگردند. برای این کار بهتر است تاریخچه‌‌ی کوکی از مرورگر پاک شود.
یک راه‌حل خوب برای مقابله با گروگان‌گیری‌های اینترنتی این است که کاربر پیش از اجازه‌ی دسترسی به اطلاعات و پرداخت هرگونه وجهی برای رفع مشکل دستگاه، از واقعی‌بودن اطلاعات و پیشینه‌ی آن‌ها مطمئن شود. این اولین گروگان‌گیری اینترنتی نیست که Google Chrome را هدف قرار داده است. طبق گزارشی، در اوایل سال جاری، حمله‌ی Download Bomb مرورگرهای بزرگ را هدف قرار داده بود و تنها مرورگر Microsoft Edge در برابر این حمله ایمن بود.
در پایان باید به این نکته توجه داشته باشد که شرکتهای بزرگی همچون مایکروسافت معمولاً برای رفع نقص از کاربران خود درخواست پول نمی‌کنند، مگر اینکه دستگاه را به‌طور کامل بررسی و مشکل را شناسایی کرده باشند.

برچسب‌ها

بررسی آسیب پذیری پروتکل Rsync

تاریخ ایجاد

#Rsync نام یک پروتکل شبکه و همچنین نام یک ابزار متن باز است که قابلیت انتقال کارآمد و همگام‌سازی فایل‌ها در سیستم‌های کامپیوتری مختلف را با بررسی مهر زمانی و اندازه فایل‌ها فراهم می‌کند. با استفاده از این قابلیت حتی مي‌توان فقط تغييراتي که بر روي يک فايل انجام شده است را منتقل کرد. از این قابلیت در موارد مختلف به منظور صرفه‌جویی در مصرف پهنای باند و ترافیک شبکه استفاده می‌شود. در کشور ایران نیز سازمان‌های بسیاری از این سرویس استفاده می‌کنند. در صورتی که این سرویس از امنیت کافی برخوردار نباشد، امکان دسترسی بدون مجوز به فایل‌های موجود در سیستم فراهم می‌شود که مشکلات امنیتی فراوانی به بار خواهد آورد.

شرح آسیب‌پذیری
آسیب‌پذیری Accessible-rsync ناشی از پیکربندی غیر ایمن سرویس Rsync است؛ در صورتی که افراد مجاز برای دسترسی به این سرویس محدود نشده باشند و سیاست‌های امنیتی خاصی اعمال نشده باشد، مهاجمین می‌توانند از هر نقطه دنیا بدون نیاز به رمز عبور خاصی، فایل‌های به اشتراک گذاری شده در سیستم آسیب‌پذیر را مشاهده و تغییرات دلخواه خود را در آن‌ها اعمال کنند.
امن‌سازی Rsync
روش‌های امن‌سازی سرویس Rsync عبارتند از:

  • مخفی کردن اطلاعات ماژول‌ها: برای جلوگیری از نمایش اطلاعات ماژول‌ها، می‌بایست با مقداردهی list = false در فایل پیکربندی، مجوز نمایش اطلاعات ماژول‌ها را لغو نمود. در صورتی که این کار انجام نشود می‌توان لیست ماژول‌های Rsync را استخراج کرد.
  • فعال کردن مجوزهای کنترل: برای جلوگیری از ایجاد فایل‌های جدید و تغییر در فایل‌های موجود، می‌بایست با مقداردهی read only = true در فایل پیکربندی، مجوز نوشتن در فایل‌ها را لغو کرد.
  • محدودسازی دسترسی‌های شبکه: بایستی فقط به میزبان‌های خاص و قابل اعتماد اجازه دسترسی از طریق شبکه داد. به این منظور می‌توان فایل پیکربندی را با افزودن دستور hosts allow = تغییر داد.
  • فعال کردن احراز هویت برای کاربران: بایستی فقط کاربران مجاز و قابل اعتماد بتوانند به فایل‌ها دسترسی داشته باشند. از این‌رو کاربران باید رمز عبوری مشخص داشته باشند. برای این کار می‌توان در سمت سرور پیکربندی‌های زیر را انجام داد:
auth users = ottocho
secrets file = /etc/rsyncd.secrets

بدین منظور بایستی رمز عبور را در فایل /etc/rsyncd.secrets وارد کرد. فرمت قرارگیری اطلاعات کاربری در این فایل به صورت username:password در هر خط است. برای وارد کردن رمز عبور در فایل /etc/rsyncd.secrets از سمت کلاینت، کاربران می‌توانند از دستور زیر استفاده کنند. نام کاربری کاربر باید با مقدار auth users در فایل پیکربندی سمت سرور یکسان باشد و مجوز 600 برای آن‌ها تنظیم شده باشد.

Rsync -av --password-file=/etc/rsyncd.secrets test.host.com::files /des/path
  • فعال کردن رمزگذاری در هنگام انتقال اطلاعات: Rsync به طور پیش فرض از انتقال رمزگذاری شده داده‌ها پشتیبانی نمی‌کند و برای فعال کردن این قابلیت در هنگام انتقال داده‌های با اهمیت از پروتکل SSh استفاده می‌شود. Rsync از دو روش TCP و SHH برای همگام سازی فایل‌ها استفاده می‌کند.
برچسب‌ها