شماره: IRCNE2013031798
تاريخ: 03/01/92

گوگل يك ويژگي امنيتي را به‌طور كامل پياده‌سازي كرده است كه اين اطمينان را ايجاد مي‌كند كه كاربري كه در جستجوي يك وب‌سايت است، به‌صورت ناآگاهانه به يك وب‌سايت جعلي منتقل نمي‌شود.
اين شركت اينترنتي از سال 2009 سرويس جستجوي DNS عمومي و رايگان خود را كه Public DNS ناميده مي‌شود راه‌اندازي كرده است. جستجوهاي DNS براي ترجمه يك نام دامنه به يك آدرس آي‌پي مورد نياز هستند.
اما سيستم‌هاي DNS مي‌توانند توسط هكرها مورد سوء استفاده قرار گيرند. در نوعي حمله كه به مسموم‌سازي Cache موسوم است، يك سرور DNS هك شده و به‌صورتي تغيير مي‌يابد كه كاربري كه به دنبال سايتي با نام دامنه مشخصي مي‌گردد، به وب‌سايت ديگري منتقل مي‌شود.
ISP ها و ساير اپراتورهاي شبكه به آرامي در حال پياده‌سازي DNS Security Extension (DNSSEC) بوده‌اند كه از رمزنگاري كليد عمومي براي امضاي ديجيتالي ركوردهاي DNS براي وب‌سايت‌ها استفاده مي‌كند. اما پياده‌سازي DNSSEC نيازمند كار زيادي است. صاحبان دامنه‌ها بايد مطمئن باشند كه سايت‌هاي آنها به‌صورت ديجيتالي امضا شده‌اند. به گفته گوگل، حدود يك سوم از دامنه‌هاي سطح بالا امضا شده‌اند، ولي اغلب دامنه‌هاي سطح دوم امضا نشده‌اند. ISP ها و ساير ارائه دهندگان شبكه نيز بايد سيستم‌هاي خودرا پيكربندي نمايند.
گوگل اظهار كرد كه اكنون در حال بررسي امضاهاي ديجيتال بر روي پيغام‌هاي با فرمت DNSSEC است كه گام مهمي در حصول اطمينان از صحت پرسش و پاسخ‌هاي DNS به شمار مي‌رود.
به گفته مدير گروه Google Public DNS، پيش از اين پيغام‌هاي با فرمت DNSSEC پذيرفته و فوروارد مي‌شدند، اما اعتبارسنجي در مورد آنها صورت نمي‌گرفت. اكنون و با اين ويژگي امنيتي جديد، گوگل مي‌تواند از افراد در برابر حملات مبتني بر DNS بهتر محافظت كرده و با شناسايي و بازگرداندن پاسخ‌هاي نامعتبر از دامنه‌هاي محافظت شده توسط DNSSEC، در مجموع DNS را امن‌تر سازد.
صفحات فني گوگل در مورد DNSSEC بيان مي‌كند كه درصورتي‌كه اين سيستم قادر به اعتبارسنجي يك دامنه نباشد، يك پاسخ خطا باز خواهد گرداند. اما اگر يك دامنه بسيار مشهور به درستي اعتبارسنجي نگردد، ممكن است آن سايت تا برطرف شدن مشكل از ليست سياه خارج گردد.
Google Public DNS روزانه به بيش از 130 ميليارد درخواست از بيش از 70 ميليون آدرس آي‌پي پاسخ مي‌دهد. فقط 7 درصد از اين درخواست‌ها اطلاعات DNSSEC را درخواست مي‌كنند.

ID: IRCNE2013031798
Date: 2013-03-23

According to “TechWorld”, Google has fully implemented a security feature that ensures a person looking up a website isn't inadvertently directed to a fake one.
The Internet company has run its own free public Domain Name System (DNS) lookup service, called Public DNS, since 2009. DNS lookups are required to translate a domain name, such as www.idg.com, into an IP address that can be called into a browser.
But DNS systems can be tampered with by hackers. In an attack called "cache poisoning," a DNS server is hacked and modified so that a user looking for www.idg.com is directed to a different website.
ISPs and other network operators have been slowly implementing DNS Security Extensions (DNSSEC), which uses public key cryptography to digitally "sign" the DNS records for websites.
DNSSEC requires a fair amount of work to implement. Domain owners have to ensure their sites are digitally signed. About one-third of top-level domains are signed, but most second-level domains are not, according to Google. ISPs and other network providers must also configure their systems.
Google said it is now checking the digital signatures on DNSSEC-formatted messages, an important step in ensuring correct DNS queries.
"Previously, we accepted and forwarded DNSSEC-formatted messages but did not perform validation," wrote Yunhong Gu, team lead for Google Public DNS. "With this new security feature, we can better protect people from DNS-based attacks and make DNS more secure overall by identifying and rejecting invalid responses from DNSSEC-protected domains."
Google's technical pages on DNSSEC state that if it cannot validate a domain, it will return an error response. But if a very popular domain is failing to validate, it may exclude the site from its blacklist until the problem is fixed.
Google's Public DNS answers more than 130 billion queries from more than 70 million IP addresses per day, Gu wrote. Only 7 percent of those queries request DNSSEC information, however.

ID: IRCNE2013031797
Date: 2013-03-23

According to “CNet”, Apple has fixed the security issue involving its Apple ID password-reset page, a vulnerability that had made it possible for hackers with a user's e-mail address and birth date to reset the user's password.
Apple said yesterday that it was aware of the issue and was preparing a fix. Meanwhile, the company had taken the "iForgot" reset page offline for maintenance. Now the page is back up, and Apple has confirmed the fix with CNET.
The security exploit made use of a special URL that got around the need to answer a security question. Apple had added the question step last April.
The exploit didn't work on the accounts of users who had enabled two-step verification, which Apple introduced Thursday. That system does away with the security question in favor of sending a request for a four-digit PIN code to a cell phone. The user enters the PIN along with the typical password.
However, as reported by The Verge, a number of Apple ID holders were told they'd have to wait three days before they could enable the two-step verification setup. Also, at this point, the two-step system is available only in the U.S., Britain, Australia, Ireland, and New Zealand.
There are more than 500 million active Apple ID accounts, which are used for the company's various stores and online services, including iCloud.
Related Posts:
Apple adds two-step verification option for Apple IDs

شماره: IRCNE2013031796
تاريخ: 02/01/92

پس از افشاي تصادفي چند هزار نام و آدرس ايميل كاربران Xbox Live، مايكروسافت به اين كاربران اطمينان مي‌دهد كه حساب‌هاي كاربري آنها مورد سوء استفاده قرار نگرفته است.
چند روز پيش گزارش‌هايي مبني بر نشت داده‌هايي كه سه هزار نفر از رأي دهندگان در يك نظرسنجي Xbox Entertainment Awards را تحت تأثير قرار داده است، منتشر شد.
بنا بر يك گزارش و بر اساس سايت اخبار بازي‌هاي MCV، نام‌ها، تگ‌هاي بازيكنان، آدرس‌هاي ايميل و تاريخ تولد كساني كه در مورد موسيقي، فيلم، برنامه تلويزيون و بازي‌هاي مورد علاقه خود در Xbox awards رأي داده‌اند، به‌صورت آنلاين منتشر شده است.
ادعا شده است كه مشاهده كنندگان سايت قادر بوده‌اند فهرست‌ها را ويرايش كرده و حذف نمايند، اما اكنون اين صفحات حذف شده‌اند.
هنوز مشخص نيست كه اين اطلاعات چه مدت آنلاين بوده‌اند. ولي كساني كه تحت تأثير اين رخداد قرار گرفته‌اند ممكن است در معرض حملات سرقت هويت قرار گيرند.
يك سخنگوي مايكروسافت مشكل را مربوط به خطايي در برنامه رأي‌گيري Xbox Entertainment Awards دانست.
وي اظهار داشت كه مايكروسافت به‌طور تنگاتنگ با آن دسته از رأي دهندگان Xbox Entertainment Awards كه تحت تأثير اين رخداد قرار گرفته‌اند در تماس است تا اطمينان حاصل كنند كه حساب Xbox Live آنها مورد سوء استفاده قرار نگرفته است و برنامه رأي گيري نيز به محض حل مشكل، به صفحه فيس‌بوك اين شركت باز گردانده خواهد شد.

شماره: IRCNE2013031795
تاريخ: 92/01/02

دو شركت امنيتي برطرف كننده اي موقت براي رخنه موجود در برخي از گوشي هاي سامسونگ منتشر كرده است. اين رخنه ها مي توانند به مهاجم اجازه دهند تا از قفل صفحه كليد عبور نمايند.
ديويد ريچاردسون، مدير محصول در Lookout Mobile Security اظهار داشت كه اين مشكلات به پياده سازي قابليت تماس اضطراري گوشي هاي سامسونگ مرتبط مي شود.
امنيت موبايل Lookout‌ و Bkav محصولات خود را به منظور برطرف كردن موقت اين رخنه، به روز رساني كردند.
اين يك نقص جدي است زيرا در صورتي كه كاربر گوشي خود را گم كند، داده هاي گوشي آن مي تواند در معرض خطر قرار گيرند. تعداد دستگاه هايي كه تحت تاثير اين رخنه قرار دارند، مشخص نيست اما ريچاردسون گفت: گوشي هاي Galaxy S3، S3 Mini و Note II كه داراي سيستم عامل اندرويد Jelly Bean مي باشند، تحت تاثير اين رخنه قرار دارند.
Eden‌ نيز روز چهارشنبه رخنه جديد ديگري در گوشي هاي سامسونگ كشف كرد. او با استفاده از يك گوشي Galaxy Note II با سيسام عامل اندرويد نسخه 4.1.2، توانست يك تماس اضطراري برقرار كند و در نهايت برنامه اي را از فروشگاه گوگل دانلود نمايد كه مي تواند قفل صفحه كليد گوشي را باز كتد.
هنگاميكه شركت سامسونگ يك اصلاحيه را منتشر كرد، ريچاردسون گفت كه Lookout مي تواند اين برطرف كننده را غيرفعال نمايد.
مطالب مرتبط:
كشف رخنه جديد درگوشي هاي سامسونگ

شماره: IRCNE2013031794
تاريخ: 02/01/92

چند روز پيش يك محقق امنيتي اعلام كرد كه بت‌نت جديدي كشف كرده است كه Chameleon نام گرفته است و حداقل 202 وب‌سايت را هدف قرار داده است. به گفته اين محقق، اين بت‌نت از بيش از 120 هزار سيستم ويندوز تشكيل شده است. اين سيستم‌ها با يك مرورگر مبتني بر Trindent و پشتيباني كننده فلش كه جاوا اسكريپت را اجرا مي‌كند، به وب متصل هستند. بخش عمده‌اي از اين سيستم‌ها (95 درصد) داراي آدرس‌هاي آي‌پي متعلق به ايالات متحده مي‌باشند.
اين بت‌نت حداقل 9 ميليارد بار آگهي‌هاي تبليغاتي اين 202 وب‌سايت را هدف قرار داده است. در اين سايت‌ها در كل 14 ميليارد بار بر روي آگهي‌هاي تبليغاتي كليك مي‌شود كه اين بدان معني است كه عمده تبليغات آنها از طريق اين بت‌نت هدف قرار مي‌گيرند.
اما نكته اين مسأله اينجاست كه آگهي دهندگان به ازاي هر هزار كليك بر روي آگهي‌هاي تبليغاتي، 69 سنت به سايت‌ها پرداخت مي‌كنند. به اين ترتيب بت‌نت Chameleon قادر است شش ميليون دلار در ماه از آگهي دهندگان به دست آورد.
اگرچه بت‌نت‌ها پيش از اين براي هدف قرار دادن آگهي‌هاي متني مورد استفاده قرار گرفته‌اند، اما از آگهي‌هاي نمايشي دور بوده‌اند، چرا كه آگهي دهندگان به روش بسيار پيچيده‌تري فعاليت آنها را تحليل مي‌كنند. در بسياري از موارد، اين تحليل‌ها بت‌نت‌ها را پيش از اينكه شانس كاري را داشته باشند كشف مي‌كنند. اما به گفته محقق امنيتي مذكور، Chameleon بسيار پيچيده است و مانند كاربران واقعي وب رفتار مي‌كند. البته اين بت‌نت همچنان نشانه‌هايي دارد كه آن را لو مي‌دهد. به گفته وي، علي‌رغم پيچيدگي هر سيستم در اين بت‌نت، ترافيك توليد شده توسط اين بت‌نت بسيار همسان است. تمامي مرورگرهاي اين بت‌نت خود را IE 9 در سيستم ويندوز 7 معرفي مي‌كنند. اعضاي اين بت‌نت با كمي تنوع، وب‌سايت‌هاي يكساني را مشاهده مي‌كنند.
كشف اين بت‌نت يك ماه پس از از كار افتادن بت‌نت باميتال توسط مايكروسافت و سايمانتك اتفاق افتاده است.

شماره: IRCNE2013031793
تاريخ:92/01/02

رخنه امنيتي ديگري در برخي از گوشي هاي سامسونگ كشف شده است كه به كاربران اجازه مي دهد تا به دستگاه هاي سامسونگ دسترسي كامل داشته باشند.
Terence Eden هشدار داد كه اين مشكل جديد مي تواند به كاربران اجازه دهد تا با استفاده از برنامه هاي متفرقه، از قفل صفحه عبور نمايند.
اين مشكل الگوهاي باز كردن قفل، صفحات داراي كد PIN‌و امنيت تشخيص چهره را تحت تاثير قرار مي‌دهد. اين مشكل بر روي گوشي هاي Galaxy Note II با سيستم عامل اندرويد نسخه 4.1.2 و نسخه هاي پيش از آن آزمايش شده است. اين رخنه ممكن است ساير گوشي هاي اندرويد و دستگاه هاي سامسونگ را تحت تاثير قرار دهد. روش سوء‌ استفاده از اين رخنه همانند رخنه قبلي است و مي تواند منجر به دسترسي مستقيم به گوشي شود. هم چنين روش سوء استفاده از اين رخنه شامل مراحلي مي شود كه تا حدي راه دسترسي غيرمجاز به گوشي ها را دشوار مي سازد.
شركت سامسونگ رخنه قبلي اين دستگاه را برطرف نكرده است و كاربران را در معرض خطري بالقوه قرار داده است. علاوه بر اين، رخنه مشابه جديد مي تواند مشكلاتي براي كاربران سامسونگ ايجاد نمايد.
در حال حاضر تنها يك ROM‌ متفرقه مي تواند جلوي چنين حملاتي را بگيرد. با توجه به Eden، يك ROM‌ نرم افزاري طراحي شده براي سامسونگ Galaxy S III، مي تواند اين مشكل را برطرف نمايد.

شماره: IRCNE2013031792
تاريخ: 02/01/92

روز گذشته شركت اپل يك لايه امنيتي ديگر به سيستم Apple ID خود اضافه كرد كه مي‌تواند كلمه عبور افراد براي ورود به سرويس‌هاي مختلف اپل را مستحكم‌تر سازد.
كاربران داراي شناسه اپل اكنون مي‌توانند براي صحت‌سنجي دو مرحله‌اي كلمات عبور خود ثبت نام نمايند. صحت‌سنجي دو مرحله‌اي، سيستمي است كه يك كد عبور 4 رقمي را توسط پيام متني به تلفن كاربر ارسال مي‌كند و بايد در وراي كلمه عبور معمولي مورد استفاده قرار گيرد. در عمل، اين روش مي‌تواند از مورد سوء استفاده قرار گرفتن حساب كاربري توسط مهاجم محافظت نمايد، مگر اينكه آن فرد، به موبايل كاربر نيز دسترسي داشته باشد.
اين حركت كمتر از يك سال پس از درخواست اپل از كاربران خود براي تنظيم سؤالات امنيتي (يك معيار امنيتي معمول كه پيش از آن عدم حضور آن حس مي‌شد) در حساب‌هاي آنلاين صورت گرفته است. زماني كه صحت‌سنجي دو مرحله‌اي فعال گردد، ديگر نيازي به به خاطر سپردن سؤالات امنيتي نخواهد بود.
يك سخنگوي اپل اظهار داشت كه اين شركت، حريم خصوصي كاربران را بسيار جدي مي‌گيرد و صحت‌سنجي دو مرحله‌اي، يك روال بسيار مستحكم براي حفاظت از داده‌هاي كاربران است و اكنون كاربران اين امكان را دارند كه از مزاياي اين لايه جديد امنيتي استفاده كنند.
بنا بر اظهارات اين شركت، اين ويژگي اكنون در ايالات متحده آمريكا، انگلستان، ايرلند، استراليا و نيوزلند در دسترس قرار دارد.
اپل ديرتر از ساير شركت‌هاي فن‌آوري، اين ويژگي امنيتي را به كار گرفته است. گوگل از اوايل سال 2011 اقدام به استفاده از اين ويژگي امنيتي كرده است. سايرين از جمله فيس‌بوك، ياهو، PayPal و Dropbox نيز مدت‌ها است كه از اين ويژگي استفاده مي‌كنند.
بنا بر آمار رسمي، اپل در ژانويه سال جاري بيش از 500 ميليون حساب فعال داشته است.

شماره: IRCNE2013031791
تاريخ:92/01/02

تنها دو روز پس از آن كه شركت اپل يك برطرف كننده براي آسيب پذيري موجود در قفل صفحه كليد منتشر كرد، يك آسيب پذيري عبور از رمز عبور در محصولات اپل كشف شد.
با استفاده از اين آسيب پذيري مي توان از قفل صفحه كليد گوشي هاي آيفون 4 عبور كرد. با قفل كردن دستگاه و فعال كردن قابليت Voice Control، مي توان با بيرون آوردن سيم كارت همزمان با شماره گيري توسط دستگاه، قفل صفحه كليد را باز نمود. در نتيجه كليه برنامه هاي گوشي باز مي مانند و مي توان به لاگ هاي تماس هاي اخير گوشي، ارتباطات و ايميل صوتي دسترسي يافت. هم چنين مي توان با ايجاد يك ارتباط جديد به عكس ها و ويدئو ها دسترسي يافت.
در اين روش به محض خاموش شدن صفحه، دستگاه قفل مي شود اما مي توان مراحل فوق را دوباره تكرار نمود. اين آسيب پذيري نيز مي تواند در صورت غيرفعال بودن Siri، كاربران گوشي هاي آيفون 4s و 5 را تحت تاثير قرار دهد.
در حال حاضر كاربران مي توانند با غيرفعال كردن Voice Dial، بر روي نسخه هاي قديمي آيفون يا غيرفعال كردن Siri‌ از گوشي هاي خود محافظت نمايند.

ID: IRCNE2013031796
Date: 2013-03-22

According to “ITPro”, Microsoft is assuring Xbox Live subscribers their accounts have not been compromised, following the accidental disclosure of several thousand users’ names and email addresses online.
Reports of a data breach affecting nearly 3,000 people who voted in an Xbox Entertainment Awards poll, and were subsequently entered into a prize draw, emerged yesterday.
According to a report and screen grab on gaming news site MCV, the names, gamer tags, email addresses and birthdays of those who voted for their favourite music, films, TV shows and games in the Xbox awards were published online.
It is claimed that visitors to the site were able to edit and remove the listings, but the page has since been taken offline.
It is not yet known how long the information was online for. But - if it did fall into the wrong hands - those affected could find themselves at increased risk of phishing attacks, if cyber criminals seize on the breach and the email addresses to send them spoof emails.
In a statement to IT Pro, a Microsoft spokesperson blamed the data’s disclosure on an error within the Xbox Entertainment Awards voting app.
“Upon learning on 19 March that a number of UK Xbox Live subscribers have inadvertently had a limited amount of personal data disclosed online...Microsoft took immediate steps to remove the application from its UK Facebook page,” the statement read.
“We are working closely with affected Xbox Entertainment Awards voters who have been in touch with us to ensure their Xbox Live accounts have not been compromised and will restore the voting app to our Facebook page once the issue is resolved,” it concluded.