شماره: IRCNE2012021395
تاريخ: 19/11/90

بر اساس گزارش­هاي جديدي از شركت­هاي Prolexic و Arbor Networks كه در كار مبارزه با حملات انكار سرويس توزيع شده هستند، تعداد و حجم اين نوع حملات در حال افزايش است.
Prolexic در طول سه ماهه چهارم سال گذشته، 45 درصد حملات انكار سرويس توزيع شده بيشتري را در مقايسه با مدت مشابه در سال 2010 تشخيص داده است و اين حملات بيش از دو برابر حملات مشاهده شده در طول سه ماهه سوم 2011 بوده اند.
به گفته يكي از اعضاي ارشد Prolexic، روند اين حملات به سمتي پيش مي­رود كه مدت زمان آنها كوتاه­تر است، اما تعداد بسته هاي ارسال شده در واحد ثانيه بيشتر است. ميانگين پهناي باند حمله ثبت شده در سه ماهه چهارم 2011 برابر با 5.2 گيگابيت بر ثانيه بوده است كه اين مقدار، 148 درصد بالاتر از سه ماهه سوم همين سال است. افزايش سالانه پهناي باند حمله نيز برابر با 136 درصد بوده است.
­اين روند همچنين در يك گزارش جديد از شركت Arbor Networks نيز انعكاس داده شده است كه 114 نماينده از بخش­هاي مختلف را در مورد تجارب حملات انكار سرويس توزيع شده آنها در سال 2011 مورد مطالعه قرار داده است. بيش از 40 درصد از پاسخ دهندگان گفته اند كه حملاتي را در سال گذشته تجربه كرده اند كه پهناي باند آنها بيش از 1 گيگابيت بر ثانيه بوده است، در حالي­كه 13 درصد نيز گفته اند كه حداقل هدف يك حمله با پهناي باند بيش از 10 گيگابيت بر ثانيه قرار گرفته اند.
محققان Prolexic بر اساس آمارهاي اين شركت در مورد سه ماهه آخر 2011 معتقدند كه سال 2012 يكي از پر چالش­ترين سال­ها براي تجارت­هاي آنلاين خواهد بود، چرا كه اين نوع تجارت­ها يكي از اهداف اوليه حملات انكار سرويس توزيع شده هستند.
هر دو شركت Prolexic و Arbor Networks افزايشي را در تعداد حملات انكار سرويس توزيع شده لايه 7 ثبت كرده اند كه به جاي gateway هاي اينترنت و متوازن كننده هاي بار، برنامه هاي كاربردي خاصي را هدف قرار مي­دهند كه با اينترنت روبرو هستند. آن دسته از حملات انكار سرويس توزيع شده كه برنامه ها را هدف قرار مي­دهند، بر ارسال ترافيك خرابكار با استفاده از پروتكل­هاي اين برنامه ها تمركز دارند. اين حملات كه از پهناي باند نسبتا كم و تعداد كمي ميزبان استفاده مي­كنند، بسيار موثر هستند.
به گفته يكي از اعضاي Arbor، انگيزه اصلي حملات انكار سرويس توزيع شده در سال 2011 به برخوردهاي سياسي و ايدئولوژي برمي­گردد.
بر اساس گزارش Prolexic، ژاپن منبع اصلي ترافيك حمله انكار سرويس توزيع شده در سه ماهه آخر سال 2011 بوده است. اين مساله تعجب برانگيز است، چرا كه اين كشور به ندرت حتي در زمره 10 كشور برتر توليد كننده اين حملات قرار مي­گيرد و بت نت­هاي بزرگي ندارد.

ID: IRCNE2012021395
Date: 2012-02-08

According to “ComputerWorld”, both the number and volume of distributed denial-of-service attacks are increasing, according to new reports from DDoS mitigation companies Prolexic and Arbor Networks.
During the fourth quarter of last year, Prolexic detected 45% more DDoS attacks compared to the similar period of 2010 and more than twice the number of attacks observed during the third quarter of 2011.
There's a trend toward a shorter attack duration, but a bigger packet-per-second attack volume, said Paul Sop, Prolexic's chief technology officer. The average attack bandwidth registered in the fourth quarter of 2011 was 5.2G bps (bits per second), 148% higher than what it was during the third quarter. The year over year increase for attack bandwidth in 2011 was 136%.
This trend is also reflected in a new report from Arbor Networks which surveyed 114 representatives of different market segments about their experience with DDoS attacks in 2011. Over 40% of respondents said they experienced attacks that exceeded 1G bps in bandwidth last year, while 13% said they were the target of at least one attack that exceeded 10G bps.
Based on the Prolexic's statistics for the last quarter of 2011, Paul Sop believes that 2012 will be one of the most challenging years for online businesses, because they are one of the primary targets of DDoS attacks.
Both Prolexic and Arbor Networks recorded an increase in the number of so-called layer-7 DDoS attacks, which target particular Internet facing applications rather than load balancers or Internet gateways. DDoS attacks on applications focus on sending bad traffic using those applications' protocols, said Darren Anstee, solutions architect for Europe, the Middle East and Africa at Arbor Networks. The attacks are very effective using relatively low bandwidth and just a few hosts, he said.
The number one motivation for DDoS attacks in 2011 was rooted around political and ideological conflicts, said Roland Dobbins, an Arbor solutions architect for Asia and co-author of the company's report.
Japan was the primary source of DDoS attack traffic for the last quarter of 2011, according to Prolexic. This comes as a surprise because the country rarely even makes it into the top 10 and doesn't have a large concentration of botnets.

شماره: IRCNE2012021394
تاريخ: 18/11/90

پژوهشگران آلماني ادعا مي كنند كه ضعف هايي را در دو پروتكل رايج رمزگذاري ارتباطات تلفن هاي ماهواره اي كشف كرده اند كه با استفاده از اين آسيب پذيري مي توان استراق سمع كرد.
در مقاله اي با عنوان "به تلفن هاي ماهواره اي اعتماد نكنيد"، بنديكت دريسين و رالف هاند از دانشگاه روهر توضيح داده اند كه چگونه الگوريتم هاي رمزگذاري GMR-1 و GMR-2 را مهندسي معكوس كرده اند. اين الگوريتم ها براي امن كردن ترافيك صدا بر روي شبكه هاي ماهواره اي تجاري استفاده مي شوند.
سفت افزار DSP كه مورد حمله قرار گرفته است براي دو دستگاه تلفن با مشخصات Thuraya’s GMR-1 مبتني بر SO-2510 و Inmarsat’s GMR-2 IsatPhoneProبه روز رساني شده است. در اين حمله كليدهاي رمزگذاري كه براي امن كردن ارتباطات استفاده مي شود، ظرف مدت نيم ساعت استخراج گرديد.
با توجه به مصاحبه اي با روزنامه ديلي تلگراف، محققان بر اين باورند يك سيستم بسيار قدرتمند مي تواند نتيجه مشابهي را در زمان واقعي براي استراق سمع داشته باشد.
عمدتا كاربران تجاري كه امنيت اضافي و استاندارد ETSI را به كار نبرده اند، در معرض اينگونه حملات نظري قرار دارند.
سال گذشته نوهل، محقق آلماني اين حملات را انجام داد و توانست كنترل يك گوشي موتورولا را در اختيار بگيرد.

شماره: IRCNE2012021393
تاريخ: 18/11/90

مايكروسافت اعلام كرد كه برخلاف گزارش­ها، بت نت Kelihos به زندگي بازنگشته است. ولي اين شركت هشدار داد كه يك بت نت جديد با استفاده از يك ويرايش بدافزار اصلي، در حال ايجاد شدن است.
به گفته متخصصان امنيتي، ظهور مجدد ارتش مشابه Kelihost از كامپيوترهاي به سرقت رفته نشان مي­دهد كه از بين بردن يك بت نت چه اندازه سخت است.
يك محقق ارشد در شركت امنيتي كسپراسكاي اظهار داشت كه اين كار در اغلب موارد غيرممكن استو شما فقط مي­توانيد ارتباطات بت نت را تا حدودي قطع كنيد.
­يك عضو گروه پاسخگويي امنيتي سايمانتك نيز با اين اظهارت موافقت كرد و اظهار داشت كه فقط يك راه براي حصول اطمينان از مرگ يك بت نت وجود دارد و آن راه اين است كه به افرادي كه پشت يك بت نت قرار دارند برسيد. اما وجود مرزهاي بين المللي و كمبود تعاملات بين كشورها اين كار را نيز با مشكل روبرو مي­كند.
بت نت Kelihos سپتامبر گذشته از كار انداخته شده بود. در آن زمان مايكروسافت با استفاده از دستور دادگاه فدرال مبني بر از كار انداختن دامنه هايي كه به وسيله سرور كنترل و دستور مورد استفاده قرار مي­گرفتند، ارتباطات بين سيستم­هاي آلوده و سرور دستور دهنده را قطع كرد.
صحبت از احياي مجدد Kelihos هفته گذشته توسط كسپراسكاي آغاز شد كه اعلام كرد نشانه هايي از بدافزاري جديد مبتني بر كد Kelihos پيدا كرده است. اين بدان معنا بود كه Kelihos بازگشته و در حال ارسال هرزنامه براي كاربران است.
اما يك وكيل ارشد واحد جرايم ديجيتالي مايكروسافت اين مساله را رد كرد. به گفته وي، كسپراسكاي هيچ مساله اي مبني بر از دست رفتن كنترل اعمال نظير به نظير Kelihos گزارش نكرده است و محققان مايكروسافت سرور اصلي كنترل و دستور Kelihos همچنان غيرفعال است، اما به نظر مي­رسد كه زيرساخت يك بت نت جديد با استفاده از ويرايش جديدي از بدافزار Kelihos در حال ايجاد است.
كسپراسكاي نيز اين مساله را روز دوشنبه تاييد كرد. يك محقق ارشد امنيتي كسپراسكاي اظهار داشت كه بت نتي كه از كار انداخته شده بود همچنان تحت كنترل است و سيستم­هاي آلوده هيچ دستوري از مركز كنترل و دستور دريافت نمي­كنند، در نتيجه هرزنامه اي نيز ارسال نمي­نمايند. ولي نمونه هاي جديدي كه توسط ما مورد نظارت قرار مي­گيرند همچنان دستوراتي را از هرزنامه نويسان دريافت كرده و به ارسال هرزنامه مي­پردازند. اين به معني درگير شدن ما با يك بت نت جديد است.
ظهور اين بت نت جديد نشان دهنده مشكلات محققان، توليد كنندگان نرم افزار و اجرا كنندگان قانون در از كار انداختن و نابود كردن يك بت نت است.

مطالب مرتبط:
از كار انداختن بات نت ميزبان هراس افزار MacDefender توسط مايكروسافت

ID: IRCNE2012021394
Date: 2012-02-07

According to "techworld", German researchers claim they have found weaknesses in two commonly-used satellite encryption protocols that could render them vulnerable to eavesdropping in real time.
In the paper titled Don't Trust Satellite Phones (currently available only as an abstract), Benedikt Driessen and Ralf Hund of Ruhr University describe how they reverse engineered the GMR-1 and GMR-2 encryption algorithms or stream ciphers used to secure voice traffic on a range of commercial satellite networks.
The pair attacked different digital signal processor (DSP) firmware updates for two handsets, Thuraya’s GMR-1-based SO-2510, and Inmarsat’s GMR-2 IsatPhonePro, extracting the encryption keys used to secure communications in half an hour.
According to an interview with the Daily Telegraph, the researchers believe a more powerful system could achieve the same results in real time, necessary in most cases for eavesdropping to be useful.
Nohl followed this up last year with another and even more audacious attack based on a compromised Motorola handset.

ID: IRCNE2012021393
Date: 2012-02-07

Acording to “Computerworld”, contrary to reports, the Kelihos botnet has not crawled out of the grave, Microsoft said last week. But the company acknowledged that a new botnet is being assembled using a variant of the original malware.
The reappearance of a Kelihos-like army of hijacked computers shows just how difficult it is to eradicate a botnet, security experts said today.
"It's not possible in most cases," said a senior researcher with the antivirus company Kaspersky Lab. "What you're going for is disruption more than anything."
Manager of operations at Symantec's security response team, agreed and said that there was only one way to insure a botnet's death. "If you get to the people behind it, that will be the most successful," he said. "But international borders and the lack of cross-country cooperation makes that a difficult road to go down."
Kelihos was taken offline last September when Microsoft, using a federal court order, led efforts to shut down domains used by the command-and-control (C&C), severing links between the compromised computers and their order-giving master.
Talk of a Kelihos resurrection was sparked last week by Kaspersky, which said it had found signs of new malware built on the Kelihos code. The implication was that Kelihos had returned from the dead and was again spamming users.
Not so, said a senior attorney in Microsoft's Microsoft digital crimes unit. "Kaspersky has reported no loss of control of the [Kelihos] peer-to-peer operations and Microsoft researchers have confirmed this week that the original Kelihos C&C and backup infrastructure remains down, but it appears [a] new botnet infrastructure may be being built with the new variant of Kelihos malware," he said.
Kaspersky confirmed that on Monday. "The botnet we took down is still under control and infected machines are not receiving commands from the C&C centre, so they are not sending spam," chief security expert at Kaspersky said in a statement. "But new samples which are monitored by us continue to get orders from spammers and send spam so far. It means that we are dealing with another botnet."
The appearance of that new botnet illustrates the difficulty researchers, software vendors and authorities have in exterminating a botnet.

Related Likns:
Microsoft kills botnet that hosted MacDefender scareware

شماره: IRCNE2012021392
تاريخ: 15/11/90

محققان مايكروسافت كه در حال بررسي موضوع شناسايي كاربران با استفاده از تحليل داده هاي جمع آوري شده از لاگ وب بودند، به طور اتفاقي يك طرح فوروارد كردن كوكي را كشف كردند كه مي­تواند براي كمك به سرقت نشست مورد استفاده قرار گيرد.
در صورتي­كه اين طرح به كار گرفته شود، مي­تواند به طور غيرمجاز اقدام به فوروارد كردن كوكي­هاي نشست­هاي سرقت شده به سيستم­هاي زامبي منفرد در بت نت­ها نمايد كه مي­توان از آنها براي دسترسي غيرمجاز به وب سايت­ها استفاده نمود.
اين محققان با استفاده از داده هايي درباره صدها ميليون دستگاه كه در آگوست 2010 به هاتميل متصل شده اند، درصد قابل توجهي را كشف كرده اند كه از بيش از يك سيستم مستقل اينترنتي متصل شده اند- يك مجموعه بزرگ از آدرس­هاي IP مرتبط كه معمولا تحت كنترل يك سازمان بزرگ مانند يك ارائه دهنده سرويس، شركت يا دانشگاه هستند.
با رديابي كوكي­هايي كه هاتميل براي اين دستگاه­ها فرستاده است، محققان نتيجه گرفته اند كه اغلب آنها معتبر بوده و با توجه به تغيير موقعيت آدرس IP آنها، احتمالا موبايل هستند يا اينكه از VPN استفاده مي­كنند.
اما اين محققان يك گروه كوچك از كوكي­ها نيز كشف كرده اند كه رفتار غيرعادي از خود بروز مي­دهند. براي مثال يك آدرس IP منفرد در دانمارك به تعداد زيادي از حساب­هاي هاتميل لاگين مي­كرد. آنگاه كوكي­هاي هاتميل­ كه به اين كاربران ارسال شده بودند براي دسترسي به آدرس­هاي IP در چندين سيستم مستقل در ايالات متحده مجددا مورد استفاده قرار مي­گرفتند كه مشخصا از طريق يك كانال پنهان براي آن آدرس­هاي IP ارسال مي­شدند.
حساب­هاي هاتميل كه به آنها لاگين شده بود همگي در يك روز ايجاد شده بودند و سن كاربر، داده هاي موقعيت مكاني و مدل­هاي نامگذاري در آنها يكسان بود. محققان نتيجه گيري كرده اند كه اين حساب­ها، حساب­هاي كاربري روبات هستند.
آنها دو توضيح احتمالي براي اين فعاليت­ها دارند. نخست اينكه برخي ارائه دهندگان سرويس ايميل در صورتي يك حساب را به عنوان حساب مشكوك علامت گذاري مي­كنند كه در يك بازه زماني كوتاه، از موقعيت­هاي جغرافيايي مختلفي به آن لاگين شده باشد. اين نوع فعاليت مي­تواند اين ترفند را گير بيندازد. منتشر كردن كوكي­ها مي­تواند به مهاجمان اجازه دهد كه بدون اينكه به طور واضح لاگين نمايند، به حساب­ها دسترسي پيدا كنند، در نتيجه احتمال تشخيص آن پايين مي آيد.
دوم اينكه ممكن است مهاجمان از حساب­هاي روباتي و فوروارد كوكي براي اين استفاده نمايند كه تخمين بزنند تا چه اندازه مي­توانند به حساب­ها دسترسي پيدا كنند تا براي استفاده از اين روش عليه كاربران واقعي و حساب­هاي واقعي، آمادگي پيدا نمايند.
اين محققان مي­گويند كه تحليل مدل­هاي حركتي با استفاده از داده هاي بي­نام جمع آوري شده از ارائه دهندگان سرويس مي­تواند يك روش ارزشمند براي تشخيص اين نوع حملات باشد.

شماره: IRCNE2012021391
تاريخ: 15/11/90

­گوگل اعلام كرد كه يك پروسه اسكن خودكار ايجاد كرده است كه براي دور نگه داشتن برنامه هاي خرابكار از فروشگاه اندرويد ايجاد شده است.
به گفته مدير مهندسي گروه اندرويد، اين سرويس جديد كه Bouncer نام دارد، برنامه ها را در مورد بدافزارها، جاسوس افزارها و تروجان­هاي شناخته شده اسكن كرده و به دنبال رفتارهاي مشكوك مي­گردد و آنها را با برنامه هايي كه پيش­تر تحليل شده اند مقايسه مي­نمايد.
به گفته وي، سپس هر برنامه بر روي زيرساخت ابري گوگل اجرا مي­گردد تا با شبيه سازي مشخص گردد كه هر برنامه چگونه بر روي يك دستگاه اندرويد كار مي­كند. برنامه هاي موجود نيز همزمان مورد تحليل قرار مي­گيرند.
اين سيستم برنامه اي را كه آپلود شده است گرفته و آن را در ابر اجرا مي­نمايد و كاري را كه برنامه انجام مي­دهد در يك محيط مجازي مورد نظارت قرار مي­دهد.
اگر كد يا رفتار خرابكاري تشخيص داده شود، اين برنامه به عنوان بدافزار براي بررسي دستي علامت گذاري مي­گردد. اگر برنامه به صورت واضح خرابكار تشخيص داده شود، ممكن است از بارگذاري آن جلوگيري گردد، همچنين اگر يك برنامه توسط پروسه اسكن كننده به عنوان بدافزار علامت گذاري گردد، بلافاصله حذف مي­گردد. اگر برنامه اي يك نمونه از يك بدافزار شناخته شده باشد، اصلا بارگذاري نخواهد شد.
بر خلاف Apple كه هر برنامه iPhone را پيش از ورود به فروشگاه iTunes بررسي مي­كند، گوگل براي برنامه هاي اندرويد نياز به مجوز ورود ندارد. بلكه اين شركت كار غربالگري برنامه ها را زماني انجام مي­دهد كه ايجاد كنندگان برنامه آن را بر روي فروشگاه اندرويد بارگذاري كرده باشند.
گوگل همچنين حساب­هاي توليد كنندگان جديد برنامه ها را مورد بررسي قرار مي­دهد تا از ورود يا بازگشت برنامه نويسان خرابكار جلوگيري نمايد.
گوگل بدون سر و صدا اقدام به تست Bouncer براي چند ماه كرده و تاثير آن را مشاهده كرده است. به گفته اين شركت، بين نيمه اول و دوم 2011، حدود 40 درصد در تعداد دانلودهاي برنامه هاي خرابكار كاهش وجود داشته است.
البته معلوم نيست چه تعداد برنامه خرابكار در نتيجه اين بررسي­ها مسدود شده يا از فروشگاه اندرويد حذف شده اند.
شركت امنيت موبايل Lookout اعلام كرده بود كه حدود 1000 برنامه خرابكار اندرويد سال گذشته شناسايي شدند، اما بخش عمده آنها بر روي سايت­هاي غيررسمي قرار داشتند. ولي برخي برنامه هاي خرابكار نيز به فروشگاه اندرويد راه يافته بودند.
احتمال دارد كه Bouncer برنامه هايي را نيز علامت گذاري نمايد كه به طور فني بدافزار نباشند ولي براي كلاهبرداري طراحي شده باشند. اين شامل وضعيت­هايي مانند آنچه كه در ماه دسامبر اتفاق افتاد و تعداد زيادي برنامه از فروشگاه گوگل بيرون انداخته شدند مي­شود.

مطالب مرتبط:
اخراج برنامه Siri از فروشگاه اندرويد
اخراج 22 برنامه متقلب از فروشگاه اندرويد

شماره: IRCNE2012021390
تاريخ: 15/11/90

گروه PHP، نسخه PHP 5.3.10 را روز پنج شنبه دوم فوريه منتشر كرده است كه در آن، يك نقص امنيتي بسيار خطرناك برطرف شده است. نقص امنيتي مذكور منجر به اجراي كد دلخواه بر روي سرورهايي مي شود كه نسخه قديمي پلت فرم مذكور را نصب كرده اند.
اين نقص امنيتي كه CVE-2012-0830 نام دارد، به عنوان يك خطاي طراحي طبقه بندي مي شود زيرا به صورت تصادفي و در حين اصلاح يك آسيب پذيري انكار سرويس شناسايي شده است. يكي از محققان امنيتي در Secunia درباره اين آسيب پذيري مي گويد:
" به علت يك خطاي منطقي در تابع "php_register_variable_ex()" در php_variables.c زماني كه تعداد متغيرها بيشتر از حد تعيين شده مي گردد، تابع به درستي مديريت نمي شده و منجر به اجراي كد دلخواه از راه دور توسط هكرها مي گردد."
اين خطا بر روي همه نسخه هاي قبل از اين تأثير مي گذارد.
كد سوءاستفاده از آسيب پذيري مذكور در حال حاضر به صورت آنلاين و در دسترس عموم قرار دارد، بنابراين احتمال حمله هايي كه CVE-2012-0830 را هدف قرار دهند بسيار بالا است. به مديران وب سرورها توصيه شده است كه در اسرع وقت اقدام به نصب نسخه جديد PHP 5.3.10 نمايند.

ID: IRCNE2012021392
Date: 2012-02-04

According to “ComputerWorldUK”, Microsoft researchers checking how easy it is to identify users by analysing commonly collected web-log data incidentally discovered a cookie-forwarding scheme that can be used to aid session hijacking.
If put into play, the scheme could clandestinely forward stolen session cookies to individual zombie machines in botnets that could use them to gain unauthorised access to websites, according to their research paper "Host Fingerprinting and Tracking on the Web: Privacy and Security Implications".
Using data about hundreds of millions of devices that connected to Hotmail during August 2010, the researchers found a certain percentage that connected from more than one Internet Autonomous System (AS) - a large collection of related IP addresses, usually under the control of a large organisation such as a service provider, corporation or university.
By tracking cookies that Hotmail issued to these devices the researchers concluded that most of them were legitimate and were likely mobile or using VPNs, hence the changing location of their IP addresses.
But they also found a small group of cookies exhibiting abnormal behaviour. A single IP address in Denmark was logging into a large number of Hotmail accounts. The Hotmail cookies sent to those users were then being reused to gain access from IP addresses in multiple ASs in the US, apparently having been shipped to those IP addresses via a covert channel, the researchers say.
The Hotmail accounts being logged into were all created on the same day, with the same user age, location data and scripted naming patterns. The researcher concluded they were bot user accounts.
They had two possible explanations for these activities. First, some mail providers flag an account as suspicious if it logs in from multiple geographic locations in a short time span. This type of activity could circumvent that. Spreading the cookies around could let attackers access accounts without explicitly logging in, thereby reducing the likelihood of detection.
Second, attackers may be using the bot accounts and cookie forwarding to see how effectively they can gain access to accounts in general, as preparation for using the method against real users and real accounts.
The researchers say analysing mobility patterns by using anonymised data gathered from service providers can be a valuable method of detecting this type of stealthy attack.