شماره: IRCNE2011041071

شركت امنيتي Webroot يك برنامه جديد براي كاربران Android عرضه كرده است.
اين برنامه كه Webroot Mobile Security for Android نام دارد، برنامه ها را پيش از نصب در مورد وجود بدافزار مورد بررسي قرار مي­دهد. اين نرم افزار همچنين URL ها را بررسي كرده و از حملات سرقت هويت جلوگيري مي­نمايد. ويژگي حفاظت از هويت اين برنامه به كاربران اجازه مي­دهد گوشي خود را از راه دور قفل نمايند و نيز از طريق يك نقشه و صداي هشدار دهنده، گوشي گم شده خود را پيدا كنند. اين برنامه همچنين قابليت مسدود كردن تماس­ها و پيغام­هاي متني را براي كاربر فراهم مي آورد.
ماه گذشته برنامه هاي خرابكار متعددي در فروشگاه Android كشف شدند كه به حدود 260 هزار سيستم Android راه يافتند. سرانجام گوگل اين برنامه ها را از فروشگاه خود و نيز گوشي­هايي كه اين برنامه ها را اجرا مي­كردند، حذف كرد.
تنها چند روز بعد Adobe در مورد يك نقص امنيتي در Flash Player هشدار داد كه سيستم­هاي Android را نيز تحت تاثير قرار مي­داد. اين شركت اعلام كرد كه اين نقص مي­تواند به مهاجم اجازه دهد كه كنترل كامل سيستم قرباني را در اختيار بگيرد.
شركت­هاي امنيتي ديگري مانند سايمانتك، McAfee و Lookout نيز پيش از اين محصولاتي براي محافظت از كاربران Android عرضه كرده بودند.
اين برنامه به صورت رايگان در فروشگاه Android قرار گرفته است. البته نسخه كامل اين نرم افزار به صورت پولي عرضه مي­گردد.

مطالب مرتبط:
برنامه ای جعلی برای گوشی‌های Android

شماره: IRCNE2011041070

يك كمپين بزرگ تزريق SQL كه مشابه آن در گذشته نيز مشاهده شده است، دامنه هاي بسيار زيادي را در وب هدف قرار داده است. سايت­هاي دولتي و خصوصي در كره، چين، انگلستان، امارات، كانادا، استراليا، ايالات متحده آمريكا و كشورهاي ديگر تحت تاثير اين حملات تزريق SQL قرار گرفته اند. در ميان سايت­هايي كه هدف اين حملات قرار گرفته اند، تعدادي از URL هاي iTunes نيز مشاهده مي­شوند. دامنه حمله كننده اوليه كه lizamoon.com بود، اكنون از كار افتاده است، اما سروري كه اين دامنه را ميزباني مي­كند همچنان فعال است. پيش از اينكه اين دامنه از كار بيفتد، دامنه تزريق شده كاربران را به برنامه هاي آنتي ويروس جعلي هدايت مي­كرد. تعداد سايت­هاي آسيب ديده در اين حملات به بيش از 600 هزار دامنه رسيده است. اكنون سه دامنه alias-carter.com، alexblane.com و t6ryt56.info نيز به lizamoon پيوسته اند كه تعداد سايتهاي آسيب ديده را به مراتب بيشتر مي كنند.
اين حمله در يك پروسه خودكار به سرعت گسترش يافته و كد تزريق شده، جاوا اسكريپت را از lizamoon.com دريافت كرده و قربانيان را به آدرس defender-uqko.in كه يك دامنه آنتي ويروس جعلي بسيار شناخته شده است و در برخي موارد به سمت انواع ديگري از بدافزار هدايت مي­كند. محققان Websense اظهار داشته اند كه تنها چند روز از عمر دامنه lizamoon مي­گذرد.
عمده دامنه هاي آسيب ديده در اين حملات با استفاده از ASP طراحي شده بودند و ساير دامنه ها نيز از PHP استفاده مي­كردند. اين پلتفورم­ها بسته به نوع استفاده از آنها، در مقابل بردارهاي حمله متعددي از جمله تزريق SQL و XSS آسيب پذير هستند.
برخي از URL هاي آسيب ديده، لينك­هايي به فيدهاي iTunes بوده اند. Websense در گزارشي پيرامون اين تزريق­ها اشاره كرده است كه روش كار iTunes به اين ترتيب است كه فيدهاي RSS/XML را دانلود مي­كند تا پادكست و ليست خود را به روز نمايد. به اعتقاد محققان اين شركت، اين فيدهاي RSS/XML توسط كد تزريق شده مورد سوء استفاده قرار گرفته اند. نكته مثبت در اين ميان اين است كه iTunes برچسب­هاي اسكريپت را كدگذاري مي­كند كه اين بدان معناست كه اين اسكريپت بر روي كامپيوتر كاربر اجرا نمي­شود.
اكنون عمده URL هاي iTunes كه تحت تاثير اين حمله تزريق قرار گرفته اند از گوگل حذف شده اند.
به عقيده Websense، اين مساله كه دامنه لينك شده در حال حاضر از كار افتاده است تاثير كمي بر كاهش خطر دارد، چرا كه صاحب اين دامنه مي­تواند به راحتي آن را بازگرداند.
مدير ارشد تحقيقات امنيتي در Websense معتقد است كه مجرمان، با علم به حضور تعداد بسيار زيادي از كاربران در سايت­هاي هدف، حملات تزريق SQL را بر روي اين سايت­ها انجام داده اند تا تعداد بيشتري از كاربران آسيب ببينند. تحقيقات آزمايشگاه Websense نشان مي­دهد كه نزديك به 80 درصد از وب سايت­هاي خرابكار، در حقيقت وب سايت­هاي معتبري هستند كه آسيب ديده و مورد سوء استفاده قرار گرفته اند.

شماره: IRCNE2011041069

يك محقق امنيتي ادعا كرده است كه يك نرم افزار ثبت ضربات صفحه كليد بر روي لپ تاپ­هاي جديد سامسونگ كشف كرده است كه مي­تواند براي نظارت بر تمامي فعاليت­هاي انجام گرفته بر روي لپ تاپ از راه دور مورد استفاده قرار گيرد. اين محقق NetSec، اين نرم افزار را ماه گذشته پس از خريد لپ تاپ­هاي سامسونگ با شماره مدل­هاي R525 و 540 و پس از اجراي نرم افزار امنيتي بر روي آنها كشف كرده است.
اين برنامه ثبت ضربات صفحه كليد كه StarLogger نام داشته و مبتني بر ويندوز است، زماني كه كامپيوتر روشن مي­شود آغاز به كار مي­كند، تمامي ضربات صفحه كليد را ثبت مي­نمايد و شناسايي آن نيز بسيار مشكل است. اين برنامه همچنين مي­تواند طوري تنظيم گردد كه به طور منظم اطلاعات جمع آوري شده از روي كامپيوتر را به همراه تصاويري از صفحه نمايش، براي يك ايميل از پيش تعيين شده ارسال نمايد.
يك نماينده سامسونگ اظهار داشت كه اين شركت در حال بررسي اين موضوع است. در عين حال سامسونگ استراليا اعلام كرد كه اين ادعا در مورد وجود اين برنامه ثبت ضربات صفحه كليد صحيح نيست. به گفته اين شركت، فردي كه اين ادعا را كرده است از يك برنامه امنيتي آنتي ويروس به نام VIPRE استفاده كرده است كه اين برنامه امنيتي، يك فولدر ايجاد شده توسط Microsoft Live Application را به اشتباه به عنوان نرم افزار ثبت ضربات صفحه كليد شناسايي كرده است.

شماره: IRCNE2011041068

محققاني از Kaspersky Lab جلوي يك نسخه جديد از بدافزار گروگان گير GPCode را گرفته اند. اين بدافزار به محض اجرا، فايل­هاي با پسوندهاي معروف را رمزگذاري كرده و براي بازگشايي رمز اين برنامه ها، درخواست پول مي­نمايد. به گفته Kaspersky، با توجه به روش بسيار قوي رمز گذاري كه در اين بدافزار به كار گرفته شده است، اين فايل­ها قابل بازيابي نيستند.
اين بدافزار در پيغامي به كاربر اعلام مي­كند كه تمامي فايل­هاي شخصي وي (تصاوير، اسناد، فايل­هاي متني، پايگاه­هاي داده، فيلم­ها، گواهي­نامه ها) رمزگذاري شده و فايل­هاي اصلي پاك شده اند. همچنين به كاربر هشدار داده مي­شود كه فايل­هاي رمزگذاري شده نيز بعد از چندين روز پاك خواهند شد و راهي براي بازيابي آنها وجود نخواهد داشت. سپس اين بدافزار از كاربر مي­خواهد كه در ازاي پرداخت 125 دلار، مشكل خود را حل كند.
محققان Kaspersky توصيه كرده اند كه كاربران به هيچ عنوان اقدام به پرداخت پول به اين گروگان گيرها نكنند و هميشه نسخه هاي پشتيباني از فايل‌هاي خود را در اختيار داشته باشند.

شماره: IRCNE2011041067

شركت Apple يك به روز رساني بزرگ براي اصلاح 54 آسيب پذيري امنيتي در Mac OS X عرضه كرده است. اين آسيب پذيري­ها شامل يك آسيب پذيري نيز مي­شود كه در مسابقه هكرهاي CanSecWest Pwn2Own در سال جاري، براي در اختيار گرفتن كنترل يك گوشي iPhone 4 مورد استفاده قرار گرفته بود.
آسيب پذيري مذكور ابتدا به عنوان نقصي در MobileSafari كشف شده بود، ولي Apple اعلام كرده است كه اين نقص، در روش مديريت فايل­هاي Microsoft Office توسط QuickLook قرار دارد.
اين مساله يك آسيب پذيري تخريب حافظه است. دانلود يك فايل خاص دستكاري شده Microsoft Office مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد.
Mac OS X v10.6.7 كه بايد به عنوان يك به روز رساني بسيار مهم در نظر گرفته شود، همچنين تعداد زيادي مساله امنيتي را كه مي­توانند منجر به حملات اجراي كد از راه دور از طريق فايل­هاي تصويري يا فونت­هاي خرابكار گردند، ترميم مي­كند.
برخي از مهمترين اين آسيب پذيري­ها به شرح زير هستند:
· ATS: يك مشكل سرريز بافر مبتني بر heap در مديريت فونت­هاي OpenType وجود دارد. مشاهده يا دانلود يك سند حاوي يك فونت خاص دستكاري شده مي­تواند منجر به اجراي كد دلخواه گردد. چندين مشكل سرريز بافر نيز در مديريت فونت­هاي TrueType وجود دارد. مشاهده يا دانلود يك سند حاوي يك فونت دستكاري شده خاص مي­تواند منجر به اجراي كد دلخواه گردد.
· CodeText: يك مشكل تخريب حافظه در مديريت فايل­هاي فونت در CoreText وجود دارد. مشاهده يا دانلود يك سند حاوي يك فونت دستكاري شده خاص مي­تواند منجر به اجراي كد دلخواه گردد.
· ImageIO: يك مشكل سرريز بافر مبتني بر heap در مديريت فايل­هاي JPEG در ImageIO وجود دارد. مشاهده يك وب سايت دستكاري شده خاص مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد. يك مشكل سرريز عدد صحيح نيز در مديريت تصاوير XBM در ImageIO وجود دارد. مشاهده يك تصوير XBM دستكاري شده خاص مي­تواند منجر به خروج غير منتظره از برنامه و يا اجراي كد دلخواه گردد. يك مشكل سرريز بافر در مديريت تصاوير TIFF در libTIFF وجود دارد. مشاهده يك تصوير دستكاري شده خاص TIFF مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد.
· Installer: يك مشكل پردازش URL در Install Helper مي­تواند در هنگام ورود كاربر، منجر به نصب يك عامل كه با يك سرور دلخواه تماس مي­گيرد گردد.
· QuickLook: يك مشكل تخريب حافظه در مديريت فايل­هاي Excel توسط QuickLook وجود دارد. دانلود يك فايل Excel دستكاري شده خاص مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد. اين مساله بر روي سيستم­هاي پيش از Mac OS X v10.6 تاثير نمي­گذارد.
· QuickTime: چندين مشكل تخريب حافظه در مديريت تصاوير JPEG2000 توسط QuickTime وجود دارد. مشاهده يك تصوير JPEG2000 دستكاري شده خاص توسط QuickTime مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد. يك سرريز عدد صحيح در مديريت فايل­هاي فيلم توسط QuickTime وجود دارد. مشاهده يك فايل فيلم دستكاري شده خاص مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد. يك مشكل تخريب حافظه در مديريت تصاوير FlashPix توسط QuickTime وجود دارد. مشاهده يك تصوير FlashPix دستكاري شده خاص مي­تواند منجر به خروج غير منتظره از برنامه يا اجراي كد دلخواه گردد.

شماره: IRCNE2011041066

روز جمعه شركت امنيتي سايمانتك اعلام كرد كه يك برنامه خرابكار Android كه ظاهر يك نسخه رايگان از يك برنامه معتبر را به خود مي­گيرد، داده ها را سرقت كرده و پيغام­هاي متني هرزنامه اي و نيز يك هشدار ارسال مي­نمايد كه در آن، كاربر را براي عدم پرداخت هزينه برنامه حقيقي سرزنش مي­كند.
اين برنامه كه بر روي چندين سايت مختلف به اشتراك گذاري فايل­ها در آمريكاي شمالي و آسيا در دسترس كاربران قرار گرفته است، Walk and Text نام گرفته است. اين نام، نام يك برنامه معتبر Android نيز هست كه بر روي فروشگاه Android به قيمت 1.53 دلار در دسترس كاربران قرار دارد. اين برنامه معتبر با استفاده از دوربين گوشي تلفن، به كاربر اجازه مي­دهد در هنگام راه رفتن و تايپ متن در گوشي، روبروي خود را ببينند. به گفته سايمانتك، اين برنامه جعلي به عنوان نسخه 1.3.7 اين برنامه كه در حقيقت هنوز وجود ندارد، عرضه شده است.
زماني كه اين برنامه جعلي كه سايمانتك آن را Android.Walkinwat ناميده است دانلود و اجرا مي­گردد، يك پيغام نمايش مي­دهد كه بيان مي­كند كه اين برنامه كه كاربر آن را به صورت رايگان و به جاي نسخه پولي و اصلي دريافت كرده است، مورد سوء استفاده قرار گرفته و قفل آن شكسته است. به گزارش سايمانتك، اين برنامه اقدام به جمع آوري داده هاي حساس از جمله نام كاربري، شماره تلفن و شناسه يكتاي گوشي كرده و سعي مي­كند آنها را به سرور خارجي خود ارسال نمايد.
اين برنامه همچنين يك پيغام متني سرشار از غلط­هاي املائي به تمامي شماره هاي موجود در ليست تماس كاربر ارسال مي­كند. اين پيغام بدين صورت است: «Hey, just downloaded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap, it costed only 1 buck.Don’t steal like I did!»
اين برنامه همچنين يك پيغام نمايش مي­دهد كه مي­گويد: «Application Not Licensed» و سپس هشدار مي­دهد كه: «We really hope you learned something from this. Check your phone bill;) Oh and don’t forget to buy the App from the Market.» اين پيغام شامل دكمه هايي براي خريد برنامه و يا خروج مي­باشد.

تاريخ: 08/01/90
شماره: IRCNE2011031065

اتحاديه اروپا بروز حملات سايبر بر عليه اين اتحاديه قبل از نشست بروكسل را تأييد كرد. سخنگوي اين اتحاديه گفته است كه حملات مذكور هيچ تأثير جدي بر عمليات اين سازمان نداشته است. اين اظهارات در تناقض با گزارش هايي است كه حملات را سنگين و جدي توصيف كرده اند.
سخنگوي اتحاديه گفته است كه حملات لزوماً ربطي به نشست جديد اين اتحاديه ندارد كه در آن مسائل مهمي همچون وضعيت ليبي مورد بررسي قرار مي‌گيرند.
از كارمندان اين اتحاديه خواسته شده است تا كلمات عبور خود براي ورود به شبكه را تغيير دهند و همچنين ايميل ها نيز تا پايان تحقيقات رسمي در مورد حمله ها بسته شده است.
اين حملات تنها چند هفته بعد از مورد حمله قرارگرفتن رايانه هاي دولت فرانسه كه در آن 150 رايانه هك شده بودند، اتفاق افتاده است.
سخنگوي اتحاديه اروپا از ارائه جزئيات بيشتر در مورد ماهيت حملات مذكور خودداري كرده است.

تاريخ: 01/01/90
شماره: IRCNE2011031064

متخصصان امنيتي در گروه امداد و امنيت رايانه اي سيستم هاي صنعتي آمريكا (ICS-CERT) در مورد خطري كه سيستم هاي بزرگ و زيرساخت هاي حياتي را تهديد مي كند، هشدار دادند. در حال حاضر تعداد زيادي كد سوءاستفاده از آسيب پذيري هاي موجود در چهار سيستم اصلي مربوط به مديريت كنترل و داده در محصولات نرم افزاري SCADA در اينترنت منتشر شده است و اين مسئله مشتريان سيستم هاي مذكور را در معرض خطر جدي قرار داده است.
يك متخصص امنيتي ايتاليايي يك كد اثبات حمله را براي زيمنس ارسال كرده و گفته است كه تا چند ماه پيش هيچگونه دانشي درباره سيستم هاي SCADA نداشته ولي توانسته است در اين مدت كوتاه با توجه به آسيب پذيري هاي موجود در سيستم هاي مذكور، روشي را براي حمله به اينگونه سيستم ها پيدا كند.
سيستم هاي SCADA به كارمندان زيرساخت هاي حياتي و نيروگاه ها اجازه مي دهند تا سنسورها و عمليات ها را نظارت و كنترل كنند.
گروه امداد و امنيت رايانه اي سيستم هاي صنعتي آمريكا (ICS-CERT)، 34 راهنمايي امنيتي را در مورد آسيب پذيري هاي موجود در اين سيستم ها منتشر كرده است و ظرف 24 ساعت چهار هشدار امنيتي مختلف را درباره اين سيستم ها بر روي وب سايت خود قرار داده است.
در اين هشدارها از كاربران سيستم هاي مذكور خواسته شده است حتي الامكان دسترسي اين سيستم ها به شبكه را به حداقل برسانند. همچنين دستگاه هاي كنترل سيستم نبايد به صورت مستقيم به اينترنت وصل شوند. دستگاه ها و شبكه هاي سيستم هاي كنترلي بايد در وراي فايروال به اينترنت وصل شده و از شبكه تجاري جداسازي شوند. در اين هشدار ها آمده است كه در صورت نياز به دسترسي از راه دور از روش هاي امني همچون VPN ها استفاده شود.
صنعت SCADA در حال گذار از محيطي كه در آن سيستم ها ايزوله بودند و قابليت اطمينان بر امنيت ارجحيت داشت، به محيطي مدرن تر است كه سيستم ها نيازمند ارتباط با اينترنت براي كارايي بهتر هستند. از طرفي لحاظ كردن مسئله امنيت در اين سيستم ها زمان بر بوده و از طرف ديگر شركت ها و سازمان هايي كه در حال استفاده از سيستم هاي موجود هستند نيز يك بازه زماني نسبتاً طولاني را براي تغيير نرم افزارها و سياست هاي خود نياز دارند.

تاريخ: 27/12/89
شماره: IRCNE2011031063

شركت Adobe يك به روزرساني امنيتي را براي اصلاح يك آسيب پذيري بسيار خطرناك كه در حملات هدفدار مورد سوءاستفاده بوده، منتشر كرده است.
نسخه جديد adobe flash player 10.2.153.1 يك آسيب پذيري (CVE-2011-0609) را اصلاح مي كند كه مي تواند منجر به از كارافتادن سيستم شده و يا كنترل كامل رايانه قرباني را در اختيار هكر بگذارد.
شركت adobe گزارش هاي رسيده قبلي در مورد سوءاستفاده هاي انجام شده از اين آسيب پذيري از طريق فايل هاي آلوده فلش swf نهان شده در فايل هاي اكسل (.xsl) كه از طريق پيوست ايميل ارسال مي شده است، را نيز تأييد كرد. شركت adobe همچنين اعلام كرده است كه گزارشي را مبني بر سوءاستفاده از اين حفره امنيتي در reader و acrobat را دريافت نكرده و گفته است كه حالت حفاظت شده adobe reader X مي تواند از سوءاستفاده هاي احتمالي جلوگيري به عمل آورد.
گوگل نيز نسخه جديد flash را در به روز رساني اخير مرورگر كروم لحاظ كرده است.
براي كسب اطلاعات بيشتر به راهنمايي امنيتي adobe مراجعه فرماييد.

تاريخ: 27/12/89
شماره: IRCNE2011031062

آزمايشگاه كاسپرسكي و شركت امنيتي M86 نسبت به هرزنامه‌هايي كه اخيراً در رابطه با فاجعه ژاپن منتشر مي‌شوند، هشدار دادند. اين هرزنامه‌ها كاربران را به سمت بدافزارهايي از نوع هراس افزار هدايت كرده و كدهاي خرابكاري را بر روي رايانه قربانيان نصب مي‌كنند. در اين نوع از هرزنامه‌ها كه با توجه به رويدادهاي مهم جهان انتشار پيدا مي‌كنند، مجرمان سايبر سعي مي‌كنند تا با استفاده از تكنيك‌هاي مهندسي اجتماعي مردم را براي كليك كردن بر روي لينك‌هاي آلوده فريب دهند. به محض اينكه كاربر بر روي لينك مذكور كليك مي‌كند، آسيب‌پذيري‌هاي دستگاهش براي هكر فاش شده و وي با سوءاستفاده از آنها يك هراس‌افزار (آنتي ويروس جعلي) را بر روي رايانه قرباني نصب مي‌كند كه معمولاً نه تنها كار مفيدي انجام نمي دهند بلكه باعث دردسر قرباني شده و همچنين از وي تقاضاي پول مي‌كنند. بنا بر گزارش شركت هاي امنيتي همچنان ميليون ها كاربر وجود دارند كه بر روي لينك هاي هرزنامه ها كليك مي كنند.
متخصصان امنيتي به كاربران توصيه مي كنند كه وب را از طريق محيط sandbox و با استفاده از حساب كاربري با حداقل حق دسترسي مرور كرده و اسكريپت ها را در مرورگرهاي خود غير فعال سازند.