شماره: IRCNE200908348
فقط يك هفته پس از اينكه مايكروسافت يك اصلاحيه براي يك حفره در Windows Internet Name Service (WINS) ارائه داد، هكرهاي خرابكار حمله اي را بر عليه سيستمهايي كه اين اصلاحيه را نصب نكرده اند آغاز كردند. اين حملات كاربران ويندوز را كه هنوز اصلاحيه MS09-039 را نصب نكرده اند هدف گرفته است.
اصلاحيه MS09-039 كه در سه شنبه اصلاحيه اين ماه عرضه شد، در رده امنيتي «بسيار مهم» قرار گرفته است و مايكروسافت همان زمان هشدار داد كه ظرف مدت 30 روز شاهد سوء استفاده گسترده از اين حفره امنيتي خواهيم بود.
بر اساس گزارشات SANS ISC، فعاليتهاي اينترنتي مرتبط با پورت 42 TCP در روزهاي اخير افزايش زيادي داشته است. اين آسيب پذيري مي­تواند منجر به اجراي كد از راه دور روي سيستمي كه WINS را اجرا مي­كند گردد. بر اساس گزارشهاي سرويس خبري IGD، اين حملات از آدرسهاي آي پي در كشور چين نشات گرفته است.
كاربران ويندوز براي جلوگيري از آلوده شدن در اين حمله بايد هرچه سريعتر آخرين به روز رساني مايكروسافت را اعمال نمايند

اخبار مرتبط:
سه شنبه اصلاحيه ماه آگوست

شماره: IRCNE200908344
شركت Adobe اصلاحيه هايي را براي پوشاندن چند آسيب پذيري جدي در ColdFusion و JRun عرضه كرد.
بر اساس راهنمايي امنيتي Adobe، اين اصلاحيه ها كه در رده امنيتي «بسيار مهم» قرار گرفته اند، در مجموع 7 آسيب پذيري را پوشش مي­دهند كه برخي از آنها مي­توانند منجر به سوء استفاده از حسابهاي كاربران يا سيستم آلوده گردند. اين آسيب پذيريها محصولات ColdFusion v8.0.1 و نسخه هاي قبلي اين نرم افزار و نيز JRun 4.0 را تحت تاثير قرار مي­دهند. نرم افزار JRun يك سرور برنامه هاي J2EE و نرم افزار ColdFusion يك ابزار توسعه نرم افزارها مي­باشند.
پنج اصلاحيه از مجموعه اين هفت اصلاحيه متعلق به نرم افزار ColdFusion است كه مي­توانند باعث ايجاد حملات CSS، افشاي اطلاعات و تغيير اولويت كاربري گردند. دو اصلاحيه ديگر نيز مربوط به نرم افزار JRun مي­باشند كه مي­توانند منجر به حملات CSS و افشاي اطلاعات گردند. Adobe اعلام كرده است كه تا كنون گزارشي مبني بر سوء استفاده از اين آسيب پذيريها دريافت نكرده است.
شركت Adobe اين اصلاحيه ها را بسيار مهم خوانده و از كاربراني كه از اين محصولات استفاده مي­كنند خواسته است هرچه سريعتر اين اصلاحيه ها را نصب نمايند. براي دريافت اين اصلاحيه ها و جزئيات آسيب پذيريها مي­توانيد به سايت Adobe مراجعه كنيد.

شماره: IRCNE200908345
محققان روز سه شنبه اعلام كردند كه چيز عجيبي در دنياي بدافزارها مشاهده كرده اند و آن، عبارت است از ويروسي كه يك محيط برنامه نويسي خاص را هدف مي­گيرد.
بنا بر گفته هاي مدير تحقيقات آنتي ويروس در Sonicwall، اين ويروس كه dubbedWin32.Induc نام دارد، براي اين نوشته شده است كه به برنامه هاي ساخته شده توسط دلفي آسيب بزند. دلفي براي نوشتن برنامه هاي تحت ويندوز و نيز برنامه هاي پايگاه داده مورد استفاده قرار مي­گيرد.
زماني كه يك برنامه آلوده روي سيستمي كه دلفي دارد اجرا مي­شود، اين ويروس به هر نرم افزاري كه روي آن سيستم كامپايل مي­شود آسيب مي­زند. ويروس مذكور فايلهاي اجرايي و كد منبع خود را منتشر مي­نمايد. اين ويروس بر روي سيستم آلوده به دنبال يك كامپايلر گشته و كد منبع خود را مجددا كامپايل مي­نمايد، سپس كد خود را به هر برنامه اي كه روي آن سيستم كامپايل مي­شود اضافه مي­كند.
اين بدافزار فايلي را پاك نكرده و هيچ خرابكاري خاصي به بار نمي آورد، بلكه صرفا خود را منتشر مي­نمايد. ولي اگر شما نرم افزاري را توليد كنيد كه اين كد در آن قرار داشته باشد، نرم افزار شما توسط آنتي ويروس مسدود خواهد شد.
در حال حاضر دو ابزار رايگان به نامهاي Any TV Free 2.41 و Tidy Favorites 4.1، كه بر روي برخي پورتالها قرار دارند و حدود 30 درصد از برنامه نويسان دلفي از آنها استفاده مي­كنند، به اين ويروس آلوده شده اند.

شماره: IRCNE200908343
بر اساس مطالعه اي كه اخيرا بر روي آسيب پذيريهاي امنيتي برنامه هاي وب انجام شده است، وب سايتهايي مانند Twitter به هدف مورد علاقه هكرها براي تعبيه نرم افزارهاي خرابكار و صدمه زدن به سيستمهاي كاربران اين سايتها تبديل شده اند.
بر اساس اين مطالعه، در نيمه اول سال جاري سايتهاي شبكه هاي اجتماعي معمولترين هدف هكرها بوده اند. اين مطالعه بخشي از آخرين گزارش «پايگاه داده رويدادهاي هك در وب» (WHID) است كه روز دوشنبه ارائه شده است. در سال 2008 سايتهاي دولتي و مجريان قانون بيشترين هدف اين حملات را تشكيل مي­دادند.
با توجه به تعداد كاربراني كه در شبكه هاي اجتماعي عضو هستند، اين شبكه ها منبعي غني بعنوان هدف هكرها محسوب مي­شوند.
سايت Twitter توسط چندين كرم مورد حمله قرار گرفته است و ساير شبكه هاي اجتماعي مانند MySpace و Facebook نيز براي انتشار بدافزارها مورد استفاده قرار گرفته اند. اين اتفاق معمولا زماني رخ مي­دهد كه يك كامپيوتر آلوده شروع به ارسال لينكهايي به ساير اعضاي اين شبكه مي­كند كه اين لينكها، كاربر را به وب سايتهايي كه ميزبان بدافزار يا نرم افزارهاي خرابكار هستند راهنمايي مي­كنند. كاربران با توجه به اعتمادي كه به دوستان خود در شبكه دارند و بدون اطلاع از اينكه آنها هك شده اند، روي لينكهاي دريافت شده كليك مي­كنند.
مجموعه نمونه مورد مطالعه توسط WHID كوچك بوده و شامل 44 رويداد هك مي­گردد. اين گزارش فقط حملاتي را مد نظر قرار داده كه بطور عمومي گزارش شده اند و يا تاثير قابل توجهي روي يك سازمان داشته اند. مجموعه داده WHID به لحاظ آماري در مقايسه با تعداد حقيقي رويدادهاي هك از اهميت كمي برخوردار است، ولي روي هم رفته نشان دهنده رويكردهاي مهاجمان مي­باشد.
داده هاي ديگر نشان داده اند كه وب سايتها چگونه مورد حمله قرار مي­گيرند. معمولترين نوع حملات تزريق SQL بوده است كه در آن، هكرها سعي مي­كنند كد خرابكار خود را در فرمهاي وب وارد كرده و سيستمهاي پشتيبان مانند پايگاههاي داده را وادار به اجراي آن كد نمايند. اگر اين ورودي اعتبار سنجي نشده و توسط سيستم دريافت گردد، مي­تواند منجر به نشت داده ها شود.
ساير روشهاي مورد استفاده شامل حملات CSS و جعل درخواست cross-site مي­باشد. در روش CSS كد خرابكار به يك سيستم كلاينت اعمال مي­گردد و در روش دوم، زمانيكه قرباني با وارد كردن نام كاربري به يك سايت وارد مي­شود، يك دستور خرابكار اجرا مي­گردد.
همچنين اين مطالعه نشان مي­دهد كه تغيير ظاهر و از شكل انداختن وب سايتها هنوز معمولترين انگيزه هكرهاست. البته قرار دادن بدافزار در وب سايتها براي مقاصد مالي نيز يكي از انگيزه هاي مهم هكرها به شمار مي آيد. كامپيوترهاي هك شده مي­توانند براي ارسال هرزنامه، هدايت حملات انكار سرويس توزيع شده و نيز سرقت داده ها مورد استفاده قرار گيرند.

شماره: IRCNE200908342
نويسندگان بدافزارها تلاش مي­كنند به هر چيز و هر كسي صدمه بزنند و هيچ چيز از دست آنها در امان نيست. اين بار نويسندگان بدافزارها كاربران CAD (Computer-Aided Design) را نشانه گرفته اند. بر اساس گزارشات بدست آمده از شركت Trend Micro، حملات بدافزاري بر روي فايلهاي مورد استفاده توسط يكي از شناخته شده ترين برنامه هاي مرتبط با CAD يعني AutoCAD، مشاهده شده است.
ظاهرا اين بدافزار كه در مورد ويندوزهاي XP، NT و Server 2003 تاييد شده است، از چند سال پيش وجود داشته است. اين بدافزار دقيقا مانند بدافزار ديگري كار مي­كند كه فايلهاي مورد استفاده در Microsoft Office را مورد حمله قرار مي­دهد.
زماني كه سيستم آلوده شود، يك ماكروي خرابكار AutoCAD (acad.vlx) بارگذاري مي­گردد. اين ماكرو در فايلها و دايركتوريهاي مختلف AutoCAD خود را تكرار مي­كند. در همين زمان يك فايل رجيستري نيز بارگذاري مي­شود. اين فايل تنظيمات فايروال را غيرفعال كرده و با استفاده از دستور NET USER، يك حساب كاربري administrator ايجاد مي­نمايد. حساب Administrator ايجاد شده از حساب NET SHARE استفاده كرده و درايوهاي سيستم را به اشتراك مي­گذارد كه باعث افزايش نقاط آسيب در يك شبكه مي­گردد.
تنها نكته جالب در اين حمله اين است كه فايلهاي AutoCAD هدف اين حمله قرار گرفته اند. ميليونها كامپيوتر فقط در ايالات متحده از AutoCAD استفاده مي­كنند كه اغلب آنها عضو شبكه هاي شركتهاي بزرگ هستند.
Autodesk راه حلي براي حذف اين فايلهاي خرابكار ارائه كرده است كه مي­توانيد آن را در سايت اين شركت مشاهده نماييد.

شماره: IRCNE200908341
كاربران لينوكس در معرض خطر يك آسيب پذيري افزايش سطح دسترسي در هسته اين سيستم عامل قرار دارند. اين نقص امنيتي از يك خطاي اشاره به NULL ناشي مي شود كه در همه نسخه هاي لينوكس بعد از سال 2001 وجود دارد.
اين حفره امنيتي حدود هشت سال است كه در لينوكس وجود داشته ولي به طرز عجيبي از ديد افراد زيادي كه به دنبال نقصهاي امنيتي در لينوكس هستند، پنهان مانده است. همچنين از دست تحليلهاي استاتيكي كه بر روي هسته لينوكس و به منظور يافتن چنين حفره هايي انجام مي شوند، نيز گريخته است.
محققاني كه آسيب پذيري مذكور را پيدا كرده اند، عنوان مي كنند كه اين آسيب پذيري بر همه هسته هاي 2.4 و 2.6 و بر همه معماري ها كه بعد از سال 2001 انتشار يافته اند، تأثير مي گذارد. به نظر ايشان حفره امنيتي مذكور يك آسيب پذيري عمومي است كه بيشترين تعداد نسخه هاي هسته را از خود متأثر مي كند.

شماره: IRCNE200908339
بنابر تحقيقات جديد شركت Panda Security حدود نيمي از بدافزارهاي تازه متولد شده اعم از ويروس، تروجان يا كرم، تنها 24 ساعت پس از تولدشان دوام مي آورند.
پاندا مي گويد، 52 درصد از بدافزارهاي موجود در اينترنت به مدت يك روز انتشار پيدا كرده و به آلوده سازي رايانه ها مي پردازند. بعد از مدت زمان مذكور آنها بي ضرر و غيرفعال شده و با كدهاي خرابكار ديگري جايگزين مي شوند كه موج جديد بدافزار را تشكيل مي دهند. كد هر بدافزاري كه بيشتر از يك روز دوام آورد نيز به احتمال زياد تغيير خواهد كرد تا تشخيص آن براي كاربران و آنتي ويروس ها مشكل تر شود.
بنا بر اظهارات پاندا اين تغيير كد توسط خود ويروس نويسان انجام مي شود تا مخلوقات خود را هر چه بيشتر زنده نگاه دارند.
آقاي لوئيس كرنر مدير فني پاندا مي گويد:
" اين يك مسابقه بي پايان است كه متأسفانه هكرها همچنان برنده هستند. ما براي تحليل، طبقه بندي و مبارزه با يك بدافزار نياز به كد آن داريم. لذا ناچاريم منتظر بمانيم تا آنها كد بدافزار را بنويسند و ما به آن دسترسي پيدا كنيم و به همين جهت همواره يك گام عقب هستيم."

اخبار مرتبط:
تولد 6000 بدافزار جديد در روز

شماره: IRCNE200908337
بار ديگر IE8 ساير رقباي خود را در آزمايشي در مورد قابليتهاي مسدود كردن بدافزارها شكست داد. اين مرورگر توانست 81 درصد از سايتهاي حاوي كد حمله را تشخيص داده و مسدود نمايد. مدير آزمايشگاههاي NSS كه شركتي براي آزمايش محصولات نرم افزاري است اعلام كرد كه قابليتهاي IE8 براي تشخيص سايتهاي حاوي بدافزار از ماه مارس تا كنون حدود 17 درصد افزايش يافته است. اين آزمايش مورد حمايت مالي گروه امتيتي مايكروسافت قرار گرفته بود.
در حاليكه مرورگر IE8 توانست از هر 10 سايت حاوي بدافزار 8 سايت را تشخيص داده و مسدود نمايد، نزديكترين رقيب او يعني Firefox 3.0 توانست تنها 27 درصد اين سايتها را تشخيص دهد. مرورگرهاي Safari 4.0 و Google Chrome 2.0 نيز به ترتيب تنها 21 درصد و 7 درصد از اين سايتها را مسدود كردند و مرورگر Opera به مسدود كردن 1 درصد از اين سايتها رضايت داد.
مدير آزمايشگاههاي NSS اظهار داشت كه اين موضوع به منابع و تمركز اين شركتها برمي­گردد. مايكروسافت بعلت اينكه مدام مورد حمله قرار مي­گيرد انگيزه زيادي براي تمركز كردن روي اين مسائل دارد و در عين حال پول زيادي نيز براي به استخدام در آوردن افراد زيرك در اختيار دارد. مرورگر Opera كه ضعيفترين مرورگر در مسدود كردن بدافزارها شناخته شده نيز از اين نظر دقيقا در نقطه مقابل مايكروسافت قرار دارد.
در اين آزمايش، شركت NSS پنج مرورگر مبتني بر ويندوز يعني IE8، Firefox 3.0.11، Safari 4.0.2، Chrome 2.0.0.172.33 و Opera 10 beta را در مقابل 2100 سايت آلوده، براي مدت 12 روز و در 69 بار اجراي تست مورد بررسي قرار داد. اين آزمايش، عملكرد اين مرورگرها را در برابر سايتهايي كه از روش مهندسي اجتماعي استفاده مي­كنند مورد بررسي قرار داده است و سايتهايي كه بدون نياز به دخالت كاربر مي­توانند حمله خود را انجام دهند مد نظر اين آزمايش نبوده اند.
توليد كنندگان مرورگرهاي مختلف يك ويژگي «ضد فيلتر» را در محصولات خود قرار داده اند. براي مثال مايكروسافت يك فيلتر SmartScreen را كه يك ويژگي تشخيص بدافزار جديد است در IE8 تعبيه كرده است. تمامي اين مرورگرها بر اساس نوعي از ليست سياه عمل مي­كنند. اين ليستها حاوي سايتهاي بدافزاري شناخته شده يا مشكوك هستند و به مرورگرها اين امكان را مي­دهند كه در مورد اين سايتها به كاربران خود هشدار دهند. با اينكه مرورگرهاي Firefox، Safari و Chrome از يك ليست سياه مشترك استفاده مي­كنند، ولي نتايج مختلفي در آزمايش به دست آورده اند كه اين موضوع مي­تواند بعلت روشهاي مختلف آنها در استفاده از اين ليست باشد.
در حاليكه قابليت IE8 براي مسدود كردن سايتهاي بدافزاري نسبت به ماه مارس 17 درصد افزايش نشان مي­دهد، Firefox با 3 درصد كاهش، Safari با 4 درصد كاهش، Chrome با 8 درصد كاهش و Opera با 4 درصد كاهش، همگي ضعيفتر از ماه مارس عمل كرده اند.
در اين آزمايشها همچنين سرعت عمل اين مرورگرها در شناسايي يك سايت بدافزاري جديد نيز مورد بررسي قرار گرفت. مرورگر IE8 در 51 درصد موارد قادر است در روز نخست آغاز به كار سايت بدافزاري در اينترنت آن را تشخيص دهد و اين مقدار در روز پنجم به 91 درصد مي­رسد (40 درصد افزايش در پنج روز). به همين ترتيب مرورگر Firefox از 14 درصد در روز نخست به 24 درصد در روز پنجم و Chrome از 3 درصد در روز نخست به 14 درصد در روز پنجم مي­رسند.
بر اساس مطالعات انجام شده، مرورگر IE8 12.5 درصد كل مرورگرهاي مورد استفاده در ماه جولاي را تشكيل داده است.

شماره: IRCNE200908336
شركتهاي امنيتي Arbor Networks و Symantec گزارش دادند كه يك حساب Twitter، مي­تواند بعنوان يك مركز فرماندهي براي كنترل يك Botnet متكشل از كامپيوترهاي ويروسي مورد استفاده قرار گيرد. روز جمعه يك تحليلگر Symantec اعلام كرد كه محققان يك حساب كاربري به نام ;@upd4t3 كشف كرده اند كه پيغامهايي همراه يك لينك ارسال مي­كرد و از ديگران مي­خواست كه يك بدافزار به نام Downloader.Sninfs را دانلود نمايند. اين حساب توسط Twitter مسدود شده است. يك محقق Arbor Networks نيز اعلام كرد كه يك Botnet جنايتكار در حال استفاده از Twitter براي فرماندهي و كنترل خود است. شركت امنيتي F_Secure اعلام كرده است كه اين نخستين باري است كه Twitter بعنوان ساختار فرماندهي و كنترل مورد استفاده قرار مي­گيرد.
بدافزار Downloader.Sninfs كه به نام Infostealer.Bancos نيز شناخته مي­شود، يك تروجان است كه با استفاده از قيافه مبدل يك سايت بانكداري در برزيل، سعي مي­كند كلمات عبور و اطلاعات شخصي مرتبط را از كامپيوترهاي آلوده جمع آوري نمايد. اطلاعات سرقت شده معمولا با استفاده از يك فرم وب به وب سايت هكرها ارسال مي­گردد. در اين ميان كاربران بانكهاي آنلاين و سيستمهاي پرداخت آنلاين كه كلمات عبور آنها مدتها تغيير نمي­كند آسيب پذيرتر هستند. به همين دليل است كه اكنون بسياري از بانكها به سمت سيستمهايي مي­روند كه از كلمات عبور يكبار مصرف استفاده مي­كنند، يعني اينكه با هر بار ورود كاربر به سيستم كلمه عبور وي تغيير مي­كند.
هفته گذشته سايتهاي Twitter و Facebook هدف حملات انكار سرويس توزيع شده قرار گرفتند، اما فقط سايت Twitter براي مدت زمان طولاني كاملا از كار افتاد و همين موضوع، توجهات را به سمت وضعيت امنيتي اين سايت جلب كرد. ولي در شرايط فعلي، به نظر مي آيد كه botnet موجود در Twitter لزوما آسيب پذيري خاصي را كه مختص اين سايت باشد مشخص نمي­كند. در حقيقت هر سايتي در اينترنت مي­تواند جاي Twitter را در اين اتفاق بگيرد.

اخبار مرتبط:
Twitter باز هم از كار افتاد

شماره: IRCNE200908338
محققان ياهو بر روي كمك كاربران براي كاهش هرزنامه حساب باز كرده اند. اخيراً بخش CentMAil ياهو در نسخه بتا، 500 تمبر را به قيمت 5 دلار به فروش مي رساند.
در طرح جديد ياهو براي مقابله با هرزنامه، هر بار كه ايميلي را ارسال مي كنيد، يك تمبر ارزان قيمت را به آن متصل مي كنيد كه به سيستم توانايي تشخيص ايميلهاي حقيقي و قانوني از هرزنامه ها را مي دهد. از آنجايي كه هزينه اين كار براي ارسال كنندگان هرزنامه كه در روز ميليونها ايميل را ارسال مي كنند، بسيار زياد مي شود، بنابراين نمي توانند از اينگونه تمبرها استفاده كنند.
در گذشته نيز روشهاي مشابهي براي مقابله با هرزنامه استفاده شده بود ولي اين بار فرق مي كند زيرا هزينه هاي دريافتي از كاربران براي خيريه ها ارسال مي شود. به نظر يكي از محققان پروژه مذكور، روش فوق از لحاظ اجتماعي براي مقابله با هرزنامه مؤثرتر عمل خواهد كرد.
در حال حاضر هرزنامه ها 90 درصد ايميلهاي ارسالي را تشكيل مي دهند كه خسارتهاي مالي و زماني زيادي را سبب مي شوند.