شماره:IRCNE2014082298
تاريخ: 93/06/02

با توجه به تحقيقاتي كه اخيرا صورت گرفته است، اكثر برنامه هاي كاربردي محبوب اندرويد مشكوك به آسيب پذيري هاي SSL مي باشند.
سيستم عامل اندرويد گوگل يك برنامه منبع باز است. با وجود باز بودن اين سيستم هميشه خطرات بالقوه براي سوء استفاده، فقدان اصلاحيه و ثبات امنيتي و سيستم عامل ها و برنامه هاي كاربردي مبتني بر اندرويد كه حاوي آسيب پذيري هاي مختلف براي سوء استفاده، وجود داشته است.
پس از تجزيه و تحليل 1000 برنامه اندرويد كه بيشترين دانلود رايگان را در فروشگاه گوگل پلي داشته اند، گروه امنيتي FireEye Mobile Security اعلام كرد كه تعداد قابل توجهي از اين برنامه ها نسبت به حملات MitM آسيب پذير مي باشند. اين برنامه هاي پرطرفدار به حمله كننده اجازه مي دهند تا داده هايي را كه بين يك دستگاه اندرويد و سرور خارجي رد و بدل ميشوند ردزني كرده يا مسير آنها را قطع كنند. هم چنين محققان دريافتند كه بيش از 674 برنامه حداقل داراي يكي از سه آسيب پذيري SSL مي باشند. به عبارت ديگر حدود 70 درصد از برنامه هاي معروف اندرويد حاوي آسيب پذيري مي باشند كه مي تواند به مجرمان سايبري اجازه دهد تا اطلاعات حساس را به سرقت ببرند.
گروه امنيتي FireEye Mobile Security اعلام كرد كه بسياري از اين آسيب پذيري ها مربوط به پيكربندي كتابخانه هاي تبليغاتي مي باشد كه توسط نويسندگان برنامه هاي كاربردي مورد استفاده قرار مي گيرد.
تا زماني كه پروتكل HTTPS اغلب براي امنيت بيشتر داده هاي ارسالي استفاده مي شود، استفاده ناصحيح از كتابخانه SSL پلت فرم اندرويد مي تواند باعث شود تا اين برنامه ها در برابر حملات MitM آسيب پذير باشند.
اكتشافات اين آسيب پذيري ها در اختيار توليدكنندگان برنامه هاي كاربردي اندرويد قرار گرفته است و متعاقبا آن ها قول داده اند تا اين آسيب پذيري ها را در نسخه هاي آينده محصولات خود برطرف نمايند.

شماره :IRCNE2014082299
تاريخ 93/6/3

اخيراً زيمنس براي آسيب پذيري منع سرويس در كليه نسخه هاي SIMATIC S7-1500 CPU تا قبل از نسخه V1.6 وصله امنيتي منتشر كرده است. خانواده S7-1500 عمدتا در توليد مواد غذايي، آشاميدني و صنعت شيمي استفاده ميشود. اين آسيب پذيري در وب سايت تيم ICS-CERT نيز هشدار داده شده بود.
Arnaud Ebalard، محقق امنيتي آژانس امنيت ملي اين آسيب پذيري را شناسايي نموده است. در سال هاي اخير Ebalard به باگهاي امنيتي متعددي، مرتبط با نحوه مسيريابي از طريقIPV6 از قبيل آسيب پذيريهاي موجود در Mac OSX و كرنل لينوكس دست يافته است.
مهاجم بااستفاده از اين آسيب پذيري، مجموعه اي از بسته هاي TCP دستكاري شده را از راه دور به سيستم قرباني ارسال مي نمايد كه اين عمل سبب مي شود تا CPU بصورت خودكار از نو راه اندازي گردد و در حالت stop باقي بماند. در اين حالت CPU قادر به اجراي اسكن PLC نخواهد بود كه هدف مهاجم نيز همين مي باشد و كاربر بايد حالت RUN را براي بازيابي عمليات فعال كند. جهت سوء استفاده از اين آسيب پذيري مهاجم مي بايست از طريق شبكه به تجهيزات موردنظر دسترسي داشته باشد. نكته قابل توجه اين است كه بسته هايTCP دستكاري شده در صورتي كه با ترتيب خاصي ارسال گردند مي تواند موجب حمله منع سرويس گردد.
براي حل مشكل امنيتي S7-1500 V1.6، وصله اي توسط زيمنس منتشر شده كه از طريق وب سايت شركت قابل دانلود مي باشد.
زيمنس، وصله حفره هاي امنيتي موجود در APE و WinCC OA را در جولاي و نسخه S7-1500 را هفته گذشته منتشر كرد. البته آسيب پذيريهاي باقيمانده در محصولات ROX1، ROX2 و CP1543-1 هنوز ميتواند زمينه ساز حملات Man-in-the-middle گردد. لذا در اين مدت بهتر است كاربران محصولات ذكر شده را استفاده نكنند و يا از قابليتهاي VPN بمنظور تونل زدن FTPS/SMTP استفاده نمايند.

منبع:

http://threatpost.com/siemens-patches-dos-vulnerability-in-simatic-s7-plc/107804

شماره:IRCNE2014082297
تاريخ:93/06/01

محققان امنيتي حفره اي را كشف كردند كه ممكن است در سيستم عامل هاي اندرويد، ويندوز و OSX وجود داشته باشد و مي تواند باعث شود تا سرويس هاي معروف مانند جي ميل هك شوند.
متخصصان امنيت از دانشگاه كاليفرنيا و دانشگاه ميشيگان آسيب پذيري را شناسايي كردند كه معتقدند در سيستم عامل هاي فوق وجود دارد و به مجرمان سايبري اجازه مي دهد تا از طريق برنامه هاي كاربردي مخرب، داده هاي حساس را به سرقت ببرند.
اين ضعف بر روي تلفن هاي هوشمند اندرويد مورد آزمايش قرار گرفته است اما متخصصان بر اين باور هستند كه اين روش مي تواند بر روي تمامي پلت فرم ها مورد استفاده قرار گيرد. با اين حال تاكنون آزمايشي بر روي ساير پلت فرم ها انجام نگرفته است.
اين حمله از طريق يك نرم افزار مخرب به عنوان يك برنامه كاربردي بي خطر مانند نصب تصوير پيش زمينه كار مي كند.پس از نصب اين نرم افزار، محققان توانستند به بخشي از حافظه تلفن هوشمند دسترسي يابند. اني بخش از حافظه تنها از طريق مجوزها يا برنامه هاي كاربردي كه حق دسترسي دارند قابل دسترسي است.
سپس تغييرات اين بخش از حافظه مانيتور مي شود.اين تغييرات مربوط به "رويدادهاي تراكنشي يك فعاليت"مي باشد.به عبارت ديگر، زماني كه يك كاربر از يك برنامه كاربردي استفاده مي كند، تغييرات فعاليت آن ثبت مي شود.
اين حمله شامل دو مرحله است:ابتدا، نياز است تا اين حمله در زمان واقعي به وقوع بپوندد مانند لحظه اي كه كاربر مي خواهد به حساب كابري جي ميل لاگين كند.در مرحله دوم حمله بايد به گونه اي باشد كه براي كاربر غيرقابل تشخيص باشد.
اين حمله بر روي هفت برنامه كاربردي مورد آزمايش قرار گرفته است و در مابين 82 تا 92 درصد از مواقع موفقيت آميز بوده است. برنامه هاي كاربردي جي ميل، Chase Bank و H&R Block از جمله برنامه هايي بوده اند كه محققان توانستند با موفقيت آن ها را هك كنند. حملات بر روي جي ميل مانند حملات بر روي H&R Block در 92 درصد از موارد با موفقيت انجام شده است.
هم چنين محققان توانستند با همين روش، برنامه كاربردي آمازون را هك كنند.اما آن ها معتقدند كه هك كردن اين برنامه از بقيه مواردسخت تر بوده است و تنها در 48 درصد موارد موفق بوده اند.
به كاربران توصيه مي شود كه برنامه هاي كاربردي اندرويد را تنها از منابع معتبر دانلود و نصب نمايند و از نصب برنامه هاي نامعتبر اجتناب نمايند.

شماره: IRCNE2014072261
تاريخ:93/04/31

در نيمسال اول 2014 بيشترين تعداد حملات انكار سرويس توزيع شده به وقوع پيوسته است. با توجه به آخرين گزارش منتشر شده از Arbor Networks، تعداد رويدادهاي انكار سرويس توزيع شده در نيمسال اول 2014 به 20Gbps رسيده است و نسبت به سال 2013 دو برابر رشد داشته است. در اين بازه بيش از 100 رويداد با حجم 100Gbps يا بيشتر به ثبت رسيده است.
بزرگترين حمله گزارش شده در سه ماهه دوم يك حمله NTP reflection بوده است كه عليه كشور اسپانيا راه اندازي شده است. در حملات NTP reflection براي از كار انداختن هدف با ارسال درخواست ها از آدرس هاي جعلي استفاده مي شود. با توجه به گزارش Arbor اين قبيل حملات در سه ماهه اول بيشتر از سه ماهه دوم مشاهده شده است.
Darren Anstee،مدير Arbor اظهار داشت: پس از طوفان حملات NTP reflection در سه ماهه اول، حملات انكار سرويس توزيع شده در سه ماهه دوم تبديل به يك مشكل جدي شد. در اين مدت 100 حمله بي سابقه با حجم 100Gbps گزارش شده است.
ادامه روند حملات خيلي بزرگ يك مشكل جدي است و سازمان ها بايد از يك خط مشي حفاظتي جامع و چند لايه استفاه نمايند.

شماره: IRCNE2014072262
تاريخ: 93/4/31

مجرمان سايبري در حال انتشار يك بدافزار گروگان‌گير جديد هستند كه فايل‌ها را رمز مي‌كند و قوي‌تر و انعطاف‌پذيرتر از Cryptolocker است. Cryptolocker تهديدي بود كه اخيراً توسط وزارت دادگستري ايالات متحده فروكش كرد.
اين تهديد گروگان‌گير جديد CTB-Locker (Curve-Tor-Bitcoin Locker) ناميده مي‌شود، ولي محصولات ضد بدافزار مايكروسافت آن را با عنوان Critroni مي‌شناسند. خالق اين بدافزار از اواسط ماه ژوئن در حال تبليغ اين بدافزار براي ساير مجرمان سايبري در فروم‌هاي روسي زبان بوده است و به نظر مي‌رسد كه سعي كرده است اغلب اشكالات Cryptolocker را برطرف نمايد.
Critroni از يك الگوريتم رمزگذاري مبتني بر رمزگذاري منحني بيضوي استفاده مي‌كند كه توليد كننده آن ادعا دارد كه بسيار سريعتر از مدل‌هاي رمزگذاري مورد استفاده ساير تهديدات گروگان‌گير است. همچنين درصورتي‌كه هيچ نقصي در پياده‌سازي اين الگوريتم وجود نداشته باشد، بازگشايي فايل‌هاي رمز شده بدون پرداخت باج غيرممكن خواهد بود.
Critroni مانند Cryptolocker براي هر سيستم قرباني يك جفت كليد عمومي و خصوصي توليد مي‌كند. كليد عمومي بر روي كامپيوتر قرباني ذخيره شده و در اختيار قرباني قرار داده مي‌شود و سپس از وي درخواست مي‌گردد كه باج مورد نظر گروگان‌گير را در Bitcoin بپردازد تا فايل‌ها بازگردانده شوند.
كليد خصوصي كه براي رمزگشايي فايل‌ها مورد استفاده قرار مي‌گيرد، بر روي يك سرور دستور و كنترل راه دور قرار مي‌گيرد، صرفاً مي‌تواند از طريق شبكه Tor مورد دسترسي قرار گيرد. اين يك اقدام احتياطي است كه خالق اين بدافزار اتخاذ كرده است تا كار نهادهاي قانوني يا محققان امنيتي را براي شناسايي و از كار انداختن سرور سخت كند.
در اوايل ژوئن، وزارت دادگستري ايالات متحده به همراه نهادهاي قانوني كشورهاي مختلف، كنترل بات‌نت Gameover Zeus را كه در حال انتشار بدافزار گروگان‌گير Cryptolocker بود در اختيار گرفتند. در طول اين عمليات همچنين سرورهاي دستور و كنترل Cryptolocker نيز توقيف شدند.
Critroni براي جلوگيري از وقوع چنين اتفاقي طوري طراحي شده است كه عمليات رمزگذاري فايل‌ها را پيش از اتصال به سرور دستور و كنترل به طور محلي كامل كند. اين كار همچنين كار محصولات امنيتي شبكه را براي شناسايي و مسدودسازي به موقع آن از طريق تحليل ترافيك مشكل مي‌سازد.
به گفته نويسنده Critroni ، مسدود كردن ترافيك Tor فقط از پرداخت پول توسط كاربر جلوگيري مي‌كند، اما بدافزار كار خود را به درستي انجام مي‌دهد.
به گفته يك محقق بدافزارها، اين برنامه گروگان‌گير ابتدا كاربران روس زبان را هدف قرار داده بود، اما ويرايش‌هاي اخير آن پيغام‌هاي گروگان‌گيري به زبان انگليسي نيز نمايش مي‌دهند كه اين به معناي گسترش بيشتر اين بدافزار است.

مطالب مرتبط:
توقف توزيع بدافزار گروگان گير Cryptolocker

شماره: IRCNE2014052196
تاريخ: 29 /02/93

شركت مايكروسافت مطابق معمول همزمان با انتشار به روز رساني هاي امنيتي خود، تعدادي به روز رساني غيرامنيتي نيز منتشر كرده است. تمامي 24 به روز رساني منتشر شده براي ويندوز 8 و نسخه هاي پس از آن مي باشد.

اين شركت ابزار Malicious Software Removal را نيز به روز رساني كرده است. اين ابزار تنها براي حملات متداول طراحي شده است. در اين ماه دو خانواده جديد بدافزار با عنوان Win32/Filcout و Win32/Miuref به ابزار تشخيص بدافزار مايكروسافت اضافه شده است.

قابل توجه است كه به روز رساني هاي اين ابزار از طريق سيستم به روز رساني ويندوز XP قابل دانلود است و كاربران ويندوز XP مي توانند آخرين به روز رساني هاي اين ابزار را دريافت نمايند. شركت مايكروسافت در اين مورد خاص كاربران ويندوز XP را از دريافت به روز رساني محروم نكرده است.

شماره: IRCNE2013051852
تاريخ: 31/02/91
يك متخصص امنيت در مايكروسافت هشدار داد كه پس از سال‌ها مهجوريت در ميان مهاجمان كامپيوتري، مجدداً ويروس‌هاي كامپيوتري در سراسر جهان در حال رشد هستند.
اين متخصص امنيتي اظهار كرد كه اگرچه اين روزها ويروس‌ها نسبت به ساير تهديدات كمتر توسط مهاجمان براي حمله به سيستم‌ها انتخاب مي‌شوند، ولي اخيراً مايكروسافت مشاهده كرده است كه ويروس‌ها پس از سال‌ها براي اولين بار در حال رشد هستند.
به گفته وي، دلايل نرخ بالاي آلودگي با نرخ پايين نفوذ شبكه‌هاي پهن‌باند مرتبط است. وي افزود كه هرچه نرخ شبكه‌هاي پهن‌باند كمتر باشد، شانس انتشار بدافزارهاي مبتني بر شبكه مانند كرم‌ها و تروجان‌ها كاهش مي‌يابد.
بر اساس اين گزارش، ويروس‌ها كه 5 درصد از كل بدافزارهاي سراسر جهان را تشكيل مي‌دادند، در انتهاي سال 2012 به 7.8 درصد رسيده‌اند و اغلب آلودگي‌هاي ويروسي در كشورهايي مانند اندونزي، پاكستان، اتيوپي، بنگلادش، افغانستان و مصر رديابي شده‌اند.
مشهورترين ويروس كامپيوتري Win32/Sality نام دارد كه نرم‌افزاري است كه ويژگي‌هاي خرابكارانه خود را از ديد آنتي‌ويروس پنهان كرده و به سيستم ضربه مي‌زند.
اغلب مشاهده مي‌شود كه اين ويروس به سيستم‌هاي ويندوز XP حمله مي‌كند و از آنجايي‌كه اين ويروس چند شكلي است، كمتر بر روي سيستم‌هاي ويستا و ساير سيستم عامل‌هاي جديدتر مشاهده مي‌شود.
بر اساس اين گزارش، از آنجايي‌كه هنوز تشخيص و حذف ويروس‌ها كار ساده‌اي است، به كاربران توصيه مي‌شود نرم‌افزار آنتي‌ويروس خود را به‌روز نگاه دارند و از دانلود داده‌ها از وب‌سايت‌هاي ناشناخته يا انتقال داده با USB يا درايوهاي خارجي خودداري نمايند.

شماره: IRCNE2013051851
تاريخ: 31/02/91

Yahoo Japan كه بزرگترين پورتال وب ژاپن است اعلام كرد كه در اثر حمله‌اي كه هفته گذشته شناسايي شد، شناسه‌هاي حدود 22 ميليون كاربر لو رفته است.
اين شركت تأكيد كرده است كه اين شناسه‌ها جزو اطلاعات عمومي هستند و كلمات عبور و ساير داده‌هاي خصوصي تحت تأثير اين حمله قرار نگرفته‌اند. شناسه‌هاي Yahoo Japan به همراه كلمه عبور براي ورود به سايت استفاده شده و اغلب در هنگامي‌كه كاربر اقدام به ثبت نظر در جايي كرده يا اينكه خريدي انجام مي‌دهد، نمايش داده مي‌شود.
Yahoo Japan اعلام كرد كه دسترسي غيرمجاز به سرورهاي شناسه‌هاي خود را در بعدازظهر روز پنجشنبه كشف كرده است و پس از تحقيقات بيشتر، فايلي حاوي 22 ميليون شناسه كاربري را بر روي آن پيدا كرده است. اين شركت اظهار كرد كه مطمئن نيست كه آيا اين فايل به بيرون از اين شركت منتقل شده است يا خير، ولي امكان اين موضوع وجود دارد.
اين وب‌سايت هشدارهايي در مورد نشت احتمالي صفحات لاگين خود منتشر كرده است و سرويسي را در اختيار كاربران قرار داده است كه مي‌توانند بررسي كنند كه آيا شناسه آنها در ميان شناسه‌هاي لو رفته قرار دارد يا خير. به گفته Yahoo Japan اين شركت سال گذشته 24 ميليون شناسه كاربري فعال داشته است.
Yahoo Japan به كاربران اجازه نمي‌دهد شناسه‌هاي خود را بدون ايجاد يك حساب كاربري كاملاً جديد تغيير دهند كه اين به معناي از دست دادن دسترسي به ايميل‌ها و داده‌هاي فعلي است. اين شركت اجازه ايجاد يك شناسه كاربري ثانويه را صادر مي‌كند كه «Secret ID» ناميده شده و صرفاً براي ورود مورد استفاده قرار مي‌گيرد و به‌صورت عمومي منتشر نمي‌گردد.
اين شركت پس از وقوع يك نشت در ماه گذشته، ويژگي «Secret ID» را به عنوان بخشي از ارتقاي امنيتي خود معرفي كرد. Yahoo Japan اعلام كرده بود كه يك برنامه خرابكار بر روي سرورهاي اين شركت كشف كرده است كه داده‌هاي كاربري 1.27 ميليون كاربر را استخراج كرده است، ولي اين برنامه پيش از خروج اين داده‌ها از شركت متوقف شده است.
بر اساس گزارش‌هاي Alexa، سايت Yahoo Japan پربازديدترين وب‌سايت اين كشور بوده و پانزدهمين سايت پربيننده در سراسر جهان مي‌باشد. قسمت عمده سهام اين شركت متعلق به Softbank بوده كه صاحب يكي از بزرگترين اپراتورهاي موبايل اين كشور نيز مي‌باشد. ياهو نيز صاحب 35 درصد از سهام اين پورتال است.

شماره: IRCNE2013051850
تاريخ:31/02/92
آزمايشگاه NSS در آزمايش جديدي دريافته است كه اينترنت اكسپلورر مايكروسافت نسخه 10 بدافزارهاي بيشتري را نسبت به مرورگرهاي كروم، سافاري و اپرا مسدود مي كند.
در اين آزمايش عملكرد آخرين نسخه هاي پنج مرورگر محبوب در مدت 28 روز در برابر 754 آدرس URL آلوده شده به بدافزار مورد بررسي قرار گرفت. در اين بررسي IE10 با مسدود نمودن 99.9 درصد آدرس هاي آلوده در صدر قرار گرفت پس از آن كروم با 83.1 درصد، فايرفاكس با 10 درصد، سافاري با 9.9 درصد و اپرا 1.8 با درصد در رده هاي بعدي قرار گرفتند.
با توجه به گزارش آزمايشكاه NSS، مرورگرهاي سافاري و فايرفاكس هر دو از Safe Browsing API v1 گوگل استفاده مي كننددر حالي كه اپرا از يك طرح مشابه ديگر استفاده مي كند. به نظر مي رسد هيچ يك از اين گزينه ها به خوبي كار نمي كند. بايد توجه داشت كه مرورگر كروم از Safe Browsing API v2 استفاه مي كند.
در مقابل اينترنت اكسپلورر، مانند كروم از تركيبي از URL و فيلترينگ معروف فايل استفاده مي كند ولي با استفاده از لايه اضافي Application Reputation توانسته است در صدر اين جدول قرار گيرد و بدافزارهاي بيشتري را مسدود نمايد.
فن آوري شركت هاي مايكروسافت و گوگل در اصل با يكديگر تفاوت ندارد اما به نظر مي رسد مايكروسافت تجزيه و تحليل هاي مبتني بر فايل پيچيده تري را براي كشف تهديدات به كار مي برد.
آزمايشگاه NSS، عملكرد IE10 در ويندوز 8 را مورد آزمايش قرار داده است، سيستم App Rec نيز در IE9 براي كاربران ويندوز 7 وجود دارد اما مشخص نيست كه اين سيستم درIE9 بتواند حفاظتي مشابه با IE10داشته باشد.

شماره: IRCNE2013031797
تاريخ: 03/01/92

شركت اپل مسأله امنيتي مربوط به صفحه بازنشاني كلمه عبور Apple ID را ترميم كرد. اين آسيب‌پذيري اين امكان را براي هكرها ايجاد مي‌كرد كه با در اختيار داشتن آدرس ايميل و تاريخ تولد يك كاربر، كلمه عبور وي را تغيير دهند.
اپل روز گذشته اعلام كرد كه از اين مسأله آگاه بوده و در حال آماده‌سازي يك ترميم براي آن بوده است. همزمان، اين شركت صفحه iForgot خود را غيرفعال نمود. اكنون اين صفحه مجدداً بارگذاري شده است و اپل مشكل پيش آمده را برطرف كرده است.
اين مسأله امنيتي از يك URL خاص مرتبط با پاسخگويي به سؤال امنيتي استفاده مي‌كرد. اپل ماه آوريل گذشته سؤال امنيتي را به صفحه كلمه عبور خود افزوده بود.
اين آسيب‌پذيري در حساب كاربراني كه صحت‌سنجي دو مرحله‌اي كلمه عبور را فعال كرده بودند كار نمي‌كرد، چرا كه اين سيستم با ارسال يك كد عبور چهار رقمي به تلفن همراه كاربر، نياز به سؤال امنيتي را منتفي مي‌كند.
البته به تعدادي از دارندگان Apple ID گفته شده بود كه بايد سه روز تا فعال‌سازي صحت‌سنجي دو مرحله‌اي كلمه عبور خود صبر نمايند. علاوه بر اين، سيستم صحت‌سنجي دو مرحله‌اي كلمه عبور اكنون فقط در ايالات متحده آمريكا، انگلستان، استراليا، ايرلند و نيوزلند در دسترس قرار دارد.
بيش از 500 ميليون حساب فعال Apple ID وجود دارد كه در فروشگاه‌ها و سرويس‌هاي آنلاين متنوع اين شركت از جمله iCloud مورد استفاده قرار مي‌گيرند.

مطالب مرتبط:
صحت‌سنجي دو مرحله‌اي براي Apple ID