Menu

شبکه و امنیت

ویروسی که بدون اینترنت اطلاعات را سرقت می‌کند

ما همیشه شنیده‌ایم که ویروس‌ها از طریق اینترنت یا شبکه به کامپیوتر ما نفوذ می‌کنند که البته درست هم بود. اما اکنون وضعیت کمی تغییر کرده و اتفاق عجیبی در زمینه نفوذ به کامپیوترها افتاده است. اگر کامپیوتر شما هم برای خنک شدن از فن استفاده می‌کند باید بدانید محققان روشی را اختراع کردند که می‌تواند اطلاعات شما را از طریق صدای CPU و فن دستگاه سرقت کند.   محققان ویروسی ساخته‌اند که صدای سرعت CPU و فن خنک‌کننده دستگاه را به‌صورت کد مورس ترجمه و به اطلاعات تبدیل می‌کند. این سیگنال‌های مورس تا فاصله 8 متری به خوبی شنیده می‌شوند و می‌توان آنها را با یک گوشی هوشمند دریافت کرد. البته برای دریافت اطلاعات، گیرنده باید به فن دستگاه شما بچسبد. که البته خیلی کار مشکلی نیست. این گیرنده می‌تواند یک برچسب کوچک باشد و زمانی که نصب شد می‌تواند محل ذخیره اطلاعات را پیدا کند و با کنترل سرعت CPU و فن دستگاه، اطلاعات را دریافت کند و متاسفانه شما هیچ راهی برای متوجه شدن ندارید. اما چون این روش با کد مورس کنترل می‌شود نمی‌توان حجم زیادی از اطلاعات را سرقت کرد.   اما محققان به این نتیجه رسیده‌اند زمانی که سرعت CPU به 900 بیت در ساعت می‌رسد(این سرعت خیلی کم اتفاق می‌افتد)، کامپیوتر شما در حال رمزگذاری است و می‌توان به فایل‌های رمز‌گذاری شده دسترسی پیدا کرد. البته این نوع حمله به دو چیز نیاز دارد که هکر را خیلی محدود می‌کند. اول اینکه هکر باید نزدیک شما باشد نهایتا تا فاصله 8 متری. دوم هم اینکه، باید یک برچسب را روی فن دستگاه شما نصب کند. البته همه اینها هم شدنی است و این موضوع نشان می‌دهد امن‌ترین کامپیوترها هم امن نیستند. ادامه مطلب: ویروسی که بدون اینترنت اطلاعات را سرقت می‌کند

پایگاه‌های اینترنتی کشور سیستم مدیریت وقایع دارند؟

آیا سازمانها برنامه‌ای برای جمع‌آوری و پیدا کردن همبستگی و روابط بین لاگ‌ها از چند منبع را برای تحلیل برخط در اختیار دارند؟   مرور وقایع سایبری اخیر در ارتباط با پایگاه‌های اینترنتی کشور نشان می‌دهد که مسئولان فنی بیش از هر زمان دیگری نیازمند توصیه‌های امنیتی هستند.   مرکز ماهر در بخشی از گزارش "راهنمای فنی برای ارتقا امنیت فناوری اطلاعات در سازمان" به جمع‌آوری و تحلیل لاگ‌ها و وقایع پرداخته و گفته است که از داشتن یک برنامه SIEM برای جمع‌آوری لاگ‌ها، تحلیل‌ها، همبستگی آنلاین، و پاسخ خودکار مطمئن شوید.   آیا سازمان، برنامه‌ای برای جمع‌آوری و پیدا کردن همبستگی و روابط بین لاگ‌ها از چند منبع را برای تحلیل برخط در اختیار دارد؟   اگر چه ممکن است، لاگ‌ها به خودی خود باعث حل مشکلات امنیتی نشوند اما وسیله ضروری برای نظارت بر وقایع امنیتی و تحلیلی حوادث هستند.   تمامی دستگاه‌های موجود در شبکه توانایی تولید لاگ اتفاقات خود را دارند.   با در اختیار داشتن داده‌های مربوط به لاگ دستگاه‌های متفاوت می‌توان آنها را به صورت آنلاین پردازش کرد و با استفاده از رابطه بین آنها مشکلات امنیتی پیش آمده را تشخیص و نسبت به رفع آن اقدام کرد.   سیستم‌های مدیریت وقایع و امنیت اطلاعات (SIEM) بهترین راه‌حل برای مدیریت جامع لاگ‌های سیستم است.   این سیستم‌ها قابلیت پاسخ خودکار را برای مشکلات امنیتی دارند، که با این کار گروه‌های امنیتی سازمان‌ها می‌توانند مطمئن باشند که قادر هستند توسط این سیستم‌ها مانع وقوع بسیاری از مشکلات امنیتی شوند.   بسیاری از برنامه‌های امنیتی موجود در شبکه نسبت به استفاده‌های نادرست و دسترسی غیرمجاز آسیب‌پذیر هستند.   این برنامه‌ها شامل موارد زیر است:   سیستم‌های تشخیص نفوذ برنامه‌های آنتی‌ویروس فایروال‌ها، روترها و دیگر دستگاه‌های موجود در شبکه وی‌پی‌ان، درگاه‌های امن و سرورهای انتقال فایل برنامه‌های سروری، وب سرورها و سرورهای پایگاه داده سیستم‌عامل‌ها، ماشین‌های مجازی و ... مانیتور کردن لاگ وقایع در هر کدام از موجودیت‌های بالا از دیدگاه یک متخصص امنیت در سازمان بسیار لازم و ضروری است.   ایزارهای مدیریت وقایع و امنیت اطلاعات به عنوان یک راه‌حل برای مدیریت لاگ‌هاست که می‌تواند با دیگر ابزارهای امنیتی تلفیق شود.   به صورت خلاصه این ابزارهای دارای ویژگی‌های به شرح زیر هستند:   مجتمع کردن و تحلیل تمامی لاگ‌ها به صورت بر خط پیدا کردن روابط و همبستگی لاگ‌ها با دیگر وقایع رخ داده در شبکه تشخیص درست برای ممانعت و ترمیم تهدیدهای آنی در سیستم‌ها براساس جدول زمانی تولید پاسخ‌های خودکار براساس بهترین اعمال امنیتی ادامه مطلب: پایگاه‌های اینترنتی کشور سیستم مدیریت وقایع دارند؟

منشأ یکی از حملات سایبری منع سرویس کشف شد

بررسی‌ها نشان می‌دهد بسیاری از نرم‌افزارهای TFTP بطور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید می‌کنند.   پروتکل TFTP یا Trivial File Transfer Protocol پروتکلی ساده برای انتقال فایل درون شبکه است که این امکان را در اختیار کلاینت قرار می‌دهد تا فایل مورد نظرش را به یک سیستم راه دور ارسال یا از آن دریافت کند.   این پروتکل قدیمی بوده و در سال 1981 میلادی در قالب یک استاندارد ارائه و در سال‌های بعد نسخه‌های تکمیلی به استاندارد افزوده شده است.   از عمده‌ترین کاربردهای این پروتکل می‌توان به انتقال خودکار فایل‌های مربوط به تنظیمات یک دستگاه یا فایل‌های مورد نیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشاره کرد.   TFTP از پروتکل UDP و شماره پورت 69 برای انتقال فایل یا گاهی از TCP و شماره پورت 8099 به منظور انتقال اطلاعات مربوط به رابط کاربری استفاده می‌کند.   هدف از طراحی پروتکل TFTP کوچک بودن و سادگی پیاده‌سازی آن بوده و بنابراین فاقد بسیاری از ویژگی‌هایی است که توسط دیگر پروتکل‌های انتقال فایل قدرتمند ارائه می‌گردد.   تنها کاری که TFTP انجام می‌دهد خواندن یا نوشتن فایل‌ها از یا روی سیستم راه دور است و نمی‌تواند فایل‌ها یا دایرکتوری‌ها را حذف، تغییر نام یا لیست کند؛ همچنین فاقد قابلیت احراز اصالت کاربران است که بزرگترین نقطه ضعف امنیتی آن محسوب می‌شود.   پروتکل TFTP طبق گزارش مـاهر، بهترین مصداق امنیت از طریق گمنام است و اگر شخصی قصد سوء‌استفاده از این سرویس را داشته باشد باید نام فایل مورد نظرش را حتماً بداند.   اگرچه این مورد ساده به نظر می‌رسد ولی با توجه به عدم امکان ارسال درخواست مبنی بر لیست کردن فایل‌ها یا دایرکتوری‌ها در پروتکل TFTP، این گمنامی می‌تواند زمان نتیجه گرفتن حمله را به تأخیر بیاندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شده است که حداکثر در شبکه‌های محلی به کار گرفته شود.   یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP امکان سوء‌استفاده از آن برای انجام حملات DDOS است.   عدم تعیین سایز پیش فرض برای برخی از فیلدهای پرسش و پاسخ پروتکل، Stateless بودن پروتکل و عدم استفاده از روش‌های احراز اصالت از مهمترین دلایل پیدایش این حمله است.   برای اجرای حمله، فرد حمله‌کننده ابتدا اقدام به یافتن سرورهای TFTP می‌نماید که از طریق شبکه اینترنت قابل دسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد.   درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد.   به دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می‌گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله کننده می‌تواند به ضریب تقویت بالایی دست پیدا کند.   به این صورت با بکارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. در نتیجه یک سرویس‌دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند بطور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.   اگر تمام شرایط مورد نظر به درستی وجود داشته باشد، با استفاده از این حمله، ترافیک خروجی می‌تواند به میزان 60 برابر ترافیک اولیه نیز برسد.   بررسی‌ها نشان می‌دهد بسیاری از نرم‌افزارهای TFTP بطور خودکار ترافیک خروجی در حدود 6 برابر ترافیک ورودی تولید می‌کنند.   برای امن‌سازی تجهیزات در برابر سوء‌استفاده از این آسیب‌پذیری، موارد زیر باید اعمال شوند:   بایستی در صورت عدم نیاز به TFTP، این سرویس غیرفعال گردد.   بایستی در صورت نیاز به TFTP، تنها در شبکه محلی قابل دسترسی باشد. در صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت، بایستی ترافیک وارد شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شود.   این کار با کنترل کردن ترافیک UDP/69 توسط دیواره آتش قابل انجام است. ادامه مطلب: منشأ یکی از حملات سایبری منع سرویس کشف شد

سایت‌های هک شده ایرانی بخوانند/شیوه صحیح مدیریت سرور

با توجه به حوادث امنیتی که اخیرا در فضای مجازی کشور رخ داده، توجه بیش از پیش به بحث امنیت در فضای سایبری خصوصا برای نهادهای دولتی ضروری است.   در این راستا هر چند طبق گزارش مستند پلیس فتا، توصیه‌های کلی توسط مراجع مختلف به سازمان‌ها ابلاغ شده اما راهنمایی که جزییات دقیق‌تری را از نظر فنی مشخص کند، می‌تواند کمک بسیار زیادی در جهت ارتقای امنیت سازمان‌ها داشته باشد   یکی از بخش‌های مقوله امنیت در این عرصه، سرورها هستند که جذاب‌ترین مکان برای هکرها به منظور دسترسی به اطلاعات به حساب می‌آیند.   برای مطمئن بودن از عملکرد درست سرور و در امان بودن آن از خطرات باید چندین کار را برای جلوگیری از حملات انجام داد.   لیست کردن سرورها   باید یک لیست از جزییات سرورهایی که در شبکه وجود دارد تهیه شود. در لیست باید حداقل اطلاعاتی از اسم، هدف ایجاد سرور، آدرس IP، تاریخ خدمات، مکان سرور در تجهیزات شبکه، سیستم عامل و فرد مسئول سرور باشد.   اطلاعات اضافی دیگر در مورد سرورها را می‌توان به این لیست ضمیمه کرد.   این لیست باید به سرعت قابل دسترسی و آپدیت باشد. این لیست می‌تواند اطلاعاتی در مورد سخت‌افزارها، گارانتی آنها و همچنین سیستم عامل‌ها داشته باشد.   مسئول سرور   هر سرور باید یک مسئول داشته باشد، فردی که بداند سرور چه کارهایی را انجام می‌دهد و همواره آن را بروزرسانی کند و توانایی تشخیص تمامی اتفاقات غیرعادی که رد سرور رخ می‌دهد را داشته باشد.   اسامی اختصار   در نگاه اول این نکته ممکن است از نظر امنیتی بی‌اهیمت جلوه کند اما هر سروری را باید بتوان به سرعت شناسایی کرد و ترافیک غیرعادی آن را شناخت.   هنگامیکه یک اتفاق غیرعادی در سرورها اتفاق می‌افتد، طبق اظهارات مـرکز مـاهر یک ثانیه می‌تواند برای امنیت شبکه مهم باشد.   IPAM   هر سرور باید یک آدرس IP ایستا در لیست مشخصات سرورها، داشته باشد.   هنگامی شناسایی یک ترافیک غیرعادی باید بتوان به مرجعی برای آدرس‌های IP رجوع کرد.   سیستم عامل ویندوز سرور 2012 سرویس مربوط به IPAM را دارد.   دسترسی از راه دور   همواره یک روش اتصال از راه دور را انتخاب کرده و فقط از همان استفاده کنید. پیشنهاد می‌شود که برای سیستم عامل ویندوز از سرویس‌های داخلی خود ویندوز و برای بقیه سیستم عامل‌ها از SSH استفاده شود.   UPS و مصرف انرژی   مطمئن شوید که تمامی سرورها به UPS متصل هستند. اگر که سرورها به UPS متصل نیستند مطمئن شوید که قبل از اتمام باتری سرور، تمامی سیستم‌های سرور خاموش شوند.   اتصال به دامنه   مطمئن شوید که تمامی سیستم عامل‌های ویندوزی به یک دامنه متصل هستند و برای سیستم عامل‌های غیر ویندوزی از سرویس LDAP برای احراز هویت کاربران به منظور استفاده از Active Directory استفاده شود.   در این حالت کاربران برای تمامی سرویس‌ها از یک حساب کاربری استفاده می‌کنند.   حساب کاربری ادمین   مطمئن شوید که برای حساب کاربری ادمین یک رمز عبور قوی تنظیم شده است.   تنظیم گروه‌ها و حقوق دسترسی   برای هر دامنه از گروه‌ها باید حقوق دسترسی مربوط به آنها تنظیم شود.   گزارش‌دهی   مطمئن شوید که در تمامی سرورها گزارش‌دهی انجام می‌شود، فارغ از اینکه از چه نرم‌افزاری برای کنترل و مانیتورینگ آنها استفاده می‌گردد.   تنظیم SNMP   اگر که قرار است از SNMP استفاده شود، از تنظیمات مربوط به SNMP اطمینان حاصل کنید و مدیریت دسترسی آن را فقط به سیستم‌هایی که از آنها اطلاع دارید، محدود کنید.   پشتیبان‌گیری   اگر که یک سرور ارزش درست شدن را دارد، مطمئنا ارزش پشتیبان گرفتن را نیز خواهد داشت.   هیچ اطلاعاتی نباید بر روی سرور بدون داشتن پشتیبان از آنها قرار گیرد و هیچ پشتیبانی نباید مورد اعتماد باشد، مگر آنکه از قابلیت بازیابی آن اطمینان داشته باشید. ادامه مطلب: سایت‌های هک شده ایرانی بخوانند/شیوه صحیح مدیریت سرور

راه نفوذ هکرها به وب سایت های دولتی مشخص شد

پلیس فتای کشور با انتشار دو سند مرکز ماهر به صورت عمومی، جزییات بیشتری از هک های اخیر منتشر کرد.   این دو سند با عناوین «راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke» و «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است.   در راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke آمده است: بررسی های صورت گرفته درخصوص وقایع هک اخیر در شماری از پورتال های کشور نشان از سوءاستفاده از یک ضعف امنیتی بر CMS متن باز DotNetNuke دارد. این CMS در نسخه های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال های 2015 و 2016 مورد حمله واقع شده است.   نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده CMS به بسیاری از پورتال ها در کشور است، دارای آخرین بروزرسانی ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت پوشش داده شده و آسیب پذیری وجود ندارد. به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی مذکور روی آن پوشش داده شده است.سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی درباره این ضعف را گزارش داده و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است.   در نسخه 07.04.00 از DNN CMS متاسفانه هیچ گونه تدبیری درباره دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است. به همین دلیل نفوذگران با دسترسی Remote می توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. همچنین تمامی نسخه های پیش از نسخه 07.04.00 هم دارای این مشکل هستند.    توضیحات irandnn.ir پویا پلاشانی، مدیرعامل شرکت راهبران فناوری پاسارگاد (سایت irandnn.ir) که در گزارش مرکز ماهر از سایت وی نام برده شده است، گفت: ما مشتریان زیادی مانند سازمان حج و زیارت، شرکت مخابرات، بانک کشاورزی و شهرداری تهران داریم و به آنها نیز حملات زیادی شده بود و می شود و باید دید چرا هکرها در حمله به آنها موفق نبوده اند.   وی افزود: چون اتفاق پرسروصدا و مهمی تاکنون رخ نداده بود، متاسفانه برخی از سایت ها به تذکرات و هشدارها بی توجهی می کرده و در جلوگیری از برخی آسیب پذیری ها غفلت می کردند.   پلاشانی در پاسخ به این سوال که چرا براساس گزارش مرکز ماهر، نخستین اخطار درباره این آسیب پذیری خیلی دیر (14 خرداد) به سازمان ها اعلام شد، گفت: این باگ از سال گذشته مشخص شده و هشدارهای لازم داده شده بود. اما پس از اینکه این مشکلات پیش آمد، مجددا در 14 خرداد اخطار جدیدی برای سازمان ها فرستاده شد.   وی درباره میزان نفوذی که می توان از این آسیب پذیری انجام داد، گفت: کار خاصی نمی توان کرد و در هک های اخیر هم شاهد بودیم که تنها موضوع دیفیس (تغییر ظاهر) سایت ها پیش آمد. مدیرعامل شرکت راهبران فناوری پاسارگاد گفت: دات نت نیوک یک نرم افزار شناخته شده است که حتی  سازمان ملل، bank of America و ارتش آمریکا هم از آن استفاده می کنند.    بر اساس این گزارش همچنین سند دوم با عنوان «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است. در توضیح این راهنما آمده است: هرچند توصیه های کلی توسط مراجع مختلف به سازمان ها ابلاغ شده است، اما راهنمایی که جزییات دقیق تری را از نظر فنی مشخص کند، می تواند کمک بسیاری جهت ارتقای امنیت سازمان ها داشته باشد.   در این راهنما پویش دوره ای و ارزیابی امنیتی محدوده آدرس IP، پورتال و سایر سرویس های الکترونیکی سازمان، مشخص کردن تیم فنی و حقوقی برای مدیریت و پاسخ به حوادث امنیتی و داشتن یک برنامه SIEM برای جمع آوری لاگ ها، تحلیل ها، همبستگی آنلاین و پاسخ خودکار از مدیران فناوری اطلاعات سازمان ها خواسته شده است.   راه اندازی و پیکربندی فایروال و فایروال وب (WAF)، مدیریت پیکربندی و تغییر شبکه، مدیریت سرور، مدیریت پشتیبان ها، مدیریت دسترسی از راه دور، مدیریت آسیب پذیری در سیستم های شبکه، ممانعت از پاک شدن اطلاعات کاربران، اطمینان از امنیت اطلاعات در اینترنت، مانیتور کردن ترافیک شبکه در سیستم های شبکه، مانیتورینگ شبکه های بی سیم و آموزش کاربران، نکات مربوط به حساب های کاربری و ردگیری دستگاه ها و کاربران از دیگر توصیه های مرکز ماهر به دستگاه هاست.   اما نکته جالب این است که این نکات در حد توصیه و راهنما باقی مانده و هیچ الزامی برای سازمان ها درخصوص رعایت این ضوابط در نظر گرفته نشده است. ادامه مطلب: راه نفوذ هکرها به وب سایت های دولتی مشخص شد

صفحه1 از32

Go to top