• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

اخبار و مقالات

23 فوریه 2020

عادت‌های خوب در امنیت سایبری نیز بسیار مهم هستند. به طور معمول مانع یک حمله شدن از پاسخ دادن به یک حمله‌ی در حال انجام آسان‌تر است. یک نمونه عالی حمله باج افزار WannaCry می‌باشد. مهاجمان از یک آسیب پذیری سوء استفاده کردند، که حدود ۴ میلیارد دلار ضرر و زیان در سراسر جهان منجر شد.

چرا دندان‌پزشکان بارها و بارها استفاده از نخ دندان را به مردم توصیه می‌کنند، اما با این حال بازهم تعداد کمی از افراد این کار را انجام می‌دهند. استفاده از نخ دندان یک دقیقه طول وقت شما را می‌گیرد اما اگر دیرتان شده باشد یا خسته باشید ممکن است وسوسه شوید که از این کار صرف نظر کنید. این تا زمانی است که وقت آتی تمیز کردن دندان‌هایتان در دندان‌پزشکی به یادتان می‌آید. هیچ چیز مانند خاطره‌ای از یک بازدید طولانی و دردناک به دندانپزشکی انگیزه خوبی برای رعایت بهداشت دهان و دندان نمی‌باشد. عادت‌های هوشمند امروز می‌تواند در آینده پول و زمان شما را صرفه جویی کنند.

عادت‌های خوب در امنیت سایبری نیز بسیار مهم هستند. به طور معمول مانع یک حمله شدن از پاسخ دادن به یک حمله‌ی در حال انجام آسان‌تر است. یک نمونه عالی حمله باج افزار WannaCry می‌باشد. مهاجمان از یک آسیب پذیری سوء استفاده کردند، که حدود ۴ میلیارد دلار ضرر و زیان در سراسر جهان منجر شد. این آسیب‌پذیری یک ماه قبل از حمله در یک به‌روزرسانی امنیتی منتشر شده توسط مایکروسافت منتشر شده بود، به همین دلیل سازمان‌هایی که آخرین به‌روزرسانی‌ها را نصب کرده بودند، از این حمله نجات یافتند.

گاهی اوقات توصیه‌های بهداشتی سایبریه نادیده گرفته می‌شوند زیرا این توصیه‌ها راه حل‌های جدید براق و جادویی نیستند. جلب توجه با یک مسواک الکتریکی درخشان با چراغ‌های رنگی، از جلب توجه با همان نخ دندان ساده‌ی قدیمی بسیار ساده‌تر است، اما همان نخ دندان ساده‌ی قدیمی کلید محافظت شما از پوسیدگی دندان‌هایتان می‌باشد.

با ذکر این نکته، ما چهار شیوه برتر بهداشت سایبری را که در نسخه ۲۴ام از گزارش امنیت اطلاعات مایکروسافت (Security Intelligence Report و یا به اختصار SIR) مشخص شده است را جمع آوری کرده ایم.

برای کمک به کاهش خطر حمله :

  1. موارد امنیتی خوب را رعایت کنید.
  2. سطح‌های دسترسی را میان کارکنان اجرا کنید.
  3. همیشه از فایل‌های مهم خود نسخه‌ی پشتیبان تهیه کنید.
  4. به کارکنان خود آموزش دهید که چگونه فعالیت‌های مشکوک را شناسایی کرده و گزارش دهند.

رعایت بهداشت امنیتی سازمان

بهداشت خوب امنیتی شامل رویه‌ها و روش‌های معمول برای حفظ و حفاظت از سیستم‌ها و دستگاه‌های IT شما می‌شود:

  • فقط از نرمافزار قابل اعتماد استفاده کنید. اگر اعتبار فروشنده و یا تأمین کننده را نمی‌توانید تایید کنید، از آن نرم افزار استفاده نکنید. از نرم‌افزارهای رایگان از یک منبع ناشناخته اجتناب کنید.
  • به روزرسانی‌های نرمافزاری را پیاده‌سازی کنید. نرمافزارها و سیستم عامل‌های خود را به روز نگه دارید. فروشندگان به طور مرتب به روز رسانی‌های امنیتی را به برنامه‌های خود منتشر می‌کنند و تنها در صورتی می‌توانید از آن‌ها استفاده کنید که به روز رسانی‌ها را انجام دهید. همچنین باید مطمئن شوید که مبنای اصلی پیکربندی امنیتی ارائه شده توسط فروشندگان نرم افزار خود را اعمال می‌کنید.
  • از ایمیل و مرورگرها حفاظت کنید. مهاجمان اغلب حملات مهندسی شده‌ی اجتماعی را از طریق ایمیل و مرورگر انجام می‌دهند، بنابراین مهم است که به روز رسانی‌های امنیتی را به محض اینکه در دسترس هستند، بکار ببرید و قابلیت‌های پیشرفته حفاظت از تهدید امنیتی برای ایمیل، مرورگر و دروازه ایمیل خود را برای کمک به حفاظت از سازمان خود از انواع Phishingهای مدرن، پیاده سازی کنید.

اعمال سطح دسترسی سازمانی 

قانون کمترین سطح دسترسی باید سیاست‌های کنترل دسترسی شما را مشخص نماید. خرابکاران می‌خواهند کنترل حساب‌های با بیشترین سطح دسترسی را در سازمان شما به دست بیاورند، بنابراین هرچه افراد کمتری آن‌ها را دارا باشند بهتر است. شما همچنین باید توجه داشته باشید که حتی اگر شرکت شما دارای سیاست استفاده فقط از نرم افزار قابل اعتماد نیز باشد، کارکنان ممکن است ناخواسته نرم افزارهای ناامن را دانلود کنند که بتواند Malcode را در سراسر سازمان شما پخش کند.

  • دسترسی به سیستم را بر اساس نیاز به دانستن ارائه دهید. دسترسی مبتنی بر نقش به کاربران را راه اندازی کنید تا کارکنان به راحتی فقط و فقط بر روی سیستم‌هایی که برای انجام کارهای‌شان به آن‌ها نیاز دارند و نه چیزی بیشتر قرار بگیرند و دسترسی پیدا کنند. حساب‌های اداری و اجرایی را از حساب‌های کارکنان اطلاعات جدا کنید، به طوری که کاربران فقط هنگامی وارد حسابهای اداری شوند که به آن‌ها نیاز دارند. تنظیم امتیازات فقط در لحظه که به کاربران اجازه دسترسی با حساب‌های اداری به سیستم‌ها را تنها در زمانی که به آن‌ها احتیاج دارند و برای مدت زمان محدود می‌دهد.
  • کاربران را به دانلود برنامه‌ها از هیچ منبعی به جز یک فروشگاه برنامه مجاز نکنید. سیاست‌های قوی بی‌نقصی کد را اعمال کنید، از جمله محدود کردن برنامه‌هایی که کاربران می‌توانند با استفاده از Whitelisting اجرا کنند. در صورت امکان، یک راه حل امنیتی برای محدود کردن کد اجرا شده در هسته سیستم (Kernel) اتخاذ کنید که همچنین می‌تواند اسکریپت‌های نامعتبر و دیگر اشکال کد غیر قابل اعتماد را مسدود کنید.

تهیه نسخه‌ی پشتیبان 

داده‌های سازمان شما اغلب ارزشمندترین دارایی آن است. اگر از نقص امنیتی یا حمله باج افزار رنج ببرید، یک فرآیند پشتیبان خوب می‌تواند شما را در صورت خراب شدن یا حذف اطلاعات‌تان نجات دهد.

  • نسخه پشتیبان اطلاعات آنلاین تهیه کنید. از سرویس‌های ذخیره‌سازی آنلاین Cloud برای تهیه نسخه پشتیبان آنلاین به صورت خودکار استفاده کنید.
  • از روش ۳-۲-۱ برای مهم ترین اطلاعات‌تان استفاده کنید. برای اطلاعات در محل، سه نسخه‌ی پشتیبان، در دو نوع حافظه‌ی ذخیره‌ساز مختلف و حداقل در یک مکان خارج از محل، تهیه کنید.

شناسایی فعالیت های مشکوک در سازمان

کارکنان شما یک هدف ثابت برای مهاجمان هستند و بسیاری از آن‌ها به دانلود نرم افزارهای مخرب و یا به اشتراک گذاری اطلاعات اعتباری‌شان فریب می‌خورند. آنها همچنین می‌توانند اولین خط دفاع شما باشند. یک برنامه آموزشی قوی در زمینه امنیت سایبری می‌تواند کارکنان را از اهداف به دفاع شما تبدیل کند.

  • شناسایی کردن مهندسی اجتماعی و حملات Spear-Phishingمهاجمان به طور مداوم روش‌هایی که برای جلب اعتماد و دزدیدن دسترسی کارمندان به کار می‌برند را به روز می‌کنند. در مورد چگونگی کارکرد این حملات، شامل آخرین تکنیک‌ها و نمونه‌های مربوطه، به کارکنان خود پیش زمینه ارائه دهید.
  • از مرورگر وب خود به صورت امن استفاده کنید. به کارکنان خود در مورد خطرات وب سایت‌های ناامن، مانند Cryptocurrency Mining آموزش دهید. اطمینان حاصل کنید که مرورگرهای خود را با آخرین ویژگی‌های امنیتی و راه حل‌هایی که هشدارهای مربوط به سایت‌های ناامن را ارائه می‌دهند، به روز می‌کنند.
  • شناسایی کردن انواع فایل‌های مشکوک. به کارکنان خود جستجوی فایل‌های مشکوک را آموزش دهید مخصوصا اگر یک کامپیوتر به شدت کند در حال اجرا است و آنها را به ارسال یک نمونه به فروشنده سیستم عامل تشویق کنید.
  • در صورت عدم اطمینان در مورد چیزی، فناوری اطلاعات را درگیر کنید. اطمینان حاصل کنید که کارکنان می‌دانند چگونه ارتباطات مشکوک را گزارش کنند یا از فناوری اطلاعات در مورد چگونگی انجام آن مطلع شوند.
22 فوریه 2020

بدافزار استاکس‌نت پس از اجرای حملاتی که بر ضد سانتریفیوژهای غنی‌سازی اورانیوم در ایران داشت، توانست به شهرت بسیار زیادی در جهان برسد. این کرم رایانه‌ای پیچیده که در سال ۲۰۱۰ میلادی شناسایی شد، گفته می‌شود حداقل از سال ۲۰۰۵ در حال توسعه و گسترش خود در زیرساخت‌های صلح‌آمیز انرژی هسته‌ای کشورمان بوده است.
طبق باور کارشناسان امنیتی و اسناد اطلاعاتی افشا شده، این بدافزار توسط نهادهای اطلاعاتی آمریکا و اسرائیل ساخته شده است.

اهداف اصلی
استاکس‌نت برای تغییر کنترلرهای منطقی برنامه‌پذیر (PLC) که در انواع سیستم‌های کنترل صنعتی (ICS) کاربرد دارند، طراحی شده است. از PLCها در تشکیلات حیاتی و زیرساختی همچون پتروشیمی‌ها، پالایشگاه‌ها، نیروگاه‌های برق، تصفیه آب، خطوط لوله‌های گاز و غیره استفاده می‌شود. این کرم برای آلوده کردن رایانه‌ها از چندین اکسپلویت روز صفر شناخته شده استفاده می‌کرد.
در سال ۲۰۰۷، این بدافزار سیستم‌های کنترل صنعتی ایران، اندونزی و هند را هدف قرار داد. بیشترین تأثیرات این بدافزار یعنی چیزی حدود ۶۰ درصد از آلودگی‌های به وقوع پیوسته، در ایران مشاهده شد. بعضی از کارشناسان بر این باورند که استاکس‌نت توانست هزار سانتریفیوژ را فقط در تشکیلات هسته‌ای نظنز تخریب کند.

طرز کار
استاکس‌نت پس از آلوده کردن یک رایانه، بررسی می‌کند که آیا آن سیستم به یک مدل PLC خاص تولید شرکت زیمنس متصل شده است یا خیر. این بدافزار، نرم افزار STEP 7 شرکت زیمنس را که برای کنترل PLCها کاربرد دارد، جستجو می‌کند. پس از پیدا شدن سیستمی با این نرم افزار، استاکس‌نت شروع به تزریق اطلاعات غلط به PLC کرده و داده‌های واقعی را تغییر می‌دهد. سپس PLC بر اساس اطلاعات غلط تزریق شده، یک گزارش اشتباه به STEP 7 برگردانده و اعلام می‌کند عملیات به صورت عادی در حال جریان است.
این کرم برای انتشار در شبکه‌های ایرگپ (ایزوله) طراحی شده است و معمولاً از طریق فلش مموری‌های آلوده و سایر دستگاه‌های اکسترنال منتقل می‌شود.

هدف
مهاجمان می‌توانند از طریق استاکس‌نت، کنترلرهای منطقی مربوط به حساس‌ترین فرایندهای یک تشکیلات صنعتی را تحت کنترل گرفته و از آنها برای انجام تغییرات مورد نظرشان (مثلاً دما، فشار، جریان آب، مواد شیمیایی و گاز) استفاده کنند. همچنین این کرم برای مجاز به نظر رسیدن و پیشگیری از شناسایی توسط سیستم‌های ضدبدافزار و تشخیص نفوذ، حاوی اطلاعات جعل شده چندین امضای دیجیتالی خاص است.

مدل جدید استاکس‌نت
کارشناسان و محققان امنیتی می‌گویند مدل جدیدی از استاکس‌نت به نام استاکس‌نت ۲، شبکه‌های ایران را هدف حملات خود قرار داده است. گفته می‌شود که این نسخه جدید، پیچیده‌تر و پیشرفته‌تر از مدل‌های پیشین خود است. هنوز مشخص نیست که چه شرکت‌ها و صنایعی هدف این بدافزار قرار گرفته‌اند و عوامل پشت این حمله نیز چه افراد یا نهادهایی هستند.
در سال‌های اخیر، بدافزارهای مختلف دیگری با قابلیت‌هایی شبیه استاکس‌نت در کشورمان شناسایی شده‌اند. Duqu و Flame دو کرم دیگر هستند که البته هدف آنها کاملاً متفاوت با استاکس‌نت بوده و زیرساخت‌های خاصی را نیز هدف حملات خویش قرار داده بودند.
هر چند در حال حاضر، انتشار استاکس‌نت محدود شده است اما گفته می‌شود این کرم می‌تواند نقش مهمی در حملات آتی بر ضد زیرساخت‌های آمریکا و سایر کشورها بازی کند. محققان ESET طی تحلیل‌های خود درباره استاکس‌نت اعلام کردند: «این یک پیشرفت غیرمنتظره و چشم‌گیر بود که افراد مسئول در امنیت سیستم‌های صنعتی باید آن را جدی بگیرند».

22 فوریه 2020

هکرها با نفوذ به شبکه‌های سازمانی می‌توانند بدون این که ردپایی از خود در سیستم‌های هدف بر جای بگذارند، بدافزارهای مختلفی را از طریق پروتکل دسکتاپ راه دور (RDP) بر روی آنها اجرا کنند.
امروزه ماینرهای رمز ارز، بدافزارهای سرقت اطلاعات و باج افزارها با استفاده از یک ارتباط راه دور، در حافظه رم سیستم قربانی اجرا شده و از آن برای استخراج اطلاعات ارزشمند استفاده می‌کنند.

سوءاستفاده از قابلیت‌های RDS در ویندوز

مهاجمان از یکی از امکانات Windows Remote Desktop Services استفاده کردند که به کلاینت، امکان به اشتراک-گذاری درایوها توسط Terminal Server جهت خواندن و نوشتن مجوزها را می‌دهد. این درایوها به صورت درایو به اشتراک گذاشته شده بر روی یک شبکه مجازی به نام ‘tsclient’ نمایش داده می‌شوند که حرف مربوط به درایو، پس از آن قرار گرفته و می‌توان درایوهای محلی را به آن نگاشت کرد.

هنگامی که کاربران به سرور متصل می‌شوند می‌توانند برنامه‌های کاربردی را اجرا کنند. در این روش، امکان دسترسی به منابع اشتراک گذاشته شده از طریق RDP وجود داشته و هیچ اثری از آن نیز بر روی دیسک ماشین کلاینت باقی نمی‌ماند زیرا برنامه‌های کاربردی در حافظه اجرا می‌شوند. وقتی یک نشست RDP به پایان می‌رسد، فرایندهای مربوطه نیز خاتمه یافته و معمولاً حافظه آزاد می‌شود.

 

انتشار بدافزار در درایوهای به اشتراک گذشته شده شبکه

تحلیلگران بدافزار در شرکت بیت دیفندر متوجه شده‌اند که مهاجمان از این قابلیت سوءاستفاده کرده و بدافزارهای مختلفی را به همراه فایل worker.exe که از آنها دستور می‌گیرد، بر روی سیستم کاربران نصب می‌کنند.
worker.exe که حداقل از فوریه ۲۰۱۸ مورد استفاده هکرها بوده، یک ابزار آماده است که به دلیل قابلیت‌های تشخیص و شناسایی خاصی که دارد، مهاجمان مختلفی از آن استفاده کرده‌اند. از جمله اطلاعاتی که این ابزار توانایی جمع‌آوری آنها را از یک سیستم دارد می‌توان به موارد زیر اشاره کرد:
• اطلاعات سیستم: معماری، مدل پردازشگر، تعداد هسته‌های پردازشگر، میزان حافظه رم و نسخه سیستم عامل ویندوز
• نام دامنه، اولویت‌های کاربر لاگین شده و لیست کاربران سیستم
• آی‌پی محلی، سرعت دانلود و آپلود، اطلاعات عمومی آی‌پی که توسط سرویس ip-score.com برگردانده می‌شود.
• مرورگر پیش‌فرض، وضعیت پورت‌های خاصی از میزبان، بررسی سرورهای فعال و گوش دادن به پورت آنها، برخی از سطرهای کش DNS (بیشتر در حالتی که سعی کند به یک دامنه خاص متصل شود).
• بررسی این که آیا پردازش‌های خاصی در حال اجرا هستند، بررسی وجود مقادیر و کلیدهایی خاص در رجیستری.
این ابزار علاوه بر امکاناتی که به آن اشاره شد، قابلیت‌های دیگری همچون گرفتن اسکرین‌شات و تشخیص درایوهای به اشتراک گذاشته شده در شبکه را نیز دارد.
همچنین آن‌طور که مشاهده شده است، worker.exe حداقل ۳ ابزار سرقت از کلیپ‌بورد (MicroClip، DelphiStealer و IntelRapid)، دو خانواده باج افزار (Rapid، Rapid 2.0 و Nemty)، چندین ماینر رمز ارز مونرو (همگی بر اساس XMRig) و از جولای ۲۰۱۸ هم بدافزار مشهور سرقت اطلاعات AZORult را اجرا می‌کند.
نمونه‌هایی از worker.exe در tsclient مشاهده شده است که برای دریافت اطلاعات، به سرور فرماندهی و کنترل متصل نشده و به جان آن، فرمان‌ها را از یک فایل متنی به نام config.ins در همان محل دریافت می‌کردند.

 

در نهایت تمام اطلاعات جمع‌آوری شده از سیستم آلوده، به یک فایل .NFO منتقل شده که در همان محل فایل پیکربندی ذخیره می‌شود. چنین کاری، یک روش آسان برای استخراج اطلاعات از رایانه آلوده و سخت‌تر کردن تحلیل‌های جرم‌شناسی است.

هدف مهاجمان

این اقدام‌ها با این هدف صورت می‌گیرد که مشخص شود کاربر چه زمانی آدرس یک کیف پول (والت) ارزهای دیجیتال را کپی می‌کند تا مهاجم بتواند این آدرس را با آدرس متعلق به خودش جایگزین کند. به این ترتیب، مقصد تمام تراکنش‌های خروجی تغییر کرده و این مبالغ به جیب مجرمان سایبری واریز می‌شود.
از بین این سه بدافزار، بدافزار IntelRapid پیشرفته‌ترین آنها محسوب می‌شود. این بدافزار قادر به شناسایی تعداد بیشتری از والت‌های رمز ارز است (از قبیل بیت کوین، لایت کوین، اتریوم، مونرو، بیت کوین کش، دش، ریپل، دوژکوین، نئو و زی کش) و می‌تواند آنها را با آدرس داده شده توسط مهاجم جایگزین کند.
این بدافزار با استفاده از یک سازوکار امتیازدهی پیچیده، جایگزین‌هایی را پیدا می‌کند که کاراکترهای ابتدایی یا انتهایی آنها با آدرس والت قربانی یکسان باشند. به احتمال زیاد این اقدام به منظور فریب کاربرانی انجام می‌شود که به آدرس paste شده توجه می‌کنند.

جایگزین کردن آدرس والت با آدرس‌هایی که کاراکترهای شروع یا پایان مشابهی دارند.

 

بسته به نوع رمز ارز، IntelRapid می‌تواند بین بیش از ۱۳۰۰ آدرس مختلف جستجو کرده تا رشته‌هایی مشابه رشته اصلی را پیدا کند.
بیت دیفندر با تحلیل آدرس‌های جایگزین به این نتیجه رسید که بدافزارهای سرقت از کلیپ‌بورد، توسط همین مهاجمان پیاده‌سازی شده‌اند. تحلیل‌های بعدی از سایر اجزای مخرب بدافزار، ارتباط آنها با خانواده‌های مختلف باج افزار، ماینرهای رمز ارز و AZORult را نشان داد.
با توجه به تراکنش‌های مربوط به آدرس‌های جایگزین شده، درآمد تخمین زده شده برای بدافزار سرقت اطلاعات کلیپ‌بورد تا حدود ۱۵۰ هزار دلار برآورد شده است؛ اما به احتمال زیاد سود اصلی بسیار بیشتر است چون مونرو در آن محاسبه نشده است. همچنین باید توجه داشت که سایر جریان‌های درآمدی در نظر گرفته نشده‌اند چون امکان تخمین زدن آنها وجود ندارد؛ از جمله درآمد کسب شده از ماینرهای رمز ارز یا پی‌لودهای باج افزار.

نقطه اصلی شروع آلودگی

محققان نتوانستند از این یافته‌ها تشخیص دهند که مهاجم چگونه به شبکه دسترسی پیدا کرده یا فایل worker.exe را چگونه در tsclient نصب کرده است. همچنین مشخص نیست که مهاجم چگونه اطلاعات لاگین RDP برای دسترسی به سیستم قربانی را به دست آورده است. احتمالاً یکی از روش‌های ممکن، جستجوی فراگیر بوده است.
لازم به ذکر است که مهاجمان حرفه‌ای که به شبکه یک شرکت نفوذ می‌کنند، بیشتر وقت‌ها دسترسی‌های خودشان را در انجمن‌های زیرزمینی تبلیغ کرده و حتی ممکن است بین چند صد یا چند هزار دلار برای فراهم کردن دسترسی یا نصب بدافزار بر روی سیستم‌های قربانی نیز دستمزد دریافت کنند. بعضی از عاملان انتشار باج افزار، از طریق همکاری با چنین افرادی ممکن است به اهداف بزرگ‌تری دست یابند که امکان درخواست مبالغ هنگفت از آنها وجود دارد.

قربانیان در سراسر دنیا

احتمالاً حملات شناسایی شده توسط بیت دیفندر، قادر به ایجاد تمایز بین اهدافی که امکان آلوده کردن آنها وجود دارد، نیستند. چنین موضوعی بیانگر این است که هدف اصلی مجرمان سایبری درآمدزایی است.
بیت دیفندر: «طبق برآوردهای ما، به نظر نمی‌رسد که این کمپین‌ها صنایع خاصی را هدف قرار داده باشند، بلکه در عوض سعی می‌کنند به بیشترین تعداد قربانیان ممکن دست پیدا کنند».
این هفته، محققان در گزارشی اعلام کردند که بیشتر قربانیان در برزیل، آمریکا و رومانی قرار داشتند.

آن‌طور که از پراکندگی قربانیان در سراسر جهان مشخص است، مهاجمان به قربانیان خاصی علاقه‌مند نیستند بلکه بیشتر به دنبال حداکثر کردن سود خودشان هستند.
پیشگیری از انجام چنین حملاتی، کار سختی نیست و می‌توان این کار را با غیرفعال کردن «تغییر مسیر یا redirect درایو» از لیست سیاست‌های گروهی (group policies) انجام داد. این گزینه از طریق مسیر زیر در بخش پیکربندی رایانه قابل دستیابی است:

19 فوریه 2020

محققان روشی نوین به‌منظور استخراج مخفیانه‌ی اطلاعات از کامپیوترهای فاقد اتصال شبکه ارائه کردند.

این روزها، گستره‌ی روش‌های نوین هک به‌حدی رشد پیدا کرده است که هکرها را به شرکت در چالش‌های سخت‌تری وادار می‌کند. یکی از این چالش‌ها، دزدیدن اطلاعات از air-gapped systems (سیستم‌هایی ایزوله‌شده و بدون اتصال به شبکه‌) است. پیش‌از‌این، تعدادی از این روش‌ها مانند شنود ازطریق صدای هارددیسک را شاهد بوده‌ایم؛ اما امروز با جدیدترین و شاید جذاب‌ترین آن‌ها، یعنی استخراج اطلاعات با تغییر روشنایی مانیتور آشنا می‌شویم.

در این روش که محققان در وب‌سایت Hacker News منتشر کرده‌اند، هکر ابتدا به نصب بدافزار روی سیستم قربانی نیاز دارد. این مرحله باید به‌صورت فیزیکی، همچون نصب بدافزار ازطریق متصل‌کردن حافظه‌ی USB به سیستم انجام شود. این بدافزار با تغییردادن پیاپی اما نامحسوس شدت روشنایی صفحه‌نمایش دستگاه، اطلاعات را به‌صورت کدهای باینری منتقل می‌کند. در انتها، هکر به‌منظور خواندن این اطلاعات به دوربین نیاز دارد.

بسیاری از کاربران نیاز نیست نگران این موضوع باشند؛ با‌این‌حال تعداد زیادی از سازمان‌های دولتی، بانکی، صنعتی و نظامی با این روش نوین هک درمعرض خطر هستند. محققان در آزمایش‌ها، در فواصل متفاوت از انواع دوربین‌های امنیتی و وب‌کم و گوشی‌های هوشمند برای فیلم‌برداری از نمایشگر قربانی استفاده کردند. ضریب خطا در برخی از موارد صفر درصد گزارش شد و سرعت انتقال اطلاعات در بیشترین حالت به ۱۰ بیت‌برثانیه رسید.

در‌حال‌حاضر، مطمئن‌ترین راه شناسایی این نوع حمله فیلم‌برداری از نمایشگر کامپیوترها و بررسی دقیق به‌منظور کشف تغییرات نامحسوس در روشنایی آن‌ها است. همچنین، محققان به‌عنوان اقدامات متقابل اجرای سیاست‌های سختگیرانه‌تر درباره‌ی استفاده از دوربین در محل سیستم‌های حساس امنیتی را پیشنهاد می‌دهند و توصیه می‌کنند از صفحات پلاریزه روی نمایشگر استفاده شود. این صفحات دید واضحی به کاربران ارائه می‌دهند؛ اما دوربین‌ها از راه دور فقط صفحه‌ای تاریک را مشاهده می‌کنند.

19 فوریه 2020

مدیر ارشد اجرایی Heritage که یکی از شرکت‌های بازاریابی تلفنی در شهر شروود آرکانزاس است، پس از عدم موفقیت کارکنانش برای بازیابی سیستم‌های این شرکت از شر یک آلودگی باج افزاری، ۳۰۰ نفر از کارمندان را اخراج کرد!
Sandra Franecke مدیرعامل این شرکت، در یک نامه عذرخواهی برای کارمندان خود نوشت که چند ماه پیش دو سرور شرکت تحت حمله هکرهایی قرار گرفتند که برای خارج کردن این سیستم‌ها از حالت بلوکه، باج‌خواهی کرده‌اند. با وجود پرداخت مبلغ خواسته شده به مهاجمان، این شرکت هنوز نتوانسته است شرایط را به حالت قبل برگرداند و دیگر قادر به پرداخت دستمزد کارمندان خود نیست؛ در نتیجه مدیرعامل تصمیم گرفت کارمندان خود را اخراج کند.
متن این نامه که به دست پایگاه خبری محلی KATV رسیده، به شرح زیر است:

کارمندان عزیز شرکت The Heritage
در جریان هستم که وقایع اخیر موجب عصبانیت، سردرگمی و اذیت و آزار شما شد. لطفاً در جریان باشید که من هم به اندازه شما ناراحت هستم، به خصوص با توجه به اقدامی که باید در این زمان خاص از سال انجام دهم.
لطفاً در جریان باشید که اگر مجبور نبودیم هرگز چنین اقدامی را انجام نمی‌دادیم. اکنون وقت آن رسیده که صادق باشیم و درباره آن چه واقعاً اتفاق افتاده است با شما صحبت کنیم تا همگی به زبان خود من از واقعیت مطلع شوند، به ویژه با توجه به اطلاعات نادرست و شایعاتی که در فضای مجازی منتشر شده و بیشتر به ما آسیب می‌زند.
متأسفانه، حدود دو ماه پیش سرورهای Heritage ما تحت حمله نرم افزاری مخرب قرار گرفتند که از ما باج خواسته بود و ما هم مجبور شدیم برای دریافت کلید و دسترسی به سیستم‌ها، به مجرمان باج بپردازیم. از آن موقع، تیم IT تمام اقدام‌های قابل انجام برای برگرداندن سیستم‌ها به حالت عادی را انجام داده اما هنوز راه زیادی در پیش است. من هم از آن زمان حداکثر تلاش خود را انجام دادم تا درهای این شرکت باز بماند حتی با پرداخت دستمزد شما از پول خودم تا زمانی که بتوانیم شرایط را به حالت قبل برگردانیم.
من هم اطلاع دارم که این شرایط چقدر باعث سردرگمی شما شده، به خصوص پس از هدایایی که این هفته در اختیار شما قرار دادیم اما باز هم تکرار می‌کنم که من این هدایا را با پول خودم تهیه کردم تا یک هدیه کریسمس خوب برای شما تهیه کرده باشیم اما این کار قبل از هک شدن سیستم‌ها انجام شد. نمی‌خواستم با پس گرفتن این هدایا همه را ناامید کنم.
امیدوارم که این عقب‌نشینی موقتی، فرصتی برای تیم IT فراهم کند تا بتواند سیستم‌ها را به حالت قبل برگرداند و مدیریت نیز فرصت تغییر ساختار بخش‌های مختلف شرکت را داشته باشد تا بتوانیم خسارت‌های صدها هزار دلاری ایجاد شده را جبران کنیم.
در حال حاضر بسیار مهم است که همه ما، امیدمان را حفظ کنیم و ایمان داشته باشیم که The Heritage Company می‌تواند از این شرایط، موفق و سربلند بیرون بیاید. همچنین بسیار مهم است که همه ما آرامش خود را حفظ کرده و فقط به حقایق توجه کنیم. از شما درخواست می‌کنم که این نامه را در اختیار کارمندانی که ممکن است در این صفحه یا فیسبوک عضو نباشند به اشتراک بگذارید. برای انجام این کار این متن را کپی کرده و در حساب کاربری فیسبوک‌تان بازنشر کنید.
لطفاً در جریان باشید که همه صحبت‌های من در سخنرانی «آینده روشن است» صمیمانه و خالصانه بودند. ما آن زمان اصلاً پیش‌بینی نمی‌کردیم که روزی قرار است سیستم‌های ما هک شوند. وقتی این ویروس وحشتناک به ما حمله کرد، بارها اعلام کردیم که شرایط بهتر خواهد شد و هر هفته این صحبت‌ها تکرار می‌شد. بخش حسابداری از کار افتاده بود و هیچ راهی برای محاسبه هزینه‌ها و درآمدها نداشتیم. مرکز ایمیل از کار افتاده و راهی برای ارسال بیانیه‌ها نداشتیم. در نتیجه هیچ وجهی به حساب ما واریز نمی‌شد.
اگر آن زمان در جریان بودیم که این حادثه به این شدت شرکت را تحت تأثیر قرار می‌دهد، مدت‌ها پیش به کارمندان‌مان درباره پیامدهای احتمالی آن هشدار می‌دادیم. تنها گزینه‌ای که در حال حاضر پیش‌رو داشتیم، تعطیلی کامل یا تعلیق کردن خدمات‌مان تا زمانی بود که بتوانیم سیستم‌ها را دوباره سازمان‎‌دهی و رو به راه کنیم. البته ما گزینه تعلیق را انتخاب کردیم چون Heritage شرکتی نیست که تمایل به تسلیم شدن داشته باشد.
همچنین باید از نحوه اطلاع یافتن عده زیادی از شما درباره تعطیلی شرکت عذرخواهی کنم. وقتی دیروز بعد از ظهر جلسه را ترک کردیم یک برنامه مشخص برای اعلام این شرایط داشتیم اما نمی‌دانستیم که این خبر به این سرعت و قبل از آن که مدیران بتوانند با کارمندانی که به منزل رفته بودند، صحبت کنند منتشر می‌شود. هیچ شخصی به اندازه من از این موضوع که شما این خبر را از منابعی شنیدید که ممکن است اطلاعات‌شان نادرست باشد، ناراحت نیست.
واقعیت این است که شرکت Heritage به صورت موقت، خدمات خود را متوقف می‌کند. دوم ژانویه پیامی منتشر خواهیم کرد و در آن درباره وضعیت سازمان‌دهی مجدد شرکت و پیشرفت‌های صورت گرفته به شما اطلاع خواهیم داد.
در عین حال از تمام شما خواهش می‌کنم که به ما باور داشته باشید. ما از تمام کارهای سختی که تک‌تک شما انجام دادید اطلاع داریم. از تمام شما درخواست می‌کنیم که در یک بازه دوهفته‌ای به پست‌های خود برگردید. ما یک خانواده هستیم و امیدوارم که با وجود این عقب‌نشینی تا مدت زیادی یک خانواده بمانیم.
مادر من ۶۱ سال پیش این شرکت را افتتاح کرد و من هم متعهد هستم که تمام تلاش خود را برای فعال نگه داشتن Heritage صرف کنم.
با احترام
Sandra Franecke, مالک و مدیرعامل The Heritage Company

Dave Denny یکی از کارمندان ناراحت این شرکت در مصاحبه با روزنامه‌نگاران گفت: «بگذارید کارمندان‌تان از واقعیت مطلع شوند، به آنها یک شانس بدهید تا خودشان تصمیم‌گیری کنند، نه این که زندگی ما را در دست خودتان بگیرید و با آن بازی کنید».
اخراج این کارمندان چند روز قبل از کریسمس انجام شد. در نتیجه عده زیادی از آنها مطمئن نیستند که سال ۲۰۲۰ را به عنوان یک فرد شاغل آغاز می‌کنند یا خیر. مدیرعامل این شرکت از کارمندان خواسته است دوم ژانویه موضوع را پیگیری کنند تا به آنها گفته شود می‌توانند به پست خود برگردند یا خیر.
این اولین ضربه مهلکی نیست که امسال باج افزارها به یک کسب و کار آمریکایی وارد می‌کنند. مسئولان یک مرکز پزشکی به نام Brookside ENT and Hearing Center هم پس از آلوده شدن سیستم‌های این مرکز به باج افزاری که همه چیز از پرونده‌های بیماران تا اطلاعات حسابداری را تحت تأثیر قرار داده بود، مجبور به تعطیلی آن شدند. هر چند این مرکز برخلاف شرکت Heritage مبلغ درخواست شده را پرداخت نکرده بود چون احتمالاً در جریان بود که پرداخت این هزینه چه پیامدهای بدی برای آن دارد.
این حملات و تهدیدات متعدد دیگری که تنها در سال قبل میلادی گزارش شدند، نشان می‌دهد که هر کسب و کاری؛ چه بزرگ و چه کوچک باید از اطلاعات خود در برابر حملات باج افزاری به شدت محافظت کند.
اگر چه شرکت‌های بزرگ معمولاً یک مرکز عملیات امنیتی اختصاصی و بیمه سایبری دارند اما این شرایط برای کسب و کارهای کوچک و متوسط که در زمینه بودجه IT و نیروی متخصص امنیت سایبری محدودیت دارند، صدق نمی‌کند.

19 فوریه 2020

مباحث امنیتی زیادی وجود دارد که وقتی شخصی آنها را مطرح می‌کند بحث و گفتگو زیادی در رابطه با آن ایجاد می‌شود. متأسفانه، معیارهای امنیتی جزو این مباحث نیست.

باید دید چرا معیارها تقریباً همیشه متوقف کننده مکالمه در این باره هستند؟ دلایل زیادی وجود دارد. ما متوجه شدیم که مردم از بحث در مورد موضوعاتی که به آنها علاقه مندند، تجربشان د و یا درباره مسائلی که نسبت به آنها آگاهی دارند، لذت بیشتری می‌برند و مطمئناً، معیارها ی امنیتی تقریباً هرگز در هیچ یک از این دسته‌ها قرار نمی‌گیرند.

گفته می‌شود، هنوز یکسری اصول بنیادی وجود دارد که در طی سالیان متمادی کمک کرده است تا معیارهای معنادار و نسبی ایجاد شوند. امیدواریم که سازمان‌ها با تلاش در جهت ساختن و بهبود معیارهای خاص خود، این پیشنهادات را پیگیری کنند.

با این روال، پنج نکته مفید برای ایجاد معیارهای امنیتی معنادار ارایه می‌دهیم:

ارزیابی آنچه که مهم است: یکی از قانون‌های مهم هنگام ساختن معیارهای معنی دار، ارزیابی مواردی است که مهم هستند. اما این را از چه کسی باید بپرسید؟ از ذینفعانی که معیارهای شما را بکار خواهند برد. به عبارت دیگر، مخاطبان خود را بشناسید و بدانید که آنها به چه چیزی علاقه دارند. به عنوان یک تاکتیک متفاوت، هشدارهای ویژه‌ای را که مخاطبانتان را در معرض خطر قرار می‌دهد در نظر بگیرید. پس از انجام این کار، می توانید ارزیابی کنید و نشان دهید که برنامه نظارت امنیتی شما نسبت به آن خطرات چه دیدگاهی دارد و آیا به موقع آنها را کنترل کرده است یا خیر.

برای چه؟: بدترین سؤالی که یک متخصص امنیتی پس از نشان دادن یک معیار می‌تواند دریافت کند این است؟ “برای چه؟ وقتی مخاطبان معیارها این سؤال را می‌پرسند، بدان معنی است که آنها ارتباط آنچه را که به آنها گزارش می‌دهید را درک نمی‌کنند. به عبارت دیگر، آن مخاطب اهداف خاصی دارد که به دنبال دستیابی به آن است. آنچه به آنها گزارش می‌شود، با این اهداف همخوانی نداشته و به آنها اجازه نمی‌دهد پیشرفت تیم امنیتی را در برابر آن اهداف ارزیابی کنند. معیارهای معقول با پیش بینی سؤال برای چه؟ و توسعه راه‌هایی برای گزارش پیشرفت در مقابل اهداف به روشی که مخاطبان معیارها را درک کنند، به وجود می‌آیند.

کمتر بیشتر است: مدتهاست که فلسفه کمتر بیشتر است (Less is more)، طرفداران زیادی پیدا کرده است. چرا وقتی می‌توان آن را به راحتی حل کرد، کاری را پیچیده می‌کنیم؟ دشوارترین بخش در مورد ایجاد یک برنامه موفق ارزیابی، چیزی است که اهمیت دارد، و اینکه اهمیت آن برای مخاطب مورد نظر چه قدر بوده و نحوه اندازه گیری صحیح آن چیست. پس از استقرار این عناصر اساسی، گزارش نتایج باید تا حد امکان ساده سازی شود. نیازی به اضافه کردن چیز پیچیده‌ای نیست. اگر یک معیار مطلوب باشد، پس گزارش آن به روشی صریح و با تعداد اندک کلمات لازم برای نمایش دقیق آن، ارایه می‌شود.

آماده، هدف، آتش: بارها و بارها این عبارت مناسب را شنیده‌ایم و کاملاً هم منطقی به نظر می‌رسد. در تلاش برای ایجاد معیارهای ارزشمند، اغلب تمایل به گزارش بیش از حد داده‌های خیلی سریع وجود دارد. بدون وجود یک رویکرد رسمی، بسیاری از سازمان‌ها تمایل دارند تا آنجا که می‌توانند به آن فکر کنند و نکات مورد نظر را گزارش دهند. زمان زیادی لازم است تا اطمینان حاصل شود که معیارهای تولید شده و گزارش شده دارای معنی و ارزش هستند. در غیر این صورت، داده‌هایی که گزارش می‌دهید احتمالاً تعداد زیادی سؤال در ذهن مخاطبان‌تان ایجاد می‌کنند در حالی که هیچ پاسخی به آنها ندارید.

همه اینها نسبی هستند: اگر کار را به درستی انجام داده و معیارهای مطلوبی را ایجاد کرده‌اید که پیشرفت برنامه امنیتی را در برابر اهداف و تلاش‌ها برای کاهش ریسک ارزیابی می‌کنند، کمی دست نگه دارید. یک نکته بسیار مهم برای یادآوری در اینجا وجود دارد. معیارها باید نسبی باشند؛ ولی معنی آن چیست؟ این بدان معناست که سازمان‌های امنیتی در خلاء نیستند و یک شبه رشد نمی‌کنند. به این ترتیب، نشان دادن پیشرفت با استفاده از معیارهای تنظیم شده برای سازمانی که نماینده آنهاست، بسیار مهم است. هدف تمام این معیارها این است که یک تیم امنیتی را از نشان دادن تعداد مطلقی که به مخاطب امکان مقایسه و تضاد عملکرد فعلی و گذشته را نمی‌دهد، و همچنین از جبرگرایی دور نگه دارد. مهمتر از همه، این همان چیزی است که کاربران این معیارها انتظارش را دارند؛ یعنی چگونه می‌توان موفقیت را به بهترین وجه اندازه گرفت.