پرونده حریم خصوصی فیسبوک با پرداخت غرامت ۶۵۰ میلیون دلاری بسته می‌شود

/در , , , , , , , /توسط
 
قاضی پرونده‌ای که از سال ۲۰۱۵ علیه فیسبوک در جریان بود بالاخره پذیرفت که با توافقی به ارزش ۶۵۰ میلیون دلار یکی از بزرگ‌ترین پرونده‌های حقوقی بر سر حریم خصوصی را به پایان برساند. مدعی این پرونده کاربرانی بودند که می‌گفتند فیسبوک بدون اجازه آن‌ها تصاویر چهره‌هایشان را اسکن و ذخیره کرده است.
 
پرونده مذکور که در ایالت ایلینوی آمریکا در جریان بود به استفاده فیسبوک از فناوری تشخیص چهره برای قابلیت برچسب‌گذاری تصاویر مربوط می‌شد. کاربران با کمک این قابلیت می‌توانند دوستان خود را روی تصاویری که در این شبکه اجتماعی آپلود می‌شود تگ کنند و تگ مربوطه را به پروفایل آن‌ها پیوند دهند.
 
سیستم Tag Suggestions فیسبوک با استفاده از اسکن تصاویری که قبلا در این شبکه اجتماعی آپلود شده بود، چهره افراد موجود در تصاویر را تشخیص می‌داد و آن‌ها را به‌صورت خودکار به افراد پیشنهاد می‌کرد. این پرونده ادعا می‌کرد که اسکن چهره‌ها بدون رضایت کاربران صورت گرفته و ناقض «قانون حریم خصوصی اطلاعات بیومتری» ایالت ایلینوی است. این قانون به مقررات مربوط به سیستم‌های تشخیص چهره، اثر انگشت و سایر فناوری‌های بیومتری می‌پردازد.
 
وکیلی که پرونده را ثبت کرده بود، در ژانویه ۲۰۲۰ گفت: «بیومتری در کنار موقعیت جغرافیایی یکی از دو عرصه منازعه اصلی است که حقوق حریم خصوصی ما را برای نسل بعد تعریف می‌کند.» در آن زمان فیسبوک پیشنهاد مصالحه با پرداخت ۵۵۰ میلیون دلار را داده بود. ولی قاضی پرونده، «جیمز دوناتو» (James Donato) در ماه ژوئیه ۲۰۲۰ اعلام کرد که این رقم کافی نیست.
 
دوناتو حالا روز جمعه گفت مصالحه نهایی به هر کسی که مایل به دریافت غرامت باشد حداقل ۳۴۵ دلار پول می‌دهد. او افزود که رقم توافق ۶۵۰ میلیون دلاری یک اتفاق تاریخی است. این پرونده احتمالا باید به عنوان یکی از بزرگ‌ترین پرونده‌های حقوقی در زمینه نقض حریم خصوصی به حساب آید.
 
فیسبوک نیز شنبه همین هفته با انتشار بیانیه‌ای اعلام کرد که از حصول توافق خوشحال است چون بالاخره می‌تواند از این پرونده عبور کند. این شرکت مدعی شد که این توافق برای مردم و سهام‌داران آن‌ها بهترین اتفاق ممکن است.
 
«قانون حریم خصوصی اطلاعات بیومتری» گریبان سایر شرکت‌ها را هم گرفته است. ربات سگ سونی با نام Aibo روی بینی خود دوربینی دارد که از فناوری تشخیص چهره استفاده می‌کند و می‌تواند با شناسایی افراد پیرامون خود واکنش‌های متفاوتی نسبت به آن‌ها داشته باشد. در نتیجه، سونی این ربات را در ایلینوی نمی‌فروشد.

رشد ۴ برابری استفاده از آسیب‌پذیری‎های امنیتی سایبری

/در , , , , , , /توسط
 
بهره‌جویی از ۲۲۳ آسیب‌پذیری امنیتی، در سال گذشته میلادی، در مقایسه با دوره قبل از آن، حدود ۴ برابر افزایش داشته است.
 
به گزارش مرکز مدیریت راهبردی افتا، در بهره‌جویی از این آسیب پذیری‌ها، ۱۲۵ خانواده باج‌افزاری نقش داشته‌اند که به طور میانگین، هر یک از ۱۷ آسیب‌پذیری بهره‌جویی کرده‌اند.
 
اصلاحیه ۹۶ درصد از آسیب‌پذیری‌های مذکور از قبل از سال ۲۰۱۹ در دسترس قرار داشته است و عمر برخی از این باج‌افزارها به بیش از ۸ سال می‌رسد و به نظر نمی‌آید که به این زودی‌ها گردانندگان آنها قصد بازنشستگی داشته باشند، برای مثال می‌توان به خانواده باج‌افزارهای CryptoMix اشاره کرد که از پنجاه آسیب‌پذیری بهره‌جویی کرده است که کشف قدیمی‌ترین آنها به سال ۲۰۱۰ و جدیدترین آنها به سال ۲۰۲۰ باز می‌گردد.
 
گردانندگان حرفه‌ای باج‌افزار، هوشمندانه در حال گسترش دامنه اهداف خود از سیستم‌های عامل سرورها به بسترها و برنامه‌های تحت وب هستند که ۱۸ مورد از آسیب‌پذیری‌ها، با محصولاتی چون Apache Struts، WordPress ، Java ، PHP ، Drupal و ASP.net مرتبط هستند.
 
از محصولات کدباز و پروژه‌های آنها همچون Nomad ، Jboss ، OpenShift ، Elasticsearch ، TomCat ، OpenStack ، MySQL و Jenkins نیز ۱۹ مورد از آسیب‌پذیری‌ها ناشی شده‌اند.
 
بر اساس گزارش شرکت ریسک‌سنس (RiskSense, Inc) چهل درصد از آسیب‌پذیری‌های بررسی شده نیز به دلیل عدم محدودسازی درست در عملیات مرتبط با مرز یک بافر حافظه، کنترل‌های دسترسی، عدم اعتبارسنجی صحیح ورودی، فراهم شدن دسترسی به اطلاعات حساس برای کاربر غیرمجاز و عدم کنترل صحیح ایجاد کد، به وجود آمده‌اند که سه مورد از این پنج آسیب‌پذیری، در فهرست خطرناک‌ترین آسیب‌پذیری نرم‌افزاری ۲۰۲۰ به چشم می‌خورند.
 
گزارش شرکت ریسک‌سنس همچنین حاکی‌است که ۳۳ تهدید پیشرفته و مستمر (APT) در مجموع از ۶۵ باج‌افزار بهره‌جویی کرده‌اند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند از آنجا که سوءاستفاده از آسیب‌پذیری‌های امنیتی از روش‌های مؤثر، متداول و بسیار مخرب است و مهاجمان، برای آلوده‌سازی دستگاه‌ها به بدافزار و رخنه به شبکه اهداف خود از آن‌ها بهره می‌گیرند، اصلی‌ترین راهکار در مقابله با این تهدیدات، اطمینان از نصب کامل اصلاحیه‌های امنیتی است.

رشد ۴ برابری استفاده از آسیب‌پذیری‎های امنیتی سایبری

/در , , , , , , /توسط
 
بهره‌جویی از ۲۲۳ آسیب‌پذیری امنیتی، در سال گذشته میلادی، در مقایسه با دوره قبل از آن، حدود ۴ برابر افزایش داشته است.
 
به گزارش مرکز مدیریت راهبردی افتا، در بهره‌جویی از این آسیب پذیری‌ها، ۱۲۵ خانواده باج‌افزاری نقش داشته‌اند که به طور میانگین، هر یک از ۱۷ آسیب‌پذیری بهره‌جویی کرده‌اند.
 
اصلاحیه ۹۶ درصد از آسیب‌پذیری‌های مذکور از قبل از سال ۲۰۱۹ در دسترس قرار داشته است و عمر برخی از این باج‌افزارها به بیش از ۸ سال می‌رسد و به نظر نمی‌آید که به این زودی‌ها گردانندگان آنها قصد بازنشستگی داشته باشند، برای مثال می‌توان به خانواده باج‌افزارهای CryptoMix اشاره کرد که از پنجاه آسیب‌پذیری بهره‌جویی کرده است که کشف قدیمی‌ترین آنها به سال ۲۰۱۰ و جدیدترین آنها به سال ۲۰۲۰ باز می‌گردد.
 
گردانندگان حرفه‌ای باج‌افزار، هوشمندانه در حال گسترش دامنه اهداف خود از سیستم‌های عامل سرورها به بسترها و برنامه‌های تحت وب هستند که ۱۸ مورد از آسیب‌پذیری‌ها، با محصولاتی چون Apache Struts، WordPress ، Java ، PHP ، Drupal و ASP.net مرتبط هستند.
 
از محصولات کدباز و پروژه‌های آنها همچون Nomad ، Jboss ، OpenShift ، Elasticsearch ، TomCat ، OpenStack ، MySQL و Jenkins نیز ۱۹ مورد از آسیب‌پذیری‌ها ناشی شده‌اند.
 
بر اساس گزارش شرکت ریسک‌سنس (RiskSense, Inc) چهل درصد از آسیب‌پذیری‌های بررسی شده نیز به دلیل عدم محدودسازی درست در عملیات مرتبط با مرز یک بافر حافظه، کنترل‌های دسترسی، عدم اعتبارسنجی صحیح ورودی، فراهم شدن دسترسی به اطلاعات حساس برای کاربر غیرمجاز و عدم کنترل صحیح ایجاد کد، به وجود آمده‌اند که سه مورد از این پنج آسیب‌پذیری، در فهرست خطرناک‌ترین آسیب‌پذیری نرم‌افزاری ۲۰۲۰ به چشم می‌خورند.
 
گزارش شرکت ریسک‌سنس همچنین حاکی‌است که ۳۳ تهدید پیشرفته و مستمر (APT) در مجموع از ۶۵ باج‌افزار بهره‌جویی کرده‌اند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند از آنجا که سوءاستفاده از آسیب‌پذیری‌های امنیتی از روش‌های مؤثر، متداول و بسیار مخرب است و مهاجمان، برای آلوده‌سازی دستگاه‌ها به بدافزار و رخنه به شبکه اهداف خود از آن‌ها بهره می‌گیرند، اصلی‌ترین راهکار در مقابله با این تهدیدات، اطمینان از نصب کامل اصلاحیه‌های امنیتی است.

خرید و فروش اطلاعات اصالت‌سنجی سیستم های رایانه‌ای

/در , , , , , , , /توسط
 
 
مرکز افتا نسبت به خرید و فروش اطلاعات اصالت سنجی دسترسی های از راه دور سیستم های رایانه ای، توسط شبکه های هک که با عنوان دلال های دسترسی اولیه شناخته می شوند، هشدار داد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، خرید و فروش اطلاعات اصالت‌سنجی (Credential) دسترسی‌های از راه دور، مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است.
 
بر اساس گزارشی که شرکت دیجیتال شدوز (Digital Shadows Ltd) منتشر کرده سرقت و فروش دسترسی به شبکه سازمان‌ها در سال ۲۰۲۰ و در پی فراگیری دورکاری کارکنان افزایشی چشم‌گیر داشته است.
 
هک شبکه‌ها و فروش دسترسی به آنها، توسط افرادی که از آنها با عنوان « دلال‌های دسترسی اولیه» (Initial Access Broker) یاد می‌شود صورت می‌گیرد. این افراد با هک سرور یا سامانه سازمان مورد نظر، پس از دستیابی به اطلاعات لازم جهت رخنه به آنها، اقدام به فروش دسترسی فراهم شده به سایر تبهکاران سایبری می‌کنند.
 
«دیجیتال شدوز» میانگین قیمت یک دسترسی اولیه را ۷۱۰۰ دلار گزارش کرده است. این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاه‌های قابل دسترس از طریق آن می‌تواند متفاوت باشد.
 
دسترسی از طریق پروتکل کنترل از راه دور ( Remote Desktop Protocol ) یا RDP با ۱۷ درصد، بیشترین سهم از دسترسی‌های اولیه فروخته شده در سال ۲۰۲۰ را به خود اختصاص داده است.
 
RDP با میانگین قیمت ۹۸۰۰ دلار جایگاه گران‌ترین روش را نیز کسب کرده است.
 
رخنه به شبکه قربانی از طریق RDP یکی از متداول‌ترین روش‌های استفاده شده توسط گردانندگان باج‌افزاری است که قربانیان خود را به‌صورت کاملاً هدفمند انتخاب می‌کنند. در جریان برخی از این حملات صدها هزار دلار و بعضاً میلیون‌ها دلار از قربانی اخاذی می‌شود که مبلغ ۱۰ هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمی‌آید.
 
رصد برخی از پایگاه‌های اینترنتی که در آنها دسترسی‌های RDP به فروش می‌رسد نشان می‌دهد که بخش‌های آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلی‌ترین اهداف حملات مبتنی بر RDP هستند. سازمان‌های فعال در هر یک از این حوزه‌ها می‌توانند هدفی پرسود از نگاه باج‌گیران سایبری باشند.
 
با وجودی که به نظر می‌رسد سوءاستفاده گسترده مهاجمان از RDP همچنان ادامه داشته باشد، موارد زیر از جمله اقدامات مؤثر در ایمن‌سازی این پروتکل است:
 
- دسترسی به RDP در بستر اینترنت مسدود شود. سرورهای با RDP باز به‌سادگی از طریق جستجوگرهایی همچون Shodan قابل شناسایی هستند.
 
- از تغییر درگاه (Port) پیش‌فرض RDP اطمینان حاصل شود.
 
- از پروتکل TCP به جای UDP استفاده شود.
 
- از اصالت‌سنجی موسوم به Network Level Authentication – به اختصار NLA – استفاده شود.
 
- اطمینان حاصل شود که سیاست‌های مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آنها شامل حساب‌های کاربری RDP نیز می‌شود تا احتمال هک شدن آنها در جریان حملات Brute-force به حداقل برسد.
 
- حتی‌الامکان از اصالت‌سنجی‌های دوعاملی (۲FA) جهت دسترسی به RDP استفاده شود.
 
- دسترسی به RDP محدود به نشانی‌های IP مجاز و حساب‌های کاربری خاص شود.
 
- ارتباطات RDP از طریق SSH یا IPSec امن شود.
 
- سطح دسترسی کاربران محلی و تحت دامنه در حداقل ممکن تنظیم شود. استفاده از سامانه‌های کنترل دسترسی نقش-محور (Role-based Access Control – به اختصار RBAC) توصیه می‌شود.
 
- از اعمال سریع اصلاحیه‌های (Patch) عرضه شده اطمینان حاصل شود.
 
- در نامگذاری‌ها تلاش شود که اطلاعات سازمان افشا نشود.

خرید و فروش اطلاعات اصالت‌سنجی سیستم های رایانه‌ای

/در , , , , , , , /توسط
 
 
مرکز افتا نسبت به خرید و فروش اطلاعات اصالت سنجی دسترسی های از راه دور سیستم های رایانه ای، توسط شبکه های هک که با عنوان دلال های دسترسی اولیه شناخته می شوند، هشدار داد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، خرید و فروش اطلاعات اصالت‌سنجی (Credential) دسترسی‌های از راه دور، مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است.
 
بر اساس گزارشی که شرکت دیجیتال شدوز (Digital Shadows Ltd) منتشر کرده سرقت و فروش دسترسی به شبکه سازمان‌ها در سال ۲۰۲۰ و در پی فراگیری دورکاری کارکنان افزایشی چشم‌گیر داشته است.
 
هک شبکه‌ها و فروش دسترسی به آنها، توسط افرادی که از آنها با عنوان « دلال‌های دسترسی اولیه» (Initial Access Broker) یاد می‌شود صورت می‌گیرد. این افراد با هک سرور یا سامانه سازمان مورد نظر، پس از دستیابی به اطلاعات لازم جهت رخنه به آنها، اقدام به فروش دسترسی فراهم شده به سایر تبهکاران سایبری می‌کنند.
 
«دیجیتال شدوز» میانگین قیمت یک دسترسی اولیه را ۷۱۰۰ دلار گزارش کرده است. این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاه‌های قابل دسترس از طریق آن می‌تواند متفاوت باشد.
 
دسترسی از طریق پروتکل کنترل از راه دور ( Remote Desktop Protocol ) یا RDP با ۱۷ درصد، بیشترین سهم از دسترسی‌های اولیه فروخته شده در سال ۲۰۲۰ را به خود اختصاص داده است.
 
RDP با میانگین قیمت ۹۸۰۰ دلار جایگاه گران‌ترین روش را نیز کسب کرده است.
 
رخنه به شبکه قربانی از طریق RDP یکی از متداول‌ترین روش‌های استفاده شده توسط گردانندگان باج‌افزاری است که قربانیان خود را به‌صورت کاملاً هدفمند انتخاب می‌کنند. در جریان برخی از این حملات صدها هزار دلار و بعضاً میلیون‌ها دلار از قربانی اخاذی می‌شود که مبلغ ۱۰ هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمی‌آید.
 
رصد برخی از پایگاه‌های اینترنتی که در آنها دسترسی‌های RDP به فروش می‌رسد نشان می‌دهد که بخش‌های آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلی‌ترین اهداف حملات مبتنی بر RDP هستند. سازمان‌های فعال در هر یک از این حوزه‌ها می‌توانند هدفی پرسود از نگاه باج‌گیران سایبری باشند.
 
با وجودی که به نظر می‌رسد سوءاستفاده گسترده مهاجمان از RDP همچنان ادامه داشته باشد، موارد زیر از جمله اقدامات مؤثر در ایمن‌سازی این پروتکل است:
 
- دسترسی به RDP در بستر اینترنت مسدود شود. سرورهای با RDP باز به‌سادگی از طریق جستجوگرهایی همچون Shodan قابل شناسایی هستند.
 
- از تغییر درگاه (Port) پیش‌فرض RDP اطمینان حاصل شود.
 
- از پروتکل TCP به جای UDP استفاده شود.
 
- از اصالت‌سنجی موسوم به Network Level Authentication – به اختصار NLA – استفاده شود.
 
- اطمینان حاصل شود که سیاست‌های مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آنها شامل حساب‌های کاربری RDP نیز می‌شود تا احتمال هک شدن آنها در جریان حملات Brute-force به حداقل برسد.
 
- حتی‌الامکان از اصالت‌سنجی‌های دوعاملی (۲FA) جهت دسترسی به RDP استفاده شود.
 
- دسترسی به RDP محدود به نشانی‌های IP مجاز و حساب‌های کاربری خاص شود.
 
- ارتباطات RDP از طریق SSH یا IPSec امن شود.
 
- سطح دسترسی کاربران محلی و تحت دامنه در حداقل ممکن تنظیم شود. استفاده از سامانه‌های کنترل دسترسی نقش-محور (Role-based Access Control – به اختصار RBAC) توصیه می‌شود.
 
- از اعمال سریع اصلاحیه‌های (Patch) عرضه شده اطمینان حاصل شود.
 
- در نامگذاری‌ها تلاش شود که اطلاعات سازمان افشا نشود.

کرونا حملات سایبری به بیمارستان‌ها را دو برابر کرد

/در , , , , , /توسط
 
بررسی‌های شرکت آی بی ام نشان می‌دهد حملات سایبری به بیمارستان‌ها و مراکز درمانی از زمان شیوع ویروس کرونا به بعد دوبرابر شده است.
 
 به نقل از زد دی نت، بر اساس گزارش سالانه آی بی ام در مورد تهدیدات اطلاعاتی سالانه فضای مجازی، در یک سال اخیر شاهد دو برابر شدن تهدیدات بدافزاری در اینترنت بوده‌ایم.
 
یافته‌های محققان آی بی ام نشان می‌دهد حملات سایبری به طور ویژه سازمان‌هایی را هدف گرفته‌اند که در مورد شناسایی و درمان ویروس کرونا تحقیق می‌کنند و به دنبال ابداع روش‌های درمانی و واکسن برای مقابله با آن هستند.
 
بیمارستان‌ها، شرکت‌های دارویی، مجموعه‌های خدمات پزشکی و شرکت‌های حوزه انرژی از جمله نهادهایی هستند که حملات سایبری به آنها به همین علت دو برابر شده است.
 
آی بی ام بر این باور است علت افزایش حملات به این سازمان‌ها آن است که آنها نمی‌توانند هیچ اختلالی در فعالیت‌های خود را به علت ضروری بودن مقابله سریع با ویروس کرونا تحمل کنند و لذا در صورت هک شدن، سرقت اطلاعات یا حملات باج افزاری به سرعت انعطاف نشان می‌دهند و تلاش می‌کنند با باج دادن به هکرها به روند عادی فعالیت‌های خود بازگردند.
 
آی بی ام بر این باور است که حملات سایبری به مؤسسات پزشکی و درمانی و همین طور بخش انرژی در سال ۲۰۲۱ نسبت به سال ۲۰۲۰ حداقل ۵۰ درصد افزایش داشته و لذا باید هشیاری این سازمان‌ها برای مقابله با حملات مذکور افزایش یابد.
 
بعد از مجموعه‌های پزشکی و درمانی و بخش انرژی، خرده فروشی‌های آنلاین، شرکت‌های خدماتی حرفه‌ای، سازمان‌های دولتی، رسانه‌ها، بخش حمل و نقل و بخش آموزش در رتبه‌های بعدی جذابیت برای هکرها قرار دارند.

افشای اطلاعات کاربران سامانه ابلاغ الکترونیک قوه قضاییه تکذیب شد

/در , , , , , , , /توسط
 
 
خبر نشت اطلاعات ۲۵ میلیون کاربر سامانه ابلاغ الکترونیک قوه قضاییه تکذیب شد.
 
چند روز پیش، خبری مبنی بر نشت بانک اطلاعاتی بیش از ۲۵ میلیون خط، نام و نام خانوادگی، نام پدر، جنسیت، کد ملی، آدرس ایمیل، شماره تلفن ثابت، شماره تلفن همراه، آدرس، کد پستی، محل تولد و محل اقامت کاربران سامانه ابلاغ الکترونیک قضایی با عنوان سامانه عدل ایران در فضای مجازی منتشر شد. قوه قضاییه در این مورد واکنشی نشان نداد؛ اما باشگاه خبرنگاران جوان گزارش داد که اطلاعات منتشرشده قدیمی و کذب بوده‌ است.
 
یک منبع آگاه به خبرنگار باشگاه خبرنگاران جوان گفت به‌تازگی هیچ اطلاعاتی از کاربران سامانه مرکز آمار قوه قضاییه و عدل ایران نشت پیدا نکرده است. وی اضافه کرد تصاویری که از نشت اطلاعات کاربران این سامانه در فضای مجازی منتشر شده است، قدیمی هستند و هیچ اطلاعات قضایی در آن‌ها افشا نشده است.
 
به ‌گفته‌ی این منبع آگاه:
 
فردی که خود این عکس‌ها را در فضای مجازی منتشر کرده، اذعان کرده است که آن‌ها جعلی و شوخی بوده‌اند ... هیچ یک از اطلاعاتی که در این تصاویر مشاهده می‌شود، ارتباطی به مرکز آمار قوه قضاییه ندارد و اطلاعات کاربران افشا نشده است.

افزایش چشم‌گیر تهدیدات Web Shell

/در , , , , , , , /توسط
 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.

افزایش چشم‌گیر تهدیدات Web Shell

/در , , , , , , , /توسط
 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.

شناسایی حمله هکری سه ساله به بیش از ۱۰ شرکت فرانسوی

/در , , , , , , , /توسط
 
 
آژانس امنیت سایبری آنسی فرانسه از شناسایی یک حمله هکری به بیش از ۱۰ سازمان و شرکت در این کشور طی سه سال اخیر با سوءاستفاده از یک نرم افزار شرکت سنترئون خبر داده است.
 
به نقل از زد دی نت، فرانسه حملات یادشده را به یک گروه هکری نظامی روسی موسوم به سندوروم نسبت داده و مدعی شده که این هکرها با شناسایی ضعف نرم افزاری مانیتورینگ آی تی شرکت سنترئون از آن برای نفوذ به شبکه‌های داخلی و رایانه‌ای نهادهای مختلفی در فرانسه بهره گرفته‌اند.
 
ANSSI مدعی شده این حملات عمدتاً شرکت‌های ارائه دهنده خدمات فناوری اطلاعات و به خصوص مؤسسات خدمات میزبانی وب را تحت تأثیر قرار داده است. اولین قربانی این حمله مربوط به اواخر سال ۲۰۱۷ بوده و حملات یادشده تا اواخر سال ۲۰۲۰ طول کشیده است. در عین حال مشخص نیست آیا مؤسسات و سازمان‌های دیگری هم قربانی حملات یادشده بوده‌اند یا نه.
 
پلتفرم مانیتورینگ منابع آی تی سنترئون که توسط شرکتی به همین نام طراحی و عرضه شده، قابلیت‌ها و امکاناتی مشابه با نرم افزار اوریون شرکت سولارویندز دارد و هک شدن آن می‌تواند تبعات امنیتی گسترده‌ای داشته باشد. بر اساس بررسی آنسی، مهاجمان سیستم‌هایی را مورد حمله قرار داده‌اند که به اینترنت متصل بوده‌اند.
 
هکرها بعد از نفوذ به شبکه‌های رایانه‌ای هدف دو بدافزار P.A.S. web shell وExaramel را برای تکمیل نفوذ و تسهیل سرقت اطلاعات به کار گرفته‌اند.
 
گروه هکری روس که فرانسه این حملات را به آن نسبت داده، قبلاً مسئول حملات هکری به اوکراین در سال‌های ۲۰۱۵ و۲۰۱۶، طراحی باج افزار نات پتیا در سال ۲۰۱۷، حمله به بازی‌های المپیک زمستانی در سال ۲۰۱۸ و حمله به وب سایت‌های گرجستانی در سال ۲۰۱۹ عنوان شده است.