هکرها از نصب‌کننده‌های جعلی ویندوز ۱۱ برای توزیع بدافزارها استفاده می‌کنند

 
مایکروسافت پیش نمایش ویندوز ۱۱ را منتشر کرده و کاربران می‌توانند بطور رسمی آن را دریافت کنند. با این حال برخی کاربران به سراغ فایل‌های ISO غیررسمی می‌روند که نصب‌کننده یا اینستالر (Installer) حاوی بدافزار دارند.
 
گزارشی از کسپرسکی نشان می‌دهد که نسخه‌ای از ویندوز با نام ۸۶۳۰۷_windows 11 build 21996.1 x64 + activator.exe در فضای اینترنت بارگذاری شده و حجم آن ۱.۷۵ گیگابایت است. براساس نام آن می‌توان عنوان کرد که به بیلد ۲۱۹۹۶.۱ ویندوز ۱۱ و در واقع نسخه غیررسمی منتشر شده قبل از رونمایی رسمی سیستم عامل مایکروسافت مربوط می‌شود که حاوی یک فایل DLL بی‌فایده است.
 
زمانی که کاربران فرآیند نصب نسخه حاوی این فایل را آغاز می‌کنند، به صورت خودکار فایل قابل اجرا دیگری نیز توسط همان فایل دانلود و اجرا می‌شود. البته این موضوع کاملا با توافقنامه ویندوز مطابقت دارد که بیان می‌کند «برخی اپلیکیشن‌های حمایت شده روی دستگاه شما نصب خواهند شد.» با این وجود افرادی که بدون خواندن آن را قبول می‌کنند، می‌توانند پای اپلیکیشن‌های مخرب را به سیستم خود باز کنند.

 
کسپرسکی خاطرنشان می‌کند که این فایل دانلود شده می‌تواند آگهی‌افزار یا تروجان باشد و فایل‌های سیستم شما را در اختیار خود بگیرد. به گفته این شرکت، برنامه کسپرسکی با صدها تلاش برای حمله به سیستم با استفاده از این تکنیک در ویندوز ۱۱ مقابله کرده است.
 
شرکت امنیتی روسی هشدار می‌دهد که برای نصب ویندوز ۱۱ بهتر است از نصب‌کننده‌های رسمی ویندوز استفاده کنید و البته با توجه به اینکه این سیستم عامل هنوز در حال توسعه است، بهتر است برای نصب آن عجله‌ای نداشته باشید، زیرا می‌تواند منجر به مشکلات پایداری شود.
 
مایکروسافت اولین نسخه پیش نمایش ویندوز ۱۱ را در تاریخ ۷ تیر منتشر کرد و طی چند هفته گذشته بروزرسانی‌های جدیدی را برای آن ارائه کرده است. در حالی که فرآیند نصب ویندوز ۱۱ نسبتا ساده است و تمام مراحل آن توسط اینستالر ویندوز انجام می‌شود، استفاده از فایل‌های غیررسمی خطر گرفتار شدن به بدافزارها را افزایش می‌دهد. استفاده از نصب‌کننده‌های غیررسمی ویندوز پیچیده نیست و تنها باید یک اینستالر را دانلود کرد و سپس بدون مطالعه شرایط و ضوابط آن عملیات نصب را انجام داد.

هر آنچه که باید در مورد دورکاری و امنیتِ آن بدانید!

به دلیل شیوع ویروس کرونا، بسیاری از شرکت‌ها کارمندان خود را دورکار کرده‌اند؛ این قانون شامل کارمندانی که پیش از این تصور نمی‌شد بشود دورکاری کنند هم می‌شود؛ بدان‌معنا که شاید برای برخی پست‌های شغلی هنوز تدابیر و سیاست‌های خاص دورکاری تعریف نشده باشد و همین می‌تواند خطرآفرین باشد. در ادامه با ما همراه شوید تا مبسوط به موضوع داغ دورکاری و امنیت آن پرداخته و راهکارهایی نیز برای کاهش میزان خطرات خدمتتان ارائه دهیم.
 
در اولین نگاه، تنها تغییری که برای کارمندان بوجود می‌آید این است که دیگر به صورت حضوری و رو در رو با همکاران خود ارتباط ندارند. اما این بخش کوچکی از ماجراست؛ برای مثال کانال‌های ارتباطی را در نظر بگیرید، یا روتین‌های اتخاذ شده، ابزارهای مشارکت، تجهیزات و دسترسی به آن تجهیزات.
 
کانال‌های ارتباطی
وقتی کارمندان شما در اداره روی یک شبکه‌ی محلی کار می‌کنند، راهکارهای امنیتی‌تان تمامی فرآیندهای تبادل اطلاعات را مدیریت خواهند کرد اما اینکه هر کارمند در خانه‌اش کار کند متغیر دیگری را به معادله اضافه می‌کند- سرویس‌های ارائه‌دهنده اینترنت. شما نه از آن‌ها اطلاعی دارید و نه می‌توانید کنترل‌شان کنید؛ در حقیقت مدیریت تمامی اقدامات امنیتی آن‌ها از اراده شما خارج است. در برخی موارد، کانکشن‌های اینترنت خانگی نه تنها به کارمند شما دسترسی دارد که همچنین به مهاجمی بالقوه. خلاصه بگوییم که بهتر است رازهای سازمانی را از طریق چنین کانال‌های ارتباطی به اشتراک نگذارید.
راهکار: اگر کارمندان شما باید به صورت ریموت به منابع سازمانی وصل شوند مطمئن شوید وی‌پی‌انی مطمئن دارند تا بدین‌ترتیب بین ایستگاه‌کار آن‌ها و زیرساخت شما کانالی قابل‌اطمینان برقرار باشد. بدین‌ترتیب جای داده‌های سازمانی‌تان هم محفوظ خواهد بود. در عین حال نگذارید بدون وی‌پی‌ان، شبکه‌های خارجی به منابع سازمانی شما راه اتصال ایجاد کنند.
 
روتین‌های اتخاذ شده
دورکاران نمی‌توانند مثل قبل بروند پیش همکار خود و در مورد مسئله‌ای کاری صحبت کنند؛ بنابراین می‌توان انتظار داشت که میزان مکاتبات بین کارمندان به مراتب در دورکاری بیشتر خواهد بود. به بیانی دیگر، وقتی دیگر کسی در شرکت نباشد روتین‌های اتخاذ شده همه بهم می‌خورد. در حالت تئوری، مهاجم قدرت مانور بیشتری پیدا خواهد کرد- به خصوص در استفاده از حملات BEC (دستکاری ایمیل سازمانی). از میان انبوهی از مکاتبات سازمانی کیست که بتواند متوجه یک فیشینگ کوچک شود؟ در حقیقت، پیامی جعلی که درخواست اطلاعات دارد مانند شرایط نرمال به نظر مشکوک نمی‌آید. علاوه بر این، هرقدر کارمندان در خانه خود آسوده‌تر باشند کمتر فکرشان به این مسائل خطور می‌کند.
راهکار: نخست، گرچه کارمندان در خانه‌اند اما همه‌شان ملزم به استفاده از ایمیل هستند. این کمترین کار برای جلوگیری از اقدامات بزهکارانه‌ی مجرمان سایبری است. دوم اینکه مطمئن شوید سرورهای میل شما توسط فناوری‌هایی محافظت می‌شود که قادر به شناسایی اقداماتی نظیر دستکاری فرستنده پیام می‌باشند. راهکارهای ما هم برای میل سرور و هم مایکروسافت آفیس 365 چنین فناوری‌هایی را ارائه می‌دهند. سوم اینکه، پیش از دورکار کردن کارمندان خود آن‌ها را تا حد امکان از روش‌ها و ترفندهای تهدیدات سایبری آگاه نمایید.
 
ابزارهای مشارکت
نداشتن رودررویی باعث می‌شود کارمندان دست به دامان شیوه‌های دیگر ارتباطاتی شوند که برخی از آن‌ها شاید مطمئن نباشند. برای مثال داکیومنت گوگل داکسی که دسترسی آن به طرز ناصحیحی تنظیم شده است می‌تواند با موتور جست‌وجو شناسایی شده و به منبعی نشت داده‌ سازمانی تبدیل شود. همین اتفاق می‌تواند برای داده‌های داخل ذخیره کلود هم بیافتد. محیط مشارکتی مانند Slack همچنین می‌تواند به نشت داده منتهی شود و فردی به طور تصادفی بتواند به کل تاریخه فایل‌ها و پیام‌ها دسترسی پیدا کند.
راهکار: در حالت نرمال، انتخاب محیط مشارکتی مناسب برای شما از حیث امنیت و قابلیت با خودتان است. اما ایده آل آن است که رجیستری آدرس ایمیل سازمانی را بخواهد. همچنین باید در صورت لزوم ادمینی را برای رسیدگی به این موضوعات استخدام کرد. مهم‌تر این است که پیش از اجازه دورکاری دادن به کارمندان یک جسله آگاهی برگزار نمایید (که می‌تواند ریموت هم برگزار شود). در این جلسه می‌شود تأکید کرد که فقط از سیستم مشارکتی بکارگرفته‌شده در شرکت (یا چیزی که خودتان تأیید کرده‌اید) استفاده کنند. همچنین باید تأکید شود اگر اطلاعات محرمانه‌ای فاش گردد خودشان مسئول خواهند بود.
 
تجهیزات
به طور کلی، همه‌ی کارمندان هم به لپ‌تاپ‌های سازمانی دسترسی ندارند؛ گوشی‌های تلفنی هم نمی‌توانند همه‌ی کارها را یک‌تنه انجام دهند. بنابراین، کارمندان شروع می‌کنند به استفاده از کامپیوترهای شخصی. برای شرکت‌هایی که خط‌مشی BYOD دارند این می‌تواند تهدید بسیار جدی‌ای باشد.
راهکار: نخست، اگر کارمندان باید از خانه کار خود را انجام دهند باید بدان‌ها لپ‌تاپ سازمانی و اگر امکانش هست گوشی‌های موبایل سازمانی داده شود. ناگفته نماند که این دستگاه‌ها باید با راهکارهای امنیتی مناسب محافظت شوند. علاوه بر این، راهکارهای مذکور باید قادر باشند داده‌های سازمانی را پاک کرده، داده‌های سازمانی را از داده‌های شخصی جدا نموده و روی نصب اپ‌ها محدودیت‌هایی را اعمال کنند.
اگر بنا به دلایلی کارمندان مجبور بودند از دستگاه‌های شخصی استفاده کنند، زمانش است که خط مشی BYOD را برای مدیریت داده‌های سازمانی روی آن دستگاه‌ها معرفی کنید. علاوه بر این، تأکید کنید که تمامی کارمندان نرم‌افزار آنتی‌ویروس خانگی نصب کنند؛ حتی اگر آن فقط یک راهکار رایگان است. در حالت ایده‌آل، باید اجازه دهید چنین دستگاه‌هایی فقط زمانی به شبکه‌های سازمانی وصل شوند که رویشان راهکار امنیتی نصب و البته سیستم‌عامل هم به روز شده باشد.
 
دسترسی به تجهیزات
هیچوقت نمی‌توان مطمئن بود کارمندان حین دورکاری با چه کسانی معاشرت دارند. برای مثال، نمی‌توان متوجه شد چه کسی به نماشگر کارمند دورکار نگاه می‌کند (وقتی که رفته است برای خود یک فنجان چای بریزد). اینکه کارمندان تصمیم بگیرید در خانه و تنها کار کنند یک ماجراست و اینکه عده‌ای از آن‌ها تصمیم بگیرند بروند کافه و فضاهای عمومی ماجرایی دیگر؛ در چنین فضاهایی خطر بسی بیشتر است.
راهکار: شما می‌توانید با خط‌مشی‌های امنیتی بیشتر این معضلات را پوشش دهید. در مورد سایر مشکلات امنیت سایبری هم که مخصوص دورکاریست باید تنها کارمندان را آموزش داد و توجه‌شان را به این نوع خطرات بالا برد.
 
وبینار
متخصصین ما در صددند در باب ایمن‌سازی دورکاری در تاریخ 8 مارس وبیناری برگزار کنند. برای اطلاعات بیشتر به این آدرس مراجعه نمایید.
 
منبع: کسپرسکی آنلاین
 

آیا آنتی‌ویروس‌ها از کاربران جاسوسی می‌کنند؟

آنتی‌ویروس

طبق تحقیقات مشترک وب‌سایت‌های PCMag و Motherboard، شرکت امنیتی Avast تاریخچه مرورگر کاربران خود را جمع‌آوری کرده و سپس این داده‌ها را به اشخاص ثالث می‌فروشد. این تنها جدیدترین نمونه از جمع‌آوری اطلاعات توسط یک آنتی‌ویروس رایگان است. درهرحالت، آنتی‌ویروس‌ها نیز باید از طریقی به امرارمعاش بپردازند.

Avast تاریخچه مرورگر شما را جمع‌آوری کرده و آن‌ را به سایر شرکت‌ها می‌فروشد

آنتی‌ویروس

آیا از آنتی‌ویروس Avast استفاده می‌کنید؟ به‌طور پیش‌فرض، این شرکت تاریخچه مرورگر شما را از طریق شرکت تابعه Jumpshot گردآوری کرده و آن را به بازاریاب‌ها پیشنهاد می‌داد. شرکت‌های خریدار نیز می‌توانند جریان کامل کلیک‌های آنلاین کاربران این آنتی‌ویروس را مشاهده کنند. مایکل کان (Michael Kan) از وب‌سایت PCMag می‌گوید: “این داده‌ها به حدی جزئی بوده که می‌توانند در مقیاس میلی‌ثانیه‌ای کلیک‌های کاربران در فضای اینترنت را به اشخاص خریدار نشان دهند. درحالی‌که داده‌های جمع‌آوری‌شده به نام اشخاص، ایمیل و یا آدرس IP هیچ شخصی ربط داده نمی‌شوند، با این اوصاف، تاریخچه مرورگر هر کاربری به شناسه دستگاه (device ID) آن شخص متصل است. این رویه تا زمانی که کاربر آنتی‌ویروس Avast را از دستگاه خود حذف نکند، همچنان ادامه دارد.”

Avast می‌گوید که این داده‌ها ناشناس باقی می‌مانند، اما وب‌سایت‌های PCMag و Motherboard اعلام می‌دارند که توانسته‌اند از طریق این اطلاعات، کاربران حقیقی را ردیابی کنند. به‌عنوان‌مثال: اگر شما بدانید که در تاریخی مشخص و در ثانیه‌ای مشخص، کدام کاربر فروشگاه آمازون کدام محصول را خریداری کرده، آنگاه شما می‌توانید کاربران حقیقی «ناشناس» را شناسایی کرده و سپس تاریخچه وب‌گردی آن‌ها را نیز موردبررسی قرار دهید.

شرکت Avast اعلام کرده که شرکت تابعه Jumpshot را تعطیل می‌کند. این همان شرکتی است که داده‌های مرورگر کاربران را به بازاریاب‌ها فروخته است. 

Avast این داده‌ها را از طریق نسخه دسکتاپی آنتی‌ویروس خود گردآوری می‌کند

اگر شما از تنظیمات پیش‌فرض آنتی‌ویروس Avast استفاده می‌کنید، باید بدانید که داده‌های مرورگر شما از طریق شرکت تابعه Jumpshot به بازاریاب‌ها فروخته می‌شوند. این اطلاعات از طریق افزونه مرورگری Avast جمع‌آوری نمی‌شوند. در عوض، این داده‌ها از طریق نسخه دسکتاپی این نرم‌افزار امنیتی گردآوری می‌شوند.

هنگامی‌که شما آنتی‌ویروس Avast را نصب می‌‌کنید، درخواستی را مشاهده خواهید کرد که از شما می‌پرسد آیا می‌خواهید داده‌های خود را به اشتراک بگذارید؟ احتمالا اکثر کاربرانی که با این گزینه موافقت می‌کنند، از تمامی جنبه‌های این ماجرا آگاهی ندارند.

آنتی‌ویروس

اگر آنتی‌ویروس Avast را نصب کرده‌اید، می‌توانید این اپلیکیشن را باز کرده و سپس به بخش menu > Settings > General > Personal Privacy بروید تا در آنجا بتوانید داده‌هایی را که جمع‌آوری و به اشتراک گذاشته می‌شوند، مدیریت کنید. در این قسمت باید گزینه Share threat information with Avast to improve your protection را غیرفعال کنید.

آنتی‌ویروس

ما پیشنهاد می‌دهیم که این نرم‌افزار را حذف کنید، اما اگر تمایل دارید که همچنان از آن استفاده کنید، بهتر است که این گزینه را غیرفعال کنید.

افزونه‌های مرورگرها تنها بخشی از مشکل هستند

نرم‌افزارهای امنیتی اکثرا افزونه مرورگر را نیز در خود جای می‌دهند تا اطلاعاتی جرئی را در رابطه با اهداف بازاریابی خود جمع‌آوری کنند. در مهرماه (اکتبر) سازنده Adblock Plus یعنی ولادیمیر پالانت (Wladimir Palant) راه‌هایی را که افزونه‌های مختلف آنتی‌ویروس Avast از طریق آن‌ها اقدام به گردآوری و انتقال تاریخچه وب‌گردی کاربران می‌کنند، فهرست‌بندی کرد. افزونه مرورگر AVG نیز اقدامی مشابه را انجام می‌دهد. البته ازآنجایی‌که چند سال پیش Avast این توسعه‌دهنده را نیز خریداری کرده، این موضوع چندان جای تعجب ندارد.

گوگل و موزیلا تا هنگامی‌که شرکت Avast برخی از تغییرات را اعمال نکرده بود، همچنان به اعمال فشار و همچنین حذف این افزونه‌ها از Chrome Web Store و وب‌سایت Mozilla Addons ادامه می‌دادند. این افزونه‌ها باری دیگر در دسترس قرار گرفته‌اند. دقیقا مشخص نیست که گردآوری داده‌ها تا چه حدی محدود شده، اما درهرصورت شرکت Avast نیز در زمینه سیاست‌های حریم خصوصی خود شفاف‌تر شده است.

درحالی‌که گوگل و موزیلا می‌توانند فشارهایی را بر اقدامات افزونه‌های مرورگر اعمال کنند، اما فعلا هیچ نهادی، جمع‌آوری داده‌های نسخه دسکتاپی آنتی‌ویروس Avast را منع نمی‌کند. این می‌تواند یکی از دلایل فعالیت این شرکت در زمینه گردآوری اطلاعات از طریق نسخه دسکتاپی این آنتی‌ویروس باشد.

ما پیشنهاد می‌دهیم که افزونه مرورگر آنتی‌ویروس خود را نصب نکنید، اما باید بدانید که فقط با این اقدام نمی‌توانید از مشکلات حریم خصوصی رهایی یابید.

آنتی‌ویروس‌های رایگان نیز باید از طریقی به کسب درآمد بپردازند

آنتی‌ویروس

آنتی‌‌ویروس‌های رایگان نیز باید از طریقی هزینه‌های خود را جبران کنند. بنابراین جای تعجبی ندارد که اگر شرکت‌هایی مانند Avast اطلاعات کاربران خود را جمع‌آوری کرده و سپس از طریق آن‌ها به امرارمعاش بپردازند.

در گذشته، Avast قابلیت خرید را نیز در خود گنجانده بود. این ویژگی در هنگام وب‌گردی، تبلیغات را به سایر صفحات وب اضافه می‌کرد. این شرکت دیگر چنین کاری را انجام نمی‌دهد. اما ظاهرا جمع‌آوری داده‌ها پایان نیافته است.

همان‌طور که تابه‌حال باید فهمیده باشد، آنتی‌ویروس‌ها رایگان، واقعا رایگان نیستند. بسیاری از شرکت‌های امنیتی سعی دارند تا موتور جست‌و‌جوی پیش‌فرض شما را تغییر، صفحه خانگی مرورگر شما را تعویض و یا اینکه پیشنهاد نصب نرم‌افزارهای اضافی را در هنگام نصب، به شما ارائه دهند. امروزه به احتمال زیاد، بسیاری از آنتی‌ویروس‌های دیگر نیز به گردآوری و فروش اطلاعات شما می‌پردازند.

کدام آنتی‌ویروس فعالیت شما را ردیابی نمی‌کند؟

لزوما تمامی آنتی‌ویروس‌های رایگان، شما را ردیابی نمی‌کنند. برخی از آنتی‌ویروس‌ها در ابتدا یک دوره آزمایشی را پیشنهاد می‌دهند که در آن داده‌های شما گردآوری و فروخته نمی‌شوند. در عوض، این شرکت‌ها سعی می‌کنند تا نسخه پولی محصولات خود را به کاربران بفروشند.

به‌عنوان‌مثال، ولادیمیر پالانت؛ کسی که گردآوری اطلاعات توسط افزونه آنتی‌ویروس‌های Avast و AVG را افشا کرد، در واکنش به یک اظهارنظر گفته بود که هنوز هیچ نشانه‌ای مبنی بر اینکه آنتی‌ویروس رایگان Kaspersky از کاربران خود جاسوسی می‌کند، به دست نیاورده است. به‌هرحال، در سال 2019 این شرکت نیز مشغول قرار دادن تشخیص‌دهنده‌ای منحصربه‌فرد در ترافیک وب‌گردی بود که به کاربران این امکان را می‌داد تا به‌صورت آنلاین شناسایی شوند.

ما آنتی‌ویروس Microsoft Windows Defender را که در خود ویندوز 10 قرار داده‌شده، پیشنهاد می‌دهیم. این آنتی‌ویروس از حذف ویروس‌های رایانه شما هیچ هدف خاصی ندارد. این نرم‌افزار فعالیت وب‌گردی شما را ردیابی نمی‌کند. این اپلیکیشن سعی نمی‌کند تا نرم‌افزارهای اضافی را به شما بفروشد، هرچند که خود مایکروسافت نرم‌افزارهای امنیتی پیشرفته‌تری را به کسب‌و‌کار پیشنهاد می‌دهد.

ما همچنین آنتی‌ویروس Malwarebytes را نیز پیشنهاد می‌دهیم. این نرم‌افزار در زمینه شناسایی و حذف نرم‌افزارهای ناامن عملکردی عالی دارد. نسخه رایگان Malwarebytes در پس‌زمینه اجرا نمی‌شود، بلکه فقط جست‌و‌جوی دستی را به شما ارائه می‌دهد. این آنتی‌ویروس به‌جای ردیابی کاربران خود، از محل فروش اشتراک‌های پریمیوم کسب درآمد می‌کند.

نوشته آیا آنتی‌ویروس‌ها از کاربران جاسوسی می‌کنند؟ اولین بار در اخبار تکنولوژی و فناوری پدیدار شد.

شناسایی آسیب‌پذیری در محصولات کسپرسکی، ترندمیکرو و اتودسک

​​​​​​​پژوهشگران مجموعه‌ای از آسیب‌پذیری‌ها را در محصولات Autodesk، Trend Micro و Kaspersky کشف کردند.
 
 
 
 
به گزارش مرکز افتا، به نقل از وب‌سایت ZDNet، سه آسیب‌پذیری بارگذاری DLL دلخواه در سه محصول Autodesk، Trend Micro و Kaspersky کشف شده‌اند که مهاجم با بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند سطح دسترسی خود را افزایش دهد و کد دلخواه اجرا کند.
 
آسیب‌پذیری اول دارای شناسه CVE-۲۰۱۹-۱۵۶۲۸ است و نسخه‌های ۱۶,۰.۱۲۲۱ و پایین‌تر محصول Trend Micro Maximum Security را تحت تاثیر قرار می‌دهد. یکی از مولفه‌های این برنامه با نام coreServiceShell.exe به عنوان NT AUTHORITYSYSTEM و با سطح دسترسی بالا اجرا می‌شود. این فایل دارای آسیب‌پذیری بارگذاری فایل DLL و عدم اعتبارسنجی آن است که باعث می‌شود مهاجم DLL دلخواه را با امضای یک برنامه دارای سطح دسترسی بالا اجرا کند. این کار منجر به دور زدن محافظت‌های امنیتی، کسب پایداری در سیستم (بدلیل اجرای برنامه در هنگام راه‌اندازی) و افزایش سطح دسترسی می‌شود. وصله مربوط به این آسیب‌پذیری توسط TrendMicro منتشر شده است.
 
آسیب‌پذیری دوم Kaspersky Secure Connection را تحت تاثیر قرار می‌دهد که یک کلاینت VPN مربوط به برنامه Kaspersky Internet Security است و برای ارتباط امن با سرورهای برنامه استفاده می‌شود. این آسیب‌پذیری با شناسه CVE-۲۰۱۹-۱۵۶۸۹ ردیابی می‌شود. آسیب‌پذیری موجود در این برنامه نیز باعث می‌شود تا مهاجم DLL دلخواه با سطح دسترسی بالا اجرا کند. این نقص در وصله ۲۰۲۰ E برطرف شده است.
 
آسیب‌پذیری سوم هم با شناسه CVE-۲۰۱۹-۷۳۶۵ در برنامه دسکتاپ Autodesk کشف شده است. برنامه دسکتاپ Autodesk با فایل اجرایی AdAppMgrSvc.exe، نیز توسط NT AUTHORITYSYSTEM اجرا می‌شود و دارای آسیب‌پذیری مشابه موارد قبلی است. در نسخه آسیب‌پذیر این برنامه اعتبارسنجی گواهی دیجیتال انجام نمی‌شود و فایل‌های DLL امضا نشده قابل اجرا هستند.
 
به گفته Autodesk، وصله مربوط به این آسیب‌پذیری در تاریخ ۲۷ نوامبر (۶ آذر) منتشر شده است.

راه‌حل ضد تقلب کسپرسکی برای ورزش‌های الکترونیکی

آن زمان که گیم‌های ویدیویی فقط یک سرگرمیِ خانگی بودند، هیچکس اهمیت نمی‌داد بازیکنان جرزنی می‌‌کنند یا نه. حتی وقتی حالت بازی‌های چندنفره هم باب شد باز معدود افرادی بودند که بخواهند به این مسائل اهمیت دهند. اما با پیشرفت esports ورق برگشت؛ حالا دیگر تقلب و جرزنی در بازیست که نه فقط عمده مشکلِ بازیکن‌ها که همچنین دغدغه‌ی متصدیان، حامیان مالی و میلیون‌ها بیننده است.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نگوییم که این وسط صنعت شرط‌بندی چقدر سرِ بُرد و باخت این بازی‌ها خونِ دل می‌خورد. از اینها گذشته، پول جایزه‌ای که برای این رقابت‌ها در نظر دیده شده است نیز می‌تواند به خطر بیافتد.  
مسیر از کجا می‌تواند منحرف شود؟  
بیشترِ گیم‌ها با میزبانیِ سرورها و یا در سرویس‌های کلود انجام می‌شوند. بنابراین شاید خیلی‌ها فکر کنند دیگر خبری از جرزنی و تقلب در بازی نیست اما طبق معمول همه‌چیز همیشه هم آنقدر ساده و قابل‌فهم نیست؛ گاهی مسائل پیچیده می‌شوند و دور از انتظار. در بسیاری از بازی‌ها، برنامه‌ی کلاینت، اطلاعاتی بیش از حدِ مجاز بازیکن برای دیدن دریافت می‌کند. برای مثال، برنامه دقیقاً می‌داند دو رقیب بازی کجای کارند و با یکدیگر چند چندند. طبیعی است که طرفداران دوآتشه‌ی تکنولوژی پی بردند چطور می‌شود از این اطلاعات برای جرزنی کردن در بازی استفاده کرد.
بازیکن‌ها با جرزنی می‌توانند حریفان خود را از پشت دیوارها و سایر مناظر ببینند و هیچ کمینگاهی برایشان باقی نگذراند. اگر برنامه به مختصاتِ دقیقِ حریف واقف باشد، ساخت قابلیتی با هدف خودکار برای شلیک مستقیم به سرِ دشمن چندان هم کار سختی نخواهد بود. علاوه بر اینها، جرزنی می‌تواند به طور اتوماتیک، پاسخی باشد به رویدادهای درون-گیمی (آن هم با سرعتی خیلی بیشتر از آنچه انسان در توان دارد).
تقلب‌ در تورنومنت‌ها
خوشبختانه، در رویدادهای مهم گیمینگ خیلی سخت می‌شود جرزنی و تقلب کرد. اول از همه اینکه، این گیم‌ها روی دستگاه‌های ناظران بازی اتفاق می‌افتند. دوم اینکه تماشاگران، کارشان نظارت بر روی رفتار بازیکن است. و سوم اینکه کلی تماشاگرِ حرفه‌ای آنجا هستند که می‌توانند بازی فول را در لحظه تشخیص دهند. با این حال، بازیکنان سرکش همچنان به جرزنی و تقلب خود در گیم ادامه می‌دهند.
برای بازیکنان مبتدی، بسیاری از رویدادها ابتدا با سنجش صلاحیتِ رقابت‌ها شروع می‌شود که بازیکنان در آن از کامپیوترهای خانگی خود استفاده می‌کنند. گرچه آن‌ها در این مرحله چندان هم نمی‌توانند امتیاز کسب کنند اما بازیکنان همچنین فرصت‌های بیشتری برایشان پیش می‌آید تا دست به جرزنی و تقلب بزنند. حذف تیمی قوی در راندهای سنجش صلاحیت فقط می‌تواند شانس‌شان را در مراحل بعدی بالاتر ببرد. وبسایت‌های هوادار دائماً فهرست‌هایی از متقلبینی را که دستشان رو شده و از بازی کنار گذاشته شدند منتشر می‌کنند. برای مثال اینجا فهرستی است از بازیکنانی که از کانتر-استراک: تورنومنت‌های گلوبال آفنسیو حذف شدند. همانطور که مستحضر هستید، اکثر آن‌ها به خاطر جرزنی و تقلب کنار گذاشته شدند.
 
 
چرا داریم در موردش می‌نویسیم
تقلب در ورزش‌های الکترونیکیِ حرفه‌ای اساساً نوع دیگریست از یک تهدید سایبری. تقلب‌های نرم‌افزاری چندان هم توفیری با بدافزارها ندارند. علاوه بر اینها، بسیاری از کارمندان کسپرسکی، خود طرفداران پر و پا قرص گیمینگ حرفه‌ای‌ هستند. آن‌ها زود متوجه شدند که فناوری‌های شناسایی حملات سایبریِ ما می‌تواند طوری تغییر داده شوند تا بشود از طریقشان به گندکاری‌هایی که در رویدادهای ورزش‌های الکترونیکیِ حرفه‌ای رخ می‌دهد پی برد.
قدم بعدی هم طبیعتاً ساخت سیستمی ضد تقلب بود که باید ناظرین  e-sports آن را استفاده می‌کردند. راه‌حل ما مبتنی بر کلود است و کارش نظارتِ در لحظه‌ی تقلب‌ها در طول رقابت است. این راه‌حل به درستی و بر حق در مورد جرزنی‌ها قضاوت می‌کند و تأیید فنی را در اختیار مسئولین قرار می‌دهد. گرچه در نهایت نیرویی انسانی باید آخرین قضاوت را داشته باشد؛ اما این سیستم می‌تواند تشخیص بازیِ جرزنی‌شده را بسیار آسانتر کند. و از همه مهمتر، سیستم ما هیچ تأثیری بر روی عملکرد بازی و یا گیم‌پلی نمی‌گذارد؛ تمام محاسبات اعدادی روی سرورهای کلود صورت می‌گیرد و نه دستگاه‌های بازیکن.
در حال حاضر، راه‌حل ضد تقلبِ کسپرسکی دو تا از محبوب‌ترین رقابت‌های e-sports را پوشش می‌دهد: Counter-Strike: Global Offensive  و  PlayerUnknown’s Battlegrounds؛ اما در نظر داریم این فهرست را بلندبالاتر کنیم.

افزایش کلیک‌دزدی: شکار بازدیدکنندگان سایت‌های رده اول

طبق گفته‌های محققین، کلیک‌دزدی تهدیدی است که هر قدر تاکتیک‌های جدید ظهور می‌کنند این تهدید نیز روز به روز بیشتر شایع می‌شود. در طول کلیک‌دزدی لینک‌های روی وبسایت، کاربرانِ از همه جا بی‌خبر را به اسپم‌ها هدایت می‌کنند. محتوای اسپم‌ها هم اغلب چیزی نیست جز تبلیغات یا بدافزار. با این حال، مطالعات جدید نشان می‌دهد ترفندهای جدید که مدام با تلاش مرورگرها برای رد کردن این اثرات سوء مبارزه می‌کنند باعث شده میلیون‌ها کاربر اینترنتی که در سایت‌های برتر وبگردی می‌کنند مبتلا شوند.
 
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محققین در خزنده‌ی وبِ 250 هزار وبسایت برتر (از سایت الکسا) متوجهِ 437 اسکریپت طرف‌سوم شدند که کلیک‌های کاربر را روی 613 وبسایت قطع کردند- که در کل 43 میلیون کلیک به طور روزانه (از همین طریق) دریافت می‌کنند. چیزی که مزید بر علت نیز می‌شود این است که لینک‌های رهگیریِ کلیک نیز دارند از تکنیک‌های جدیدی استفاده می‌کنند- مانند بزرگ‌تر کردن لینک‌ها (بدین‌ترتیب نادیده گرفتنشان سخت‌تر می‌شود).
به نقل از محققین: «بعدها به این مسئله نیز پی بردیم که بسیاری از اسکریپت‌های طرف‌سوم کلیک‌های کاربران را متوقف می‌سازند تا با این کلیک‌دزدی برای خودشان کسب و کار کاذب دست و پا کنند. همچنین متوجه شدیم متوقف‌سازی کلیک‌ها می‌تواند در نهایت باعث شود کاربران قربانی به سمت محتواهایی آلوده و مخرب سوق داده شوند. تحقیقات ما انعکاسِ تهدید نوظهوری در بخش کلیک‌هاست. نتایج حاصله، نیاز به محدودسازی امتیازات کدهای طرف‌سوم جاوااسکریپت را تأکید می‌کند».
محققین که مشارکت خود را از دانشگاه چینی هنگ‌کنگ، مرکز تحقیقاتی مایکروسافت، دانشگاه ملی سئول و دانشگاه ایالتی پنسیلوانیا شروع کردند یافته‌های خود را در مقاله‌ای تحت عنوان «همه‌ی کلیک‌های شما به من تعلق دارد: برسی توقف‌سازی کلیک‌ها روی وب» چاپ نموده و قرار است آن را در کنفرانس امنیتی USENIX ارائه داده، پیرامون آن به بحث و بررسی بپردازند.
 
تاکتیک‌های نوظهور متوقف‌سازیِ کلیک‌ها
عملِ کلیک‌دزدی (همان توقف‌ِ کلیک) و بحث پیرامون آن سال‌هاست نقل محافل امنیتی است.
وبسایت‌هایی که تحت تأثیر کلیک‌دزدی قرار می‌گیرند درشان اسکریپت‌های طرف‌سوم بکار رفته است. این اسکریپت‌ها به نظر شبیه به لینک‌هایی بی‌گناه و مظلوم هستند (مثل دکمه‌ی فیسبوک) اما در واقع به صورت بسیار مخفیانه در خود کُدی با کارکردی متفاوت دارد که در تگیiframe  یا اجزایی دیگر جاسازی شده است. بنابراین، وقتی قربانی‌ای روی لینک کلیک می‌کند یک‌جورهایی «گروگان» گرفته شده (برای همین نامش را گذاشته‌اند کلیک‌دزدی) و به صفحه‌ی اسپم یا پیجی مخرب برده می‌شوند.
 
Kasper.png
محققین بعد از ساخت فریم‌ورک تحلیلیِ مرورگر محورِ کرومیوم (که اسمش را گذاشته‌اند Observer) توانستند رفتارهای مرتبط با کلیک را برای 250 هزار وبسایت برتر الکسا مورد تحلیل قرار دهند.
هدف کلیک‌دزدیِ رؤیت‌شده، فرستادن قربانی به صفحات آلوده (مثل نرم‌افزارهای جعلی آنتی‌ویروس و صفحات دانلود درایو بای) بود؛ اما محققین می‌گویند با این ترفند همچنین کسب درآمد هم می‌شده است (برای مثال تبلیغات کذب یا اسپم برای مقاصد مربوط به اسکم).
علاوه بر روش‌های سنتی لینک‌دزدی که در فوق شرح دادیم، عاملین مخرب اکنون همچنین به فریب‌های بصری برای متوقف‌سازی کلیک‌های کاربران روی آورده‌اند (شامل لینک‌هایی که خود را به شکل بنرهای وبسایت یا دکمه‌های دانلود درمی‌آورند).
 
بعلاوه اینکه، مهاجمین در حال حاضر برای بهتر به دام انداختن کاربران برای کلیک روی اسکریپت‌های آن‌ها به ترفندهای جدید نیاز دارند. برای مثال، محققین موفق به شناسایی 86 اسکریپت طرف‌سوم که داشتند از ابرلینک‌ها (روی صفحه می‌چسبند) استفاده می‌کردند شدند. این اسکریپت‌های طرف‌سوم، با کلیک هر کاربر او را وارد سایت‌های بازی‌های آنلاین شرط‌بندی می‌کردند. محققین می‌گویند هرقدر فونت ابرلینک‌ها بزرگ‌تر بود احتمال کلیک شدن رویش هم بیشتر می‌شد. اسکریپت‌های طرف‌سوم دیگر نیز به طور انتخابی برای اینکه مورد شناسایی قرار نگیرند کلیک‌های کاربر را متوقف می‌ساختند.
محققین: «گرچه اسکریپت‌های طرف‌سوم می‌توانند با ترفندهای گوناگون کاربر را فریب دهند اما بسته به پیاده‌سازیی هر ترفند و البته پیش‌زمینه‌ی فنی هر کاربر، میزان تأثیر هر ترفند با دیگری به طرز قابل ملاحظه‌ای فرق دارد».
 
ساخت و پاخت وبسایت‌ها
در متودی جدید، محققین به این مسئله پی بردند که مهاجمین برای فرستادن قربانی‌ها به سمت تبلیغات آن هم برای تقلید کلیک‌های واقع‌گرایانه (در ازای هر بار کلیک روی آگهی کمیسیون دریافت می‌کردند) از کلیک‌دزدی استفاده می‌کردند.
محققین: «مهاجمین به جای اینکه به بات‌های کلیک وابسته باشند اخیراً شروع کردند به متوقف‌سازی و ریدایرکت کلیک‌ها یا بازدیدهای پیج از کاربران واقعی (برای تقلید و جعل کلیک‌های تبلیغاتی)»
 
جالب است بدانید، گرچه بسیاری از اسکریپت‌های طرف‌سوم ابرلینک‌های طرف‌سوم را برای متوقف‌سازی کلیک‌های کاربر تغییر می‌دهند، اما محققین همچنین دریافتند برای وبسایت‌ها برای کسب درآمد از طریق کلیک‌دزدی با اسکریپت‌های طرف‌سوم زد و بند می‌کنند. مطالعات نشان داد بیش از 36 درصد از  3,251 یوآرال ویژه‌ی توقف کلیک مربوط به آگهی‌های آنلاین می‌شده است.
«کلیک‌ها همچنین برای تبلیغات نمایشیِ آنلاین نیز نقش مهمی ایفا می‌کنند- و همین میلیاردها وبسایت روی اینترنت را توانمند می‌سازد. وبسایت‌های ناشر با هر بار کلیک کاربر روی آگهی از شبکه‌ی آگهی آنلاین کمیسیون دریافت می‌کنند».
 
پادزهر؟
مرورگرهای آنلاین سال‌هاست که برای کاهش کلیک‌دزدی‌ها تلاش می‌کنند اما محققین می‌گویند این تلاش‌ها کافی نیست. برای مثال، همین هفته‌ی پیش بود که فیسبوک اعلام کرد دارد شکایتی علیه دو سازنده اپ تنظیم می‌کند که از تزریق کلیک برای سوءاستفاده از پلت‌فرم تبلیغاتی‌اش استفاده می‌کردند. این پرونده اولین نوع از شکایاتی است که دارد علیه کلیک‌دزدی تشکیل می‌شود. مرورگرهای دیگر مانند کروم نیز از سال 2017 تلاش دارند در این راستا اقداماتی محدودکننده انجام دهند. علاوه بر این، سیستم‌هایی چون  EvilSeed یا  Revolver نیز برای شناسایی صفحات وبی مخرب (با استفاده از شباهت‌های محتوایی یا کد) ساخته شده‌اند.
با این حال، برخی از این تاکتیک‌های مبارزه با کلیک‌دزدی یارای مقابله با حربه‌های جدید را ندارند. برای مثال، به گفته‌ی محققین: «کروم هنوز هم نتوانسته روش‌های احتمالی دیگر را برای متوقف‌سازی کلیک‌های کاربر شناسایی کند (مثل لینک‌های دستکاری‌شده توسط اسکریپت‌های طرف‌سوم، محتواهای طرف‌سوم در لباس محتواهای طرف‌اول و پوشش‌های شفاف)».
توصیه‌ی محققین به وبسایت‌ها به نوبه‌ی خود این است که وقتی کاربر موس را روی آن‌ها قرار می‌دهد، نوار وضعیت علامت «هشدار» -به نشانه‌ی این که لینک حاوی اسکریپت طرف‌سوم است- بزند. علاوه بر این، مرورگرها می‌توانند خط‌مشی‌های یکپارچه‌ای را روی ابرلینک‌ها پیاده کنند؛ ابرلینک‌هایی که تعیین می‌کنند طرف‌سوم‌ها نمی‌توانند اسکریپت‌های طرف‌اول را دستکاری کنند.
محققین: «برای مثال، یک خط‌مشی یکپارچه می‌تواند مشخص کند تمام ابرلینک‌های طرف‌اول نباید توسط کد جاوااسکریپت طرف‌سوم دستکاری شوند. چنین خط‌مشی‌ای در ادامه تعیین می‌کند اسکریپت‌های طرف‌سوم اجازه ندارند نویگیشن‌های فریم را کنار کنند؛ گرچه در جریان تعداد کلیک کاربران قرار گرفتن هنوز هم مجاز است. پیاده‌سازی تمام این خط‌مشی‌ها به طورمؤثری می‌تواند جلوی این کلیک‌دزدی‌ها را بگیرد».
محققین (با توجه به گفته‌های خودشان) تصمیم دارند در آینده چنین مانیزم یکپارچه‌ای را ساخته و مورد ارزیابی قرار دهند.

نرم‌افزار امنیتی روسی ضد امنیتی بوده است!

 
تازه‌ترین اخبار و گزارش‌های منتشر شده در منابع خبری نشان می‌دهد که نرم‌افزار امنیتی کاسپرسکی سالها به وب‌سایت‌های مختلف امکان ردیابی کاربران محصولات این شرکت را می‌داده است.
 
 بر اساس افشاگری‌های یک خبرنگار آلمانی به نظر می‌رسد که شرکت روسی توسعه‌دهنده نرم‌افزارهای امنیتی و آنتی ویروس‌های کاسپرسکی سالهای طولانی به مدیران و مسئولان سایت‌های مختلف در جهان اجازه می‌داده تا کاربرانی را که از محصولات این شرکت استفاده می‌کنند، ردیابی کند.
 
این مساله که حریم خصوصی و اطلاعات شخصی کاربران نرم‌افزارهای رایانه‌ای را زیر سوال برده و به چالش می‌کشاند، به شدت از سوی کارشناسان و منتقدان فعال در حوزه امنیت سایبری مورد انتقاد و سرزنش قرار گرفته است؛ به گونه‌ای که به باور بسیاری از کارشناسان و تحلیلگران ممکن است در صورت تایید این خبر، شرکت کاسپرسکی سهم قابل توجهی از بازارهای جهانی را از دست بدهد.
 
بر اساس این گزارش‌های منتشر شده که در وب سایت tom's guide نیز آمده است، نرم‌افزار امنیتی کاسپرسکی روی یک لپ‌تاپ به صورت آزمایشی نصب شده بود و بعد از بررسی‌های فراوان معلوم و مشخص شد که این نرم افزار کد جاوا اسکریپتی را به وب‌سایت‌های مختلف می‌دهد که شامل یک شماره شناسه برای هر صفحه بازشده در مرورگر اینترنتی است و با هر بار بازشدن مجددا افزایش و تکثیر می‌یابد و به این وب سایت‌ها اجازه می‌دهد که کاربرانی را که از محصولات و نرم افزارهای کاسپرسکی استفاده می‌کنند، ردیابی کند.
 
کارشناسان امنیتی بر این باورند که حتی با پاک کردن کوکی‌ها یا استفاده از حالت ناشناس در مرورگرهای اینترنتی نیز این مشکل امنیتی نرم‌افزارهای کاسپرسکی برطرف نمی‌شود و وب‌سایت‌ها در هر صورت قادرند که کاربران موردنظر را ردیابی کنند.
 
شرکت توسعه دهنده نرم افزارهای امنیتی کاسپرسکی نیز با تایید این مشکل و نقص امنیتی اعلام کرده است که این مشکل که در تمامی نسخه‌های آنتی ویروس‌های کاسپرسکی عرضه شده در پاییز ۲۰۱۵ به بعد وجود داشته، با ارائه یک وصله امنیتی از ماه ژوئن برطرف شده است و کاربران تنها کافی است که این وصله امنیتی را دریافت و نسخه مورد استفاده خود را به‌روزرسانی کنند.   

وای‌فای در اداره؛ راحت اما پرخطر

 امروزه تقریباً هر اداره‌ای دست کم به یک شبکه‌ی اینترنتیِ وای‌فای مجهز است. دوران استفاده از کابل برای وصل شدن به اینترنت به سر رسیده است.... دیگر لپ‌تاپ‌ها هم به طور بی‌سیم به اینترنت وصل می‌شوند چه برسد به اسمارت‌فون‌ها و تبلت‌ها.
به گزارش روابط عمومی کسپرسکی در ایران، با این حال شبکه‌های بی‌سیم شاید در بخش زیرساخت‌های آی‌تی ضعیف عمل کنند.
 
ماینینگ رمزعبور
همه شرکت‌ها هم برای شبکه‌های وایرلس خود از رمزعبورهای خاص و پیچیده استفاده نمی‌کنند. خیلی کم پیدا می‌شود افرادی که بخواهند قابلیت نمایش نام شبکه را غیرفعال کنند. و هیچ‌کس نیست که قدرت سیگنال وای‌فای را برای جلوگیری از کانکشن‌های شبکه از بیرون اداره محدود کند. بنابراین، هر مهاجم اینترنتی این را به خود می‌بیند که -با کوچک‌ترین ترسی برای مواجه شدن با راهکارهای پیشگیرانه به شبکه‌های بی‌سیم- به اداره‌ها دست‌درازی کند.
اجرای یک حمله‌ی لغت‌نامه‌ای روی لاگین روتر تنها چند ثانیه از وقت مهاجم را می‌گیرد. هک کردن ترکیب‌های پیچیده‌ی رمزعبور وقت بیشتری می‌برد مگر آنکه مهاجم عجله داشته باشد.... به هر حال در این مورد نیز مهاجمین می‌توانند موفق شوند. با این وجود، این کار همیشه هم لازم نیست؛ زیرا مهاجم با برخی روترها می‌تواند از آسیب‌پذیری‌های داخل سفت‌افزار استفاده کند.
 
آسیب‌پذیری‌های سفت‌افزار
محققین مرتباً آسیب‌پذیری‌هایی را شناسایی می‌کنند که می‌تواند مخربین را وارد شبکه کرده و کاری کند آن‌ها بتوانند رمزعبورها و سایر مکانیزم‌های حفاظتیِ روتر وای‌فای را دور بزنند. در برخی موارد، اختیارات آن‌ها روی دستگاه حتی وسیع‌تر نیز می‌شود. معمولاً توسعه‌دهندگان خیلی سریع اقدام به وصله کردن آسیب‌پذیری‌ها می‌کنند. مشکل اینجاست که بسیاری از سازمان‌ها، وصله‌ها را به موقع نصب نمی‌کنند.
 
شبکه‌ وای‌فای مهمان
بسیاری از شرکت‌ها برای کارمندان و مهمانان خود از شبکه‌های وای‌فای متفاوتی استفاده می‌کنند. خوب این اقدامی معقولانه است: از طرفی مشتریان و سایر بازدیدکنندگان اداره می‌توانند به اینترنت وصل شوند و از طرفی دیگر آن‌ها نمی‌توانند به شبکه‌ی وای‌فای سازمانی و منابع داخلی آن دسترسی پیدا کنند. با این حال، وای‌فای مهمان می‌تواند خطرناک باشد.
گرفتن رمزعبور برای شبکه‌ی مهمان خیلی راحت است اما در برخی موارد اگر شبکه از اساس درست تنظیم نشده باشد باعث می‌شود مهمانان تا حدی به زیرساخت سازمانی دسترسی پیدا کنند.
حتی اگر تنظیمات، درست هم باشد باز کارمندان شما می‌توانند خیلی جدی مواضع خود را به خطر بیاندازند. فرض کنید یکی از آن‌ها بخواهد به منبع شبکه -که خط‌مشی سازمانی آن را مسدود کرده است- دسترسی پیدا کند. بی‌درنگ لپ‌تاپ خود را با تمام اطلاعات محرمانه‌اش به شبکه‌ی وای‌فای مهمان وصل می‌کند. اکنون مهاجمی که همان شبکه‌ی وای‌فای مهمان را طعمه‌ی خود کرده بود می‌تواند روی این فرد حمله‌ی‌ مرد میانی پیاده کرده و لپ‌تاپ او را با این بدافزار آلوده کند.
 
راهکارهای جلوگیری 
ما بر این باوریم که شبکه‌های وای‌فای هنوز هم ارزشمندند؛ بله واقعاً چنین هستند اما نیازمند رویکردهایی امنیت‌محورند (هم در بخش تنظیمات دستگاه و هم سازمان).
سفت‌افزار روترهای وای‌فای و نقاط دسترسی را آپدیت کنید و مدام آن‌ها را به روز نگه دارید. تولیدکنندگان همواره در حال رفع آسیب‌پذیری‌ها هستند؛ اینطور فکر نکنید که اگر چیزی صرفاً دارد کار خودش را می‌کند پس حتماً امن و مطمئن است.
برای دسترسی به وای‌فای، رمزعبوری منحصر به فرد، طولانی و پیچیده تنظیم کنید. کارمندان شما نیاز خواهند داشت آن را تنها یک بار روی هر دستگاه وارد کنند. پسوردهای قوی هک کردن شبکه را خیلی پیچیده‌تر می‌کنند.
قدرت سیگنال را محدود کنید تا شبکه‌ی شما از بیرون اداره قابل‌دسترسی نباشد.
نام شبکه را پنهان کنید تا پیدا کردن سخت شود.
برای شبکه‌ای که معلوم نیست و یا به این راحتی‌ها نمی‌شود حدسش زد نامی انتخاب کنید- و شماره مدل روتر آن را نزد خود حفظ کنید تا مهاجم نتواند از آن برای جست وجوی آسیب‌پذیریِ شناخته‌شده‌ای استفاده کند.
شبکه‌ی مهمانان را جدا کنید تا مهمانان به منابع داخلی دسترسی نداشته باشند. شاید مجبور شوید برخی بازدیدکنندگان را از یک سری امکانات محروم کنید (مانند توانایی در پرینت داکیومنت روی پرینتر شما) اما بدین‌ترتیب خطر نشت اطلاعات به طور قابل‌ملاحظه‌ای کاهش داده خواهد شد.
از راه‌حل امنیتی مطمئی استفاده کنید تا حتی اگر مهاجم شبکه‌ی شما را نیز مورد هدف قرار داد، باز هم نتوانند به سرورها و ایستگاه‌های کار شما آسیب‌های جدی وارد کنند.

سرویس هوش تهدیدیِ خوب را از کجا می‌توان پیدا کرد؟

با گسترش سطح حملات و پیچیدگیِ روزافزون تهدیدات، واکنشِ صِرف به حوادث دیگر کفایت نمی‌کند. اکنون مهاجمین بیش از هر زمان دیگری برای حمله کردن فرصت نصیبشان می‌شود. هر صنعت و هر سازمانی اطلاعات ارزشمند مخصوص به خود را دارد که از آن تمام قد حراست می‌کند؛ همچنین از مجموعه اپ‌ها و فناوری‌های ویژه‌ای نیز برخوردار است. همه‌ی اینها می‌تواند خوراکی باشد برای مهاجمین تا با ترفندهای مختلف بدان‌ها یورش ببرند. متودهای حمله هر روز دارد بیشتر و بیشتر می‌شود.  
در طول چند سال گذشته، متوجه مرز باریک بین انواع تهدیدها و انواع عاملین تهدید شده‌ایم. متودها و ابزارهایی که سابقاً برای یک سری از سازمان‌ها تهدید به حساب می‌آمدند اکنون در بازار بزرگ‌تری شیوع پیدا کرده‌اند. یکی از نمونه‌های بارز، دامپ کردنِ کد، توسط شرکت Shadow Brokers بود که اکسپلویت‌های پیشرفته‌ای در اختیار عاملین جرم گذاشت -عاملینی که در غیر این صورت نمی‌توانستند به چنین کد پیشرفته‌ای دسترسی داشته باشند.
 
رویکرد جدیدی نیاز است
با توجه به این حقیقت که سازمان‌ها دارند به طور فزاینده‌ای قربانیِ حملات هدف‌دار و پیشرفته می‌شوند، پر واضح است که داشتن دفاعی موفق نیازمند متودهای جدید است. شرکت‌ها برای محافظت از خود همواره دارند نظارت‌های امنیتی خود را با محیطِ همیشه در حال تغییر تهدید سازگار می‌کنند. تنها راه کنار آمدن با این تغییرات، ساخت برنامه‌ی هوش تهدیدیِ[1] مؤثر است. هوش تهدیدی همین الانش هم یک مؤلفه‌ی کلیدی در عملیات‌های امنیتی به شمار می‌آید. این سرویس را تقریباً هر شرکتی با هر ابعادی در تمام صنایع و موقعیت‌های جغرافیایی به کار می‌برد. هوش تهدیدی می‌تواند در طول چرخه‌ی مدیریت واقعه از تیم‌های امنیتی پشتیبانی کند و آن‌ها را در تصمیم‌گیری‌های راهبردی کمک نماید. با این حال، افزایش تقاضا برای هوش تهدیدیِ خارجی، بیشتر شدن فروشندگان این سرویس را نیز موجب شده است؛ حال دیگر هر یک از آن‌ها سرویس‌های هوش تهدیدی متنوعی را در اختیار شرکت‌ها و سازمان‌ها قرار می‌دهند.
 
هوش تهدیدی که به تخصص سازمانی شما مرتبط نمی‌شود می‌تواند حتی موجب وخیم‌تر شدن شرایط نیر بشود. در بسیاری از شرکت‌های امروزی، تحلیلگران امنیتی به جای تمرکز روی شکار تهدید و واکنش سریع و معقول به آن، بیش از نیمی از زمان خود را صرف سامان‌دهی مثبت‌های کاذب خود می‌کنند. ارائه‌ی هوش تهدیدیِ نامربوط یا نامناسب به عملیات‌های امنیتی می‌تواند رقم هشدارهای کاذب را افزایش دهد و تأثیر به شدت منفی روی قابلیت‌های واکنش‌دهی بگذارد.
 
بهترین هوش تهدیدی را از کجا می‌توان پیدا کرد؟
با این حساب شاید برایتان سؤال پیش آید که چطور می‌توان هوش تهدیدی مناسب و مرتبطی برای شرکت یا سازمان پیدا کرد؟ چطور می‌شود از بین این همه فروشنده با بازاریابی‌های قوی که همه هم ادعا دارند محصولشان از بقیه بهتر است، سرویس هوش تهدیدیِ مناسبی تهیه کرد؟ گرچه این سوالات مهم‌اند؛ اما فعلاً موقعیت خوبی برای پرسیدنشان نیست. بسیاری از سازمان‌ها که گول وعده وعیدهای رنگین فروشنده‌های خارجی را می‌خورند فکر می‌کنند قرار است برایشان کاری کنند کارستان؛ غافل از اینکه ارزشمندترین هوش تهدیدی در محیط خودِ شبکه‌ی سازمانی‌شان است.
اطلاعات حاصل از سیستم‌های پیشگیری و تشخیص نفوذ، لاگ‌های اپلیکیشن و لاگ‌هایی از سایر نظارت‌های امنیتی می‌توانند خود بازتابی باشند از اتفاقات داخل شبکه‌ی سازمانی. هوش تهدیدیِ درون‌سازمانی می‌تواند الگوهای فعالیت مخرب مخصوص به سازمان را شناسایی کند؛ فرق بین کاربر معمولی و رفتار شبکه‌ای را متوجه شود؛ به حفظ رشته فعالیت‌های دسترسی به داده کمک کند؛ حفره اطلاعاتی احتمالی که نیاز به پلاگ شدن دارد شناسایی کند و غیره. جدا از اینها، استفاده از سرویس‌های هوش تهدیدیِ خارجی می‌تواند همچنین دشوار باشد. در حقیقت برخی فروشنده‌ها ممکن است  به واسطه‌ی حضور جهانی‌شان و قدرتشان در جمع‌آوری، پردازش و پیوند داده‌ها به هم -از بخش‌های مختلف جهان- تهدیدهای سایبری را با شفافیت بیشتری نمایش دهند اما این تنها زمانی چاره‌ساز است که زمینه و بستر داخلی کافی برای این کار وجود داشته باشد.
 
مثل مهاجم فکر کنید
برای ساخت برنامه‌ی هوش تهدیدیِ کارامد، شرکت‌ها -از جمله آن‌هایی که مراکز عملیات‌های امنیتی دارند- باید فکر خود را همسوی مهاجم کنند تا از حیله‌های مجرم سایبری جا نخورند. استفاده از هوش تهدیدی وقتی مؤثر است که بتوان درک روشنی از ارزش‌های کلیدی داشت. با توجه به منابع محدودی که معمولاً در اختیار دپارتمان‌های امنیت اطلاعات است، تحلیل و ثبت کل عملیات‌های سازمانی کار بسیار دشواریست. راه‌حل، اتخاذِ رویکردی مبتنی بر ریسک با مقدم دانستن هدف‌های مستعدتر است. وقتی منابع هوش تهدیدیِ داخلی تعریف و عملیاتی شد، شرکت تازه می‌تواند به فکر اضافه کردن اطلاعات خارجی به جریان‌کاری‌های فعلیِ خود بیافتد.
 
صحبت، سرِ اعتماد است
منابع خارجی هوش تهدیدی از سطوح اطمینان‌دهیِ مختلفی برخوردارند:
منابع باز رایگانند اما اغلب زمینه ندارند و تعداد قابل‌ملاحظه‌ای مثبت کاذب برمی‌گردانند.
برای شروعی خوب، به جوامع اشتراک‌گذاری هوش (سازمان-محور) مانند FS-ISAC[2] دسترسی پیدا کنید. این جوامع اطلاعات بسیار ارزشمندی ارائه می‌دهند؛ هرچند اغلب گِیت می‌شوند و برای دسترسی به آن‌ها باید عضویت داشته باشید.
منابع تجاریِ هوش تهدیدی به مراتب قابل‌اطمینان‌ترند گرچه دسترسی بدان‌ها خیلی هزینه‌بردار است.
توصیه‌ی ما برای انتخاب سرویس هوش تهدیدیِ خارجی این است که کیفیت را بر کمیت مقدم بدانید. اطلاعات فروشندگان مختلف سرویس‌های هوش تهدیدی را نمی‌توان در قالب همپوشانی مؤثر به کاربرد زیرا منابع هوش و روش‌های جمع‌آوری اطلاعاتشان با هم بسیار تفاوت دارد و همچنین بینش‌هایی که ارائه می‌دهند نیز در برخی جنبه‌ها متفاوت است. برای مثال، فروشنده‌ای که در منطقه‌ای خاص حضورِ پررنگی دارد اطلاعات بیشتری در مورد تهدیدهای ناشی از آن منطقه در اختیار دارد؛ این درحالیست که فروشنده‌ای دیگر می‌تواند اطلاعات بیشتری روی انواع دیگری از تهدیدها بدهد. توجه داشتید باشید که این نوع منابع قابل اعتماد همچنین نیاز به پیش‌ارزیابی دارند تا مطمئن شوید هوشی که تأمین می‌کنند متناسب با نیازهای خاص سازمانتان است.
 
مواردی که باید هنگام ارزیابی پیشنهادات تجاری هوش تهدیدی لحاظ کنید
هنوز هم شاخص و ملاک خاصی برای ارزیابی پیشنهادات تجاری هوش تهدیدی وجود ندارد اما در زیر به نمونه‌هایی از آن اشاره کرده‌ایم:
به دنبال هوشی بگردید که بطور جهانی بشود بدان دسترسی پیدا کرد. حملات، مرز نمی‌شناسند- حمله‌ای که هدفش، شرکتی در آمریکای لاتین است می‌تواند از اروپا و برعکس شروع شود. 
آیا فروشنده اطلاعات را به طور جهانی بدست آورده و فعالیت‌های به ظاهر نامرتبط را به کمپین‌های منسجمی تطبیق می‌دهد؟ این نوع هوش به شما کمک خواهد کرد تا اقدام مناسبی انجام دهید.
اگر به دنبال محتوایی استراتژیک‌تر هستید تا شما را از برنامه‌ریزی‌های امنیتیِ بلندمدت باخبر کند، به دنبال موارد زیر باشید:
o       دیدگاهی سطح بالا از رویه‌های حمله
o       تکنیک‌ها و روش‌های بکارگرفته‌شده توسط مهاجمین
o       انگیزه‌ها و نیات
o       نسبت‌ها و غیره
و بعد به سراغ فروشنده‌ی هوش تهدیدی‌ای بروید که در صنعت یا منطقه‌ی شما سابقه‌ی خوشی دارد.
محتوا اطلاعات را از داده ها می‌گیرد. شاخص‌های تهدید بدون محتوا و زمینه هیچ ارزشی ندارند- باید به دنبال فروشنده‌هایی باشید که به مهم‌ترین سوال شما (چرا این مسئله باید تا این حد اهمیت داشته باشد؟) پاسخ دهند. زمینه‌ی ارتباطی (برای مثال، دامنه‌های مرتبط با آدرس‌های آی‌پی یا یوآرال‌های شناخته‌شده که فایل بخصوصی از آن‌ها دانلود شده است) گواهی است بر ارزشی بیشتر. بدین‌ترتیب، بررسی روی واقعه‌ی سایبری ارتقا داده می‌شود و مقیاس‌بندی وقایع نیز بهتر صورت می‌گیرد.
فرض بر این گذاشته شده است که شرکت شما از قبل مجهز به هدایتگرهای امنیتی است، فرآیندهای مرتبط با آن همه تعریف‌ شده‌اند و برای شما خیلی مهم است که با همان ابزارهایی که می‌شناسید و از آن‌ها استفاده می‌کنید هوش تهدیدی را به کار ببندید. بنابراین به دنبال متودهای تحویل، مکانیزم‌های یکپارچه‌سازی و فرمت‌هایی باشید که از تجمیع روان هوش تهدیدی و عملیات‌های امنیتیِ فعلی‌تان حمایت می‌کنند.
ما در لابراتوار کسپرسکی، بیش از دو دهه است که تمرکز خود را روی بررسی تهدید گذاشته‌ایم. با در اختیار داشتن پتابایت‌ها داده‌‌های غنی در خصوص تهدیدها، فناوری‌ یادگیری ماشین و کلی متخصص جهانی اینجاییم تا شما را در آشنایی با جدیدترین سرویس‌های هوش تهدیدی (در سراسر جهان) آشنا کنیم و کمک‌تان کنیم حتی از گزند ناشناخته‌ترین و نامحسوس‌ترین حملات سایبری نیز مصون بمانید. 

راه‌حل امنیتی جدید: جاسازی کندوی عسل داخل دستگاه‌ خودپرداز

 
 
معمولاً برای بکارگیریِ فناوری‌های محافظتی جدید چه چیزهایی نیاز است؟ درکِ مدل تهدید، یک راه‌حل قابل‌اعتماد و تأییدِ دارندگان بودجه. برای دریافت چنین تأییدیه‌ای معمولاً باید توضیح دهید یک اختراع قرار است چطور روی کسب و کار شما تأثیر بگذارد: اساساً مزایای آن (ترجیحاً از حیث ارزش پولی). به همین دلیل است که برای حفاظت از دستگاه‌های خودپرداز یک راه‌حل امنیتی جدید معرفی کرده‌ایم؛ راه‌حلی که مزایای پولی‌اش بر همگان عیان است.
 
beehiveoristic-engine.jpg
 
مشکل
معمولاً مجرمین سایبری چگونه می‌توانند از دستگاه‌های خودپرداز پول بیرون بکشند؟ دو حمله‌ی Cutlet Maker و WinPot مستلزم این هستند که مهاجم در خودپرداز را باز کند و لپ‌تاپ را به پورت یو‌اس‌بی خودپرداز وصل نماید. مواردی بوده که مهاجمین سایبری در واقع برای وصل کردن تجهیزات خود به برخی گذرگاه‌های کانکتور و یا وارد کردن یک سری تجهیزات هک، دستگاه خودپرداز را سوراخ کردند. در آخر، مجرمان می‌توانند دستگاه خودپرداز را به سرقت برده و با بردن آن به جایی امن، دخل ان را خالی نمایند. بخش رایج این روش‌ها این است که همه‌شان نیازمند دسترسی فیزیکی به داخل ماشین هستند. به همین دلیل است که تصمیم گرفتیم یک لایه‌ی دیگر به راه‌حل‌های امنیتی از پیش موجودِ خود اضافه کنیم: لایه‌ی فیزیکی.
 
راه‌حل
ممکن است با خود بپرسید چطور می‌توان در لایه‌ی فیزیکی از یک دستگاه خودپرداز محافظت کرد؟ شاید با این کار بتوان دستگاه را از پیش قوی‌تر نمود. با این وجود، فقط عملکرد مجرمان کند می‌شود و شاید باعث ترس برخی مجرمان تازه‌کار شود. نه، سخت‌تر کردن پوسته‌ نمی‌تواند راه‌حل خوبی باشد. بلکه بهتر است چیزی اضافه کرد که بتواند مجرمین را از دستگاه خودپرداز کاملاً دور نگه دارد؛ چیزی داخل دستگاه خودپرداز که مجرمان سایبری انتظارش را نداشته باشند. به همین دلیل است که موتور Bee-Hive-oristic را اختراع نموده‌ایم. در ادامه با ما همراه شوید تا بیشتر از آن برایتان بگوییم.
 
موتور Bee-Hive-oristic مبتنی بر یک فناوریِ پرورش زنبور عسل است که گذر زمان، اعتبارش را تأیید کرده است. تا به حال شده ببینید کسی دارد کندوی عسل می‌دزد؟ هیچ‌کس جرأت نمی‌کند به آن‌ها دست بزند. همه از وقتی کندو می‌بینند از ده فرسخی آن پا به فرار می‌گذارند. با این موتور، ما بخش‌های داخلیِ دستگاه خودپرداز را با شانه‌های عسل در یک جعبه‌ی واحد ترکیب کرده و جای داده‌ایم. بدین‌ترتیب مهاجمین سایبری برای دریافت هر کانکتورِ ATM یا پول نقد ابتدا مجبور خواهند بود کندوهای عسل را بردارند و خوب این را می‌دانید که زنبورها اصلاً حوصله‌ی مزاحم ندارند.
 
مزایا
البته انجام این کار به این آسانی‌ها هم نیست. برای اینکه فناوری Bee-Hive-oristic کاربردی مؤثر داشته باشد ابتدا می‌بایست در بخش عملیات‌های تعمیر و نگهداری  و خدمات حمل و نقل وجوه نقدی پرسنلی شایسته و کاربلد داشت. برای همین است که در کنار معرفی راه‌حلی مبتنی بر این فناوری همچنین قرار است واحدهای آنلاینی را هم برای زنبوردارانِ امنیتی -شاید روی پلت‌فرم ASAPمان- برگزار کنیم. درست است که آموزش کارمندان خرج‌تراشی دارد؛ اما در عوض مزایایی مانند عسل، بره‌موم[1] و موم زنبور عسل نصیب‌مان می‌شود. می‌توانید عسل‌ها را بفروشید و یا در قوطی‌هایی پر کنید و با ارزش افزوده به مشتریان خود بدهید. از بره‌موم در خیلی از طب‌های سنتی استفاده می‌کنند. با موم زنبورعسل هم می‌توانید شمع درست کنید و از آن برای تزئین نور شرکت خود استفاده کنید. تازه اینطوری دیگر قبض برقتان هم سر به فلک نخواهد کشید.
تازه فکرش را بکنید که چقدر این کار در شهرت این فناوری تأثیر دارد. فناوری‌های دوستدار طبیعت این روزها در رده‌ی اول اهمیت قرار دارند و از آن‌ها به شدت استقبال می‌شود. این فناوری در کنار  Kaspersky Embedded Systems Security (امنیت سیستم‌های جاسازشده‌ی کسپرسکی) امنیت دستگاه‌های خودپرداز را هم در لایه‌ی فیزیکی و هم اطلاعاتی حفظ خواهد نمود.