بنـــده بارهـــا ایـــن جبهـــه هـــای سیاســـی و صحنـــه هـــای سیاســـی را مثـــال مـــی زنـــم بـــه جبهـــة جنـــگ. اگـــر شـــما در جبهـــة جنـــگ نظامـــی، هندســـه زمیـــن در اختیارتـــان نباشـــد، احتمـــال خطاهـــای بـــزرگ هســـت.

مقام معظم رهبری )مد ظله العالی( فصل اول: اخبار عمومی

بازگشت بدافزار اندرویدی HummingBad به گوگلپلی...... ۶ ِبارگیری مخفیانهی برنامهها از فروشگاه گوگلپلی توسط بدافزار اندرویدی. . . . . ۸ بازگشت دوبارهی سرویس رایانامهی »الوابیت«...... ۹ شکستن قفل الگویی اندروید با 5 بار تالش توسط مهاجمان...... ۱۱ نفوذ به انجمنهای بازی کلش رویال...... ۱۲ آسیبپذیری در فیسبوک و حذف ویدئوها توسط نفوذگران...... ۱۳

فصل دوم: مدیریت امنیت

سیمانتک گواهینامههای اشتباه صادرشده را باطل کرد...... ۱۵ حملهی منع سرویس توزیعشده به بانک Lloyds در سه روز متوالی...... ۱۶ گروه نفوذ Greenbug به بدافزاری که عربستان سعودی را هدف ...... ۱۷ قرار داده، کمک میکند در سال 2017 همچنان 200 هزار سامانه دارای ...... ۱۹ آسیبپذیری Heartbleed هستند ِپشتیبانی پیشفرض از HTTPS بر روی وب گاههای دولتی آمریکا اجباری شد. . . ۲۰

فصل سوم: سیاست سایبری

سپر طالیی چین و ممنوعیت استفاده از شبکهی خصوصی مجازی...... ۲۲ یاهو تحت بازرسی: چرا نقض دادهی عظیم در این شرکت دیر ...... ۲۳ اطالعرسانی شده است؟ در برنامهی پاداش در ازای اشکال ارتش آمریکا 118 ...... ۲۵ آسیبپذیری وصله شد دستگیری نفوذگر روسی، نویسندهی بدافزار NeverQuest...... ۲۷ نفوذ به حساب توییتر بی بیسی و خبر جعلی تیراندازی به دونالد ترامپ. . . . . ۲۸ ناتو: نفوذگران سایبری هر ماه 500 بار به اتحادیه حمله میکنند...... ۲۹ نفوذ به حساب توییتر نیویورک تایمز و خبر جعلی حملهی ...... ۳۰ موشکی روسیه به آمریکا دادستان منتخب ترامپ: باید در رمزنگاریها ِدرب پشتی داشته باشیم...... ۳۱

فصل چهارم: اخبار فنی

شرکت اپل آسیب پذیریهای حیاتی را در هستهی سامانه ...... ۳۳ عاملها وصله میکند آسیبپذیری که اپل را مجبور کرد ویژگی جدید خود را در ...... ۳۵ فروشگاه اپل حذف کند حمله به پایگاه دادهها همچنان ادامه دارد: هدوپ و CouchDB...... ۳۷ اهداف بعدی مهاجمان در افزونهی مخفی شرکت ادوبی، آسیبپذیری XSS کشف شد...... ۳۸ توقف اعتماد اوراکل به پروندههای JAR امضاءشده با MD5 از اردیبهشت ماه.. . . ۳۹ ویجت نظردهی، بسیاری از وب گاهها را در معرض خطر قرار داد...... ۴۰

فصل پنجم: اخبار تحلیلی

برایان کربس، نویسندهی واقعی بدافزار Mirai را کشف کرد...... ۴۲ بازگشت باتنت Necurs و توزیع باجافزار و تروجان بانکی...... ۴۴ انتشار کد منبع یک بدافزار بانکی اندروید...... ۴۵ فصل اول

اخبار عـمومـی بازگشت بدافزار اندرویدی HummingBad به گوگلپلی

بــا ســاختار نــام متــداول و معمولــی منتــر شــدهاند ولــی رفتارهــای آغازیــن ایــن برنامههــا تــا حــدودی مشــکوک بهنظــر میرســد. محققــان چکپوینــت در پســتی کــه روز دوشــنبه منتــر شــد گفتنــد: »ایــن بدافــزار چندیــن رویــداد ماننــد ,Time_Tick Screen_Off و Install_Referrer را در بخــش راهانــدازی دســتگاه ثبــت میکنــد کــه مشــکوک هســتند.«

اجرای برنامههای مخرب در داخل ماشین مجازی بدافــزار اندرویــدی HummingBad کــه ســال گذشــته نزدیــک بدافــزار HummingWhale بســیار زرنگتــر و حیلهگرتــر بــه 10 میلیــون دســتگاه اندرویــدی را آلــوده کــرده بــود و از بدافــزار HummingBad اســت چــرا کــه از یــک پرونــدهی ماهانــه بــرای نویســندگان ایــن بدافــزار نزدیــک بــه 300 هــزار APK مبــدل اندرویــد اســتفاده میکنــد کــه ایــن پرونــده دالر ســود داشــت، دوبــاره برگشــته اســت. برنامههــای دیگــری را بــر روی دســتگاه تلفــن همــراه قربانــی محققــان امنیتــی نســخهی جدیــدی از بدافــزار HummingBad بارگیــری و نصــب میکنــد. اگــر قربانــی متوجــه ایــن قضیــه را کشــف کردنــد کــه در بیــش از 20 برنامــهی اندرویــدی در شــده و فرآینــد مربــوط بــه آن را از کار بینــدازد، پرونــدهی بــازار گوگلپلــی مخفــی شــده اســت. ایــن برنامههــای آلــوده APK خــود را در داخــل یــک ماشــین مجــازی قــرار میدهــد پیــش از اینکــه گــروه امنیتــی گــوگل از ایــن قضیــه مطلــع شــوند تــا شناســایی آن ســختتر شــود. و برنامههــا را حــذف کننــد، توســط 12 میلیــون کاربــر بیخــر پرونــدهی نصبکننــده از یــک افرونــهی اندرویــد بــا نــام بارگیــری شــدهاند. DroidPlugin کــه توســط رشکــت امنیتــی چینــی Qihoo 360 نســخهی جدیــد بدافــزار بــا نــام HummingWhale توســط توســعه داده شــده، اســتفاده میکنــد تــا برنامههــای مخــرب محققــان امنیتــی رشکــت چکپوینــت کشــف شــده و دارای را در داخــل ماشــین مجــازی بارگــذاری کنــد. ایــن پرونــده بــه ویژگیهــای جدیــدی اســت. ایــن ویژگیهــای جدیــد بــه بدافــزار HummingWhale اجــازه میدهــد برنامههــای بدافــزار اجــازه میدهــد کاله برداریهــای تبلیغاتــی را بهــر از مخــرب دیگــر را بــدون ارتقــاء مجوزهــا بــر روی ماشــین مجــازی قبــل انجــام داده و ســود بیشــری بــرای توســعهدهندگان بــه بارگــذاری کــرده و عملیــات مخــرب خــود را بــر روی گوگلپلــی همــراه داشــته باشــد. مخفــی ســازد. محققــان امنیتــی چکپوینــت اعــالم کردنــد برنامههــای بــه لطــف اســتفاده از ماشــین مجــازی، دیگــر نیــازی نیســت اندرویــدی کــه آلــوده بــه بدافــزار HummingWhale بــا نــام بدافــزار HummingWhale دســتگاه اندرویــدی را روت کنــد توســعهدهندگان چینــی و جعلــی بــر روی فروشــگاه گوگلپلــی و میتوانــد متامــی برنامههــای مخــرب مــورد نیــاز را بــر روی 6 دســتگاه قربانــی نصــب کنــد. زمانــی کــه دســتگاه قربانــی آلــوده شــد، کارگــزار دســتور و کنــرل، تبلیغــات جعلــی و برنامههــای مخــرب را بــه ســمت کاربــر ارســال میکنــد کــه بــر روی ماشــین مجــازی در حــال اجــرا شــدن اســت. در ادامــه نیــز شناســههای ارجاعــی جعلــی و منحرصبفــرد بــرای کاربــر ایجــاد میکنــد تــا در کاله برداریهــای تبلیغاتــی از آن اســتفاده کــرده و ســود بدســت آورد. شــبیه بــه بدافــزار HummingBad، هــدف بدافــزار HummingWhale نیــز بدســت آوردن پــول بیشــر از طریــق کالهبرداریهــای تبلیغاتــی و نصــب برنامههــای جعلــی اســت. در کنــار متامــی ایــن قابلیتهــای مخــرب، بدافــزار HummingWhale تــالش میکنــد محبوبیــت خــود را در گوگلپلــی از طریــق نظردهــی و امتیازدهــی افزایــش دهــد. ​

7 ِبارگیری مخفیانهی برنامهها از فروشگاه گوگلپلی توسط بدافزار اندرویدی

منحرصبفــرد دســتگاه قربانــی و اطالعــات حســابهای گــوگل را بــه رسقــت میبــرد. ایــن بدافــزار همچنیــن کدهــای احــراز هویــت داخلــی بــرای ارتبــاط بــا گوگلپلــی را نیــز شــنود میکنــد. در ادامــه ایــن مــاژول دادههــای رسقتــی را بــه ســمت مؤلفــهی اصلــی Android.Skyfin.1.origin ارســال میکنــد. در ادامــه نیــز مؤلفــهی اصلــی ایــن دادههــا را بــه همــراه اطالعاتــی از دســتگاه قربانــی بــه ســمت کارگــزار دســتور و کنــرل میفرســتد.« ایــن بدافــزار بــه دســتورات خاصــی گــوش میدهــد و میتوانــد دســتگاههای اندرویــدی هــدف بدافــزار جدیــدی قــرار گرفتهانــد بــر روی گوگلپلــی برنامههــای ویــژهای را جســتجو کنــد، کــه بهطــور مخفیانــه از فروشــگاه گوگلپلــی برنامههایــی را برنامــه را بخــرد، قوانیــن مربــوط بــه برنامــه را قبــول کــرده خریــداری کــرده و بارگیــری میکنــد. ایــن بدافــزار همچنیــن و بــه آن رأ دهــد. در ایــن رشایــط بــدون اینکــه قربانــی از اطالعــات حســاس کاربــران بــر روی دســتگاههای اندرویــدی آلودگــی دســتگاه خــود خــر داشــته باشــد، بدافــزار میتوانــد ماننــد اطالعــات حســابهای پیکربندیشــدهی گــوگل را بــه بــا عملیــات خــود، باعــث محبوبیــت بیــش از حــد یــک برنامــه رسقــت میبــرد. در فروشــگاه گوگلپلــی شــود. ایــن بدافــزار بــا نــام Skyfin بــا کمــک بدافزارهــای دیگــری بــا عــالوه بــر ایــن مشــخص شــده کــه بدافــزار Skyfin میتوانــد نــام Android.DownLoader توزیــع شــده و دســتگاههای بــر روی تبلیغــات موجــود در برنامههــا کلیــک کنــد. بــه عبــارت اندرویــدی را آلــوده میکنــد و معمــوالً از طریــق برنامههــای دیگــر نویســندگان ایــن تبلیغــات میتواننــد بــا آلــوده کــردن موجــود در فروشــگاههای ثالــث گســرش مییابــد. بــه عبــارت دســتگاهها بــه بدافــزار، ســود خــود را افزایــش دهنــد. رشکــت دیگــر، کاربرانــی کــه برنامههــا را از فروشــگاهی بجــز گوگلپلــی امنیتــی میگویــد: »ایــن بدافــزار کلیــک بــر روی بــر تبلیغــات بارگیــری میکننــد در معــرض خطــر هســتند. گــوگل را شبیهســازی میکنــد و بــا بارگیــری برنامههــای محققــان امنیتــی از رشکــت Dr.Web میگوینــد بدافــزار موجــود در گوگلپلــی باعــث افزایــش نصبهــای برنامــه و Skyfin میتوانــد بــرای بارگیــری برنامههــا بهطــور خــودکار محبوبیــت آن میشــود.« بــر روی دســتگاه قربانــی، فرآینــد گوگلپلــی را آلــوده کنــد. تنهــا راه بــرای ایمــن مانــدن در برابــر چنیــن بدافزارهایــی ایــن بــا ایــن حــال، ایــن برنامههــا بــر روی دســتگاه قربانــی نصــب اســت کــه تــا جایــی کــه امــکان دارد از بارگیــری برنامههــا از منیشــوند و در پوشــهی بارگیــری او قــرار میگیرنــد تــا قربانــی فروشــگاههای ثالــث خــودداری کنیــد و هیــچگاه بــر روی متوجــه تغییراتــی در تلفــن همــراه خــود نشــود. برنامههــای APK مشــکوک کلیــک نکنیــد. ایــن رشکــت امنیتــی میگویــد: »ایــن بدافــزار شناســهی 8 بازگشت دوبارهی سرویس رایانامهی »الوابیت«

اســت. همچنیــن بــه ایــن رسویــس، ویژگیهــای حفــظ حریــم خصوصــی کاربــران نیــز افــزوده شــده اســت بهطــوری کــه بــه کاربــران اجــازه میدهــد بــدون تــرس از شــنود، رایانامههــای خــود را ارســال کننــد. لویســون در حــال انتشــار کــد منبــع اســتاندارد رایانامــهی جهانــی اســت بهطــوری کــه منتبــاز بــوده و از رمزنــگاری انتهــا بــه انتهــا پشــتیبانی میکنــد. ایــن رسویــس رایانامــه ضدنظــارت بــوده و متامــی اَبَ ردادههــا را در رایانامــه مخفــی میکنــد تــا آژانسهــای اطالعاتــی ماننــد NSA و FBI نتواننــد متوجــه شــوند کدامیــک از کاربــران الوابیــت بــا هــم در حــال ارتبــاط رسویــس رایانامــهی رمزنگاریشــده »الوابیــت« مســتقر در هســتند. تگــزاس کــه در ســال 2013 حکــم دادگاه مبنــی بــر ارائــهی ایــن رسویــس جدیــد بــا نــام محیــط رایانامــهای اینتنــت تاریــک کلیدهــای SSL بــرای جاسوســی در رایانامههــای ادوارد اســنودن )DIME( قــرار بــود بــه همــراه یــک برنامــهی کارگــزار رایانامــه را نپذیرقــت و تعطیــل شــد، روز جمعــه مجــدداً راهانــدازی شــد. بــه نــام Magma، دو روز پیــش بــر روی گیتهــاب منتــر مدیرعامــل رشکــت الوابیــت، الدار لویســون مســئول رسویــس شــود. لویســون در یــک پســت وبالگــی نوشــت: »DIME تنهــا کلیدهــای SSL بــود کــه نهادهــای دولتــی میتوانســتند بــا اســتاندارد خــودکار، فــدارال و رمزنگاریشــده اســت کــه بــرای اســتفاده از آن بــه گذرواژههــای اســنودن دســت یابنــد. هرچنــد کار بــا متامــی ارائهدهنــدگان رسویــس طراحــی شــده اســت مقامــات FBI ارصار داشــتند کــه از ایــن طریــق میخواهنــد و نشــت اطالعــات و اَبَردادههــا را بــه حداقــل میرســاند. بــا بــه گذرواژههــای حســاب اســنودن دســت یابنــد ولــی بــه هــر رمزنــگاری متامــی اجــزای یــک رایانامــه از جملــه بدنــهی پیــام، حــال، بــا ایــن کار حســابهای کاربــران دیگــر نیــز بــرای FBI اَبَردادههــا و اطالعــات الیــهی انتقــال، DIME امنیــت کاربــران قابــل دســتیابی بــود. را تضمیــن میکنــد و نشــت اطالعــات کاربــران را بــه حداقــل بــا ایــن حــال رشکــت الوابیــت تصمیــم گرفــت بجــای همــکاری میرســاند.« بــا FBI و در معــرض خطــر قــرار دادن متامــی مشــریان بــه گــزارش لویســون کارگــزار Magma بــرای ایــن طراحــی خــود، رسویــس رایانامــهی خــود را از کار بینــدازد و از ایــن شــده تــا کاربــران غیرفنــی کــه فاقــد کارخــواه رایانامــه هســتند طریــق نزدیــک بــه 410 هــزار کاربــر قــادر بــه دســتیابی بــه بتواننــد بــه راحتــی از ایــن رسویــس رایانامــهای اســتفاده کننــد. حســابهای رایانامــهای خــود بــر روی ایــن رسویــس نبودنــد. اســتاندارد DIME شــامل یــک حالــت رمزنگاری »اعتــاد کامل« اینــک لویســون اعــ م الکــرده رسویــس الوابیــت را بــا معــاری اســت کــه در ایــن حالــت الزم اســت کاربــران بــه رمزنــگاری و جدیــدی احیــاء کــرده و مدیریــت کلیدهــای SSL را بهبــود داده مدیریــت کلیــد در ایــن رسویــس اعتــاد کننــد. 9 لویســون میگویــد: »کارگــزار رمزنــگاری را در ســمت شــا انجــام خواهــد داد و رضوری اســت شــا اعتــاد کنیــد و اطمینــان داشــته باشــید کــه ایــن رسویــس، گذرواژههــای شــا را بازنویســی نکــرده و در طــول فرآینــد رمزنــگاری بــه پیامهــای شــا دستســی نخواهــد داشــت.« بــا ایــن حــال، اســتاندارد DIME بــه کاربرانــی کــه میخواهنــد بــر روی مدیریــت کلیــد کنــرل کامــل داشــته باشــند، حالتهــای »محتــاط« و »پارانوئیــد« را نیــز ارائــه میدهــد کــه در ایــن حالــت کلیدهــای کاربــران بــه هیــچ جــای دیگــری منتقــل نخواهــد شــد. حالــت پارانوئیــد بــه ایــن معنــی اســت کــه الوابیــت هیــچگاه کیلدهــای خصوصــی کاربــران را بــر روی کارگزاهــای خــود ذخیــره نخواهــد کــرد. در ابتــدا، رسویــس جدیــد الوابیــت تنهــا بــرای مشــریان موجــود ایــن رشکــت و در حالــت »اعتــاد کامــل« قابــل دســتیابی خوادهــد بــود. ولــی اگــر شــا قبــل از متوقــف شــدن ایــن رسویــس، مشــری ایــن رشکــت نبودهایــد میتوانیــد پیشثبتنــام کنیــد و منتظــر راهانــدازی احتملــی ایــن رسویــس بــرای کاربــران دیگــر باشــید.

​

10 شکستن قفل الگویی اندروید با 5 بار تالش توسط مهاجمان

محتــوای صفحــهی تلفــن همــراه در فاصلــهای برابــر بــا دو نیــم مــر نیــز انجــام دهــد. اگــر بــرای ضبــط ویدئــو از دوربینهــای SLR اســتفاده شــود، نتایــج در فواصــل 9 مــری نیــز قابــل قبــول خواهــد بــود.« گزارشهــا حاکــی از آن اســت کــه محققــان توانســتند بــر روی دســتگاههای مختلــف نزدیــک بــه 120 الگــوی منحرصبفــرد را شناســایی کننــد و در 95 درصــد از مــوارد میتواننــد بــا 5 تــالش، الگــوی مربــوط بــه دســتگاه کاربــران مختلــف را تشــخیص دهنــد. در ادامــهی ایــن مقالــه میخوانیــم: اگــر از آن دســته کاربرانــی هســتید کــه بــر روی دســتگاههای »بســیاری از افــراد از الگوهــای پیچیــده )خطــوط زیــادی بیــن اندرویــدی از ســامانهی قفــل الگویــی اســتفاده میکنیــد، بایــد نقطههــا( اســتفاده میکننــد تــا تکــرار آن توســط کســی کــه بــه شــا هشــدار دهیــم کــه ممکــن اســت دســتگاه شــا در ایــن الگــو را مشــاهده کــرده ســخت شــود. بــا این حــال محققان معــرض خطــر باشــد. ایــن نتایــج براســاس تحقیقــات کارشناســان دریافتنــد کــه شکســنت چنیــن الگوهایــی بســیار راحتتــر اســت امنیتــی از چنــد دانشــگاه بدســت آمــده اســت. چــرا کــه گزینههــا و حالتهــای موجــود بــرای الگویتــم ردیابــی براســاس مقالــهای کــه منتــر شــده، محققــان کشــف کردنــد اثرانگشــت تحــت ایــن رشایــط محدودتــر میشــود.« کــه مهاجــان میتواننــد بــا الگوریتمهــای بینایــی ماشــین بــا محققــان در آزمایشهــای خــود توانســتند 87.5 درصــد از 5 بــار تــالش، ســامانهی قفــل الگویــی شــا را بشــکنند. در ایــن الگوهــای نیمهپیچیــده را بشــکنند و 60 درصــد از الگوهــای مقالــه آمــده اســت: ســاده نیــز در اولیــن تــالش قفلشــان بــاز شــد. »وقتــی صاحــب دســتگاه در مکانــی ماننــد یــک کافــه مشــغول راهکارهای دفاعی نوشــیدن قهــوه اســت و قفــل الگویــی را بــر روی دســتگاه باوجــود اینکــه یافتههــای محققــان نگرانیهــای کاربــران را میکشــد، میتــوان از ایــن کار مخفیانــه ویدئــو ضبــط کــرد. افزایــش میدهــد ولــی بــا انجــام برخــی از راهکارهــای دفاعــی مهاجــم میتوانــد در حالیکــه تظاهــر میکنــد بــا تلفــن میتــوان از چنیــن رخدادهایــی پیشــگیری کــرد. اگــر نگــران لــو همــراه خــود مشــغول بــازی اســت، ایــن ویدئــو را ضبــط کنــد. رفــنت گــذرواژهی الگویــی خــود هســتید میتوانیــد هنــگام رســم در ادامــه مهاجــم میتوانــد بــا نرمافــزار بینایــی ماشــین، آن جلــوی صفحــهی منایــش را بــا دســت دیگــر خــود بپوشــانید. اثرانگشــت کاربــر را نســبت بــه تلفــن همــراه ردیابــی کنــد. همــواره از خــود این ســؤاالت را بپرســید: کدام تنظیــات امنیتی ایــن نرمافــزار در عــرض چنــد ثانیــه الگوهــای پیشــنهادی بــرای بــرای دســتگاه مــن مناســب اســت؟ چگونــه ایــن تظیــات را بــاز کــردن قفــل دســتگاه قربانــی را تولیــد خواهــد کــرد. مهاجــم پیکربنــدی منایــم؟ چگونــه بررســی کنــم کــه تنظیــات مــورد میتوانــد ایــن حملــه را بــدون ضبــط ویدئــو و مشــاهدهی اســتفاده درســت هســتند؟ 11 نفوذ به انجمنهای بازی کلش رویال

نفوذگــران اغلــب تــالش میکننــد گذرواژههــای کاربــران بــر روی رسویسهــای برخــط و محبــوب همچــون گــوگل و یاهــو را بــه رسقــت ببنــد و اینــک ایــن نقــض داده ممکــن اســت رسویسهــای دیگــری بجــز کلــش رویــال را نیــز تحــت تأثیــر قــرار دهــد. بــرای تغییــر گــذرواژهی حســاب انجمــن کلــش رویــال، میتوانیــد از ایــن پیونــد اقــدام کنیــد. ​

رشکــت سوپرســل کــه ســازندهی بازیهــای فوقمحبوبــی ماننــد کلــش رویــال اســت، در شــهریور مــاه دچــار نقــض داده شــده و احتــال مــیرود دادههــای کاربــران آن افشــاء شــده باشــد. مدیــر انجمنهــای ایــن رشکــت در اطالعیــهای اعــالم کــرد نفوذگــران توانســتند بــا بهرهبــرداری از آســیبپذیریها بــه وبگاه نفــوذ کننــد ولــی در حالیکــه تــالش داشــتند بــه حســابهای کاربــری نیــز دســت یابنــد، حســابهای کاربــری در حــال حــارض در امنیــت کامــل هســتند. تنهــا آدرسهــای رایانامــه و گذرواژههــای رمزنگاریشــده افشــاء شــده و دادههــای دیگــری بــه رسقــت نرفتــه اســت. تاکنــون هیــچ فــرد یــا گروهــی مســئولیت ایــن نفــوذ ســایبی را برعهــده نگرفتــه و مشــخص نیســت چــه تعــداد حســاب کاربری در اثــر ایــن حملــه تحــت تأثیــر قــرار گرفتــه اســت امــا رشکــت سوپرســل اعــ مال کــرده متامــی کاربــران بایــد گذرواژههــای حســابهای کاربــری خــود را تغییــر دهنــد. همچنیــن بــه کاربــران توصیــه شــده بــه هیچوجــه از گواهینامههــای یکســان بــر روی وب گاههــای مختلــف اســتفاده نکننــد و اگــر قبــالً از گــذرواژهی حســابهای بــازی خــود در جــای دیگــری اســتفاده کردنــد، متامــی آنهــا را تغییــر دهنــد.

12 آسیبپذیری در فیسبوک و حذف ویدئوها توسط نفوذگران

بــا ایــن حــال کارگــزار فیسبــوک بــه ایــن عمــل بــا خطــای »محتــوای مــورد نظــر در دســرس نیســت« پاســخ میدهــد امــا ویدئــوی قربانــی بــا موفقیــت پســت شــده و بهخوبــی منایــش داده میشــود. زمانیکــه ایــن عملیــات انجــام شــد، مالمــد پســت مربــوط بــه رویــداد خــود را حــذف میکنــد. بــه همــراه حــذف پســت رویــداد، ویدئــوی مــورد نظــر نیــز حــذف خواهــد شــد. قســمت اصلــی ماجــرا زمانــی اســت کــه ایــن ویدئــو از روی دیــوار قربانــی در شــبکهی اجتمعــی نیــز حــذف خواهــد شــد. یــک محقــق امنیتــی آســیبپذیری را در فیسبــوک کشــف مالمــد مینویســد: »در قســمت پاییــن پســت، گزینــهای بــرای کــرد. ایــن آســیبپذیری بــه مهاجــان اجــازه میدهــد خامــوش کــردن نظردهــی منایــش داده میشــود، کــه شــا ویدئوهــای منتششــده بــر روی دیــوار یــک حســاب کاربــری را میتوانیــد آن را نیــز انتخــاب کنیــد.« حــذف کننــد. بــرای مشــاهدهی مراحــل ایــن حملــه و بهرهبــرداری از ایــن ایــن آســیبپذیری توســط محقــق امنیتــی بــا نــام دان مالمــد در آســیبپذیری، میتوانیــد ویدئــوی مربــوط بــه اثبــات مفهومــی تیــر مــاه ســال جــاری کشــف شــده اســت. ایــن آســیبپذیری ایــن آســیبپذیری را مشــاهده کنیــد. مالمــد بهطــور مســئوالنه بــه مهاجــم اجــازه میدهــد از راه دور و بــدون نیــاز بــه مجــوز ایــن آســیبپذیری را بــه گــروه امنیتــی فیسبــوک اطــالع داد و احــراز هویــت، ویدئوهــای بــه اشــراک گذاشتهشــده را حــذف و ایــن گــروه بــا آغــاز ســال جدیــد، در عــرض دو هفتــه ایــن کنــد. عــالوه بــر ایــن، نفوذگــر میتوانــد قابلیــت ارســال نظــرات آســیبپذیری را وصلــه کردنــد. پــس از وصلــهی آســیبپذیری بــر روی ایــن ویدئوهــا را نیــز از کار بینــدازد. نیــز رشکــت فیسبــوک در برنامــهی پــاداش در ازای اشــکال خــود مبلــغ 10 هــزار دالر بــه مالمــد جایــزه داد. بهرهبرداری از این آسیبپذیری چگونه امکانپذیر است؟ ایــن اولیــن بــار نیســت کــه چنیــن آســیبپذیری در فیسبــوک بــرای بهرهبــرداری از ایــن آســیبپذیری، مالمــد ابتــدا در کشــف میشــود کــه بــه نفوذگــران اجــازه میدهــد ویدئوهــای صفحــهی فیسبــوک خــود یــک رویــداد عمومــی را ایجــاد کــرد کاربــران را در ایــن شــبکهی اجتمعــی حــذف کننــد. محققــان و در بخــش مباحثــهی ایــن رویــداد یــک ویدئــو بارگــذاری کــرد. امنیتــی در برنامــهی پــاداش در ازای اشــکال فیسبــوک، بهطــور در زمــان بارگــذاری ایــن ویدئــو، ایــن محقــق بــا اســتفاده از مــداوم چنیــن آســیب پذیریهایی را کشــف کــرده و بــرای Fiddler درخواســت POST را بدســت آورده و بجــای شناســهی امنتــر کــردن ایــن شــبکهی اجتمعــی گــزارش میدهنــد. ویدئــوی خــود، شناســهی ویدئــوی دیگــر در شــبکهای اجتمعــی را قــرار داد.

13 فصل دوم

مـدیریت امــنیت سیمانتک گواهینامههای اشتباه صادرشده را باطل کرد

بــا نــام WebTrust صــادر شــده اســت. ایــن کارشــناس در ادامــه اعــ مال کــرد امتیــازات ایــن رشیــک تجــاری بــرای صــدور گواهینامــه کاهــش یافــت و محــدود شــد و گواهی نامههــای اشــتباه نیــز باطــل شدند.ســیمنتیک گفــت: »مــا امتیــازات ایــن رشیــک تجــاری را بــرای صــدور گواهینامــه محــدود کردیــم و همچنــان در حــال بررســی ایــن مســئله هســتیم. در حالیکــه ایــن رشکــت متامــی گواهی نامههــای اشــتباه را باطــل کــرده مــا نیــز متامــی گواهینامههــای صادرشــده در 24 ســاعت گذشــته ســیمنتک تعــداد زیــادی از گواهینامههــا را کــه بــه اشــتباه را باطــل کردهایــم. بررســیهای مــا ادامــه دارد.« صــادر شــده بودنــد باطــل کــرد. ایــن گواهینامههــا شــامل کارشــناس ســیمنتک بــه مالــکان دامنههــا توصیــه کــرد تــا دامنههایــی ماننــد example.com و test.com بــود. ایــن رکوردهــای ثبتشــده بــرای شــفافیت گواهینامــه را بررســی اولیــن بــار نیســت کــه صــدور گواهینامــه در ایــن رشکــت کــرده و ببیننــد بــرای وبگاههــای آنهــا گواهینامههــای تحــت بررســیهای دقیــق، انجــام نشــده اســت. اشــتباهی صــادر نشــده باشــد. در مهــر مــاه ســال 94 گواهینامههــای اشــتباه در ســامانهی شــفافیت گواهینامــه گــوگل از رشکــت ســیمنتک درخواســت کــرد تــا در صــدور توســط مدیرعامــل SSLMate مــورد بررســی قــرار گرفــت. گواهینامههــای خــود دقــت بیشــری داشــته باشــد. ایــن ایــن کارشــناس امنیتــی چندیــن گواهینامــه بــرای دامنــهی درخواســت زمانــی اعــ مال شــد کــه رشکــت تابعــهی ســیمنتک example.com کشــف کــرد کــه توســط مالــک ایــن وبگاه بــا نــام Thawte بــرای دامنــهی google.com گواهینامههــای مجــاز شــمرده منیشــدند. او در ادامــه گواهینامههایــی را اشــتباه صــادر کــرده بــود. ایــن رشکــت مدعــی شــده بــود تنهــا بــرای دامنههــای test.com، test1.com و ســایر دامنههــا بــا اهــداف آزمایشــی ایــن گواهینامههــا را صــادر کــرده اســت کــه حــاوی رشــتهی test بودنــد را شناســایی کــرد. ولــی پــس از بررســیها، ایــن رشکــت چندیــن کارمنــد خــود ایــن محقــق امنیتــی نزدیــک بــه 100 گواهینامــهی اشــتباه را را از کار برکنــار کــرد.در بهمــن مــاه ســال 94 بخــش تجــارت کشــف کــرد کــه توســط ســیمنتک و رشکتهــای تابعــهی آن گواهی نامههــای ســیمنتک مجــدداً خبســاز شــد زمانــی کــه از جملــه GeoTrust و Thawte صــادر شــده بودنــد. در ایــن ایــن رشکــت از ســازندگان مرورگرهــای وب درخواســت کــرد گواهینامههــای مشکلســاز، چندیــن رکــورد بــا مقــدار test تــا 9 گواهینامــهی SSL دیگــر امضاءشــده بــا SHA-1 بــرای وجــود داشــت کــه بهنظــر میرســید ایــن گواهی نامههــا بــه Worldpay صــادر کنــد. ایــن درخواســت زمانــی صــورت گرفــت منظــور آزمایــش و بررســی صــادر شــدهاند.یکی از کارشناســان کــه قبــل از مهلــت زمانــی در تاریــخ 10 دی مــاه ســال 94، ســیمنتک کــه مدیریــت بخــش قوانیــن PKI را بــر عهــده دارد، پردازنــدهی پرداخــت در بهروزرســانی برخــی از دســتگاهها بــا گفــت ایــن گواهینامههــا توســط یکــی از رشکای ایــن رشکــت شکســت مواجــه شــده بــود.

15 حملهی منع سرویس توزیعشده به بانک Lloyds در سه روز متوالی

منیخواســتند صدمــات زیــادی بــه وبگاه بانــک وارد کننــد. خوشــبختانه برخــ فال حمالتــی کــه بــر روی بانکهــا انجــام میشــود، در ایــن حملــه هیــچ مشــری پــول خــود را از دســت نــداده اســت. بهطــور مثــال، بانــک Tesco هــدف حملــهی مهاجــان قــرار گرفتــه بــود و نزدیــک بــه 3.1 میلیــون دالر از حســاب 9 هــزار مشــری بــه رسقــت رفتــه بــود. بــه گــزارش مقامــات رســمی بانــک Lloyds، تنهــا تعــداد محــدودی از مشــریان در طــول ایــن 3 روز بــا مشــکل مواجــه شــدند. در اکــر مــوارد، زمانیکــه مشــریان میخواســتند بــر بانــک Lloyds در ســه روز متوالــی هــدف حمــ تال منع رسویس روی وبگاه بانــک وارد حســاب خــود شــوند، در دستســی بــه توزیعشــده قــرار گرفتــه اســت. نفوذگــران تــالش داشــتند بــا از حســاب بــا مشــکل مواجــه شــده بودنــد. کار انداخــنت ایــن وبگاه باعــث اختــالل در دستســی مشــریان در حــال حــارض، مقامــات بانــک Lloyds در کنــار مراجــع بــه ایــن بانــک شــوند. قانونــی در تــالش هســتند تــا عوامــل ایــن حملــه را شناســایی خبگزاریهــا اعــالم کردنــد ایــن اتفاقــات دو هفتــه پیــش رخ کننــد. بایــد منتظــر مانــد و دیــد آیــا پلیــس میتوانــد ایــن داده و از 22 دی مــاه آغــاز و در 25 دی پایــان یافتــه اســت. مهاجــان ســایبی را پیــدا کنــد یــا کشــف آنهــا یــک مســئلهی ایــن بانــک بــزرگ در انگلســتان توســط نفوذگــران بیناملللــی حلنشــده باقــی خواهــد مانــد. هــدف حملــهی منــع رسویــس توزیعشــده قــرار گرفتــه ولــی هنــوز اعــالم نشــده منشــأ ایــن حملــه کجــا بــوده اســت. نفوذگــران تــالش دارنــد بــا ارســال ترافیــک زیــاد بــه ســمت وبگاه از دستســی مشــریان بــه وبگاه ایــن بانــک جلوگیــری کــرده و در نهایــت باعــث درهــم شکســنت وبگاه بانــک شــوند. در ادامــه نفوذگــران مایــل هســتند مانــده حســاب و پرداختهــای مشــریان را رویــت کننــد. حمــ تال منــع رسویــس توزیعشــده بــه ابــزار محبوبــی بــرای مهاجــان ســایبی تبدیــل شــده کــه میخواهنــد رسویــس یــا وبگاهــی را از کار بیندازنــد. ایــن حمــالت بســیار رایــج هســتند و مــا در مــورد ایــن حمــالت در خبهــا بســیار میشــنویم. هرچنــد در حملــهی اخیــر شــاهد هســتیم کــه نفوذگــران

16 گروه نفوذ Greenbug به بدافزاری که عربستان سعودی را هدف قرار داده، کمک میکند

حمــالت قبلــی کــه توســط گــروه Greenbug انجــام شــده، بدســت آمــده اســت. ایــن گــروه جاسوســی از یــک تروجــان دستســی راه دور بــه نــام Ismdoor و ســایر ابزارهــا بــرای هــدف قــرار دادن کشــورهای خاورمیانــه اســتفاده کــرده اســت. مهاجــان ســامانههای حملونقــل هوایــی، رسمایهگــذاری، دولتــی و ســازمان آمــوزش و پــرورش در کشــورهای مختلــف از جملــه عربســتان ســعودی، ایــران، عــراق، بحریــن، قطــر، کویــت و ترکیــه و یــک رشکــت عربســتانی در اســرالیا را هــدف قــرار دادنــد. گواهینامههــای بــه رسقــت رفتــه کــه در حمــالت بدافــزار گــروه Greenbug رایانامههایــی جعلــی بــا عنــوان کســبوکار Shamoon علیــه کشــورهای حــوزهی خلیــج فــارس مــورد تجــاری بــرای کاربــران ارســال میکنــد تــا از ایــن راه کاربــران اســتفاده قــرار میگرفــت، بهنظــر میرســد توســط گــروه را فریــب داده و بدافــزار مــورد نظــر را بــر روی ســامانههای نفــوذی بــا نــام Greenbug بدســت آمــده باشــد. آنهــا بارگیــری و نصــب کنــد. در ایــن رایانامــه یــک پرونــدهی بدافــزار Shamoon کــه بــا نــام مســتعار Disttrack نیــز آرشــیوی RAR کــه حــاوی یــک ســند پــیدیاف و یــک پروندهی شــناخته میشــود، یــک بدافــزار حذفکننــدهی دیســک اســت کمکــی HTML اســت بــرای قربانــی ارســال میشــود. ایــن کــه از ســال 2012 شناســایی شــده اســت و آن زمــان حــدود 35 اســناد حــاوی تروجــان Ismdoor هســتند. هــزار رایانــهی صنعــت نفــت و گاز عربســتان ســعودی را از کار بــرای جلوگیــری از تشــخیص، ایــن بدافــزار در جریــان دادهی انداخــت. Shamoon 2 نیــز نســخهی جدیــدی از ایــن بدافــزار متنــاوب )ADS( مخفــی شــده اســت. بــه محــض اجــرای ایــن اســت کــه اخیــراً کشــور عربســتان ســعودی را هــدف قــرار داده پرونــده، بدافــزار Ismdoor یــک ِدرب پشــتی را بــاز کــرده و اســت. بــرای ارتبــاط بــا کارگــزار دســتور و کنــرل از ابــزار ِپاورشــل مــوج اول حمــالت توســط بدافــزار Shamoon 2 در تاریــخ اســتفاده میکنــد. هــدف از طراحــی ایــن تروجــان بارگیــری 27 آبــان و مــوج دوم در 9 آذر مــاه اجــرا شــد. ایــن حمــالت و نصــب بدافزارهــای دیگــر اســت کــه میتواننــد بهعنــوان کــه بهنظــر میرســد از طــرف کشــور ایــران انجــام شــده کیالگــر و رسقــت اطالعــات حســاس کاربــران مــورد اســتفاده باشــد، بــا اســتفاده از بدافــزار Disttrack حــذف دیســکهای قــرار بگیرنــد. ســامانههای آلــوده را رشوع میکنــد. محققــان ســیمنتک معتقدنــد گــروه نفــوذ Greenbug ایــن بدافــزار بــرای هــدف قــرار دادن ســامانههای مشــخصی گواهی نامههــای مــورد نیــاز بــرای حملــه را در حمــالت قبلــی کــه گواهی نامههــای آنهــا معلــوم اســت، برنامهریــزی شــده کــه توســط تروجــان Ismdoor انجــام شــده از ســامانههای و رشکــت امنیتــی ســیمنتک معتقــد اســت، ایــن اطالعــات در مدیریتــی ســازمانها بدســت آوردهانــد.

17 شــبکهی پالوآلتــو اوایــل ایــن مــاه گــزارش داده بــود کــه بدافــزار Shamoon 2 محصــوالت مجازیســازی را هــدف قــرار داده تــا کار بازیابــی دادههــا بــرای ســازمانها ســختتر و ســختتر شــود. روز دوشــنبه عربســتان ســعودی بــه متامــی ســازمانهای ایــن کشــور هشــدار داده کــه احتــال وقــوع حمــالت جدیــد وجــود دارد. ایــن هشــدار بــرای وزارت کار ایــن کشــور، یــک رشکــت مــواد شــیمیایی و ســایر نهادهــا ابــالغ شــده اســت. ​

18 در سال 2017 همچنان 200 هزار سامانه دارای آسیبپذیری Heartbleed هستند

فکــر میکنیــم بدتــر اســت. از تیــر مــاه یــک آســیبپذیری شن ا خ تهشــدهی مایکروســافت آفیــس مــورد بهرهبــرداری میگیــرد کــه آفیــس 2012 را تحــت تأثیــر قــرار میدهــد. ایــن نشــان میدهــد کاربــران هیــچ توجهــی بــه بهروزرســانی برنامههــا ندارنــد، کاری کــه حتــی دزدان دریایــی هــم آن را انجــام میدهنــد. ردمونــد در ســال 2015 هشــدار داد کــه ماکروهــای ورد دوبــاره بــه صحنــهی تهدیــدات ســایبی برگشــته و نزدیــک بــه نیــم میلیــون رایانــه را در رسارس جهــان آلــوده کردهانــد. در ســال نزدیــک بــه دو ســال و نــه مــاه از افشــای آســیبپذیری 2106 نیــز شــاهد پویشهــای مخربــی بودیــم کــه از ماکروهــای Heartbleed گذشــته و هنــوز هــم 200 هــزار ســامانه دارای مخــرب آفیــس بهرهبــرداری میکردنــد. ایــن آســیبپذیری هســتند. تالشهــا بــرای وصلــهی آســیبپذیری از ســال 2014 تاکنــون کاهــش یافتــه اســت. ایــن آســیبپذیری بــا شناســهی -CVE 0160-2014 برنامــهی OpenSSL را تحــت تأثیــر قــرار داده و بــه مهاجــان اجــازهی رسقــت گذرواژههــا، کوکیهــای ورود، کلیدهــای خصوصــی رمزنــگاری و ســایر اطالعــات را میدهــد. پویشهــای ابــزار Shodan نشــان میدهــد نزدیــک بــه 200 هــزار منونــهی OpenSSL وصلــه نشــده و دارای آســیبپذیری Heartbleed هســتند. ایــن پویــش نشــان میدهــد 42032 رسویــس در آمریــکا، 15380 رسویــس در کــره، 14116 رسویــس در چیــن و 14072 رسویــس در آملــان در معــرض خطــر قــرار دارنــد. تقریبــاً 75 هــزار رسویــس از گواهینامههــای منقضیشــدهی SSL و لینوکــس x.3 اســتفاده میکننــد. یــک ســال قبــل 10 کارگــزار رسویــس OpenSSL VPN هنــوز دارای آســیبپذیری Heartbleed بودنــد. ماجــرای وصلــه نکــردن آســیب پذیریها از آن چیــزی کــه

19 ِپشتیبانی پیشفرض از HTTPS بر روی وب گاههای دولتی آمریکا اجباری شد

مدیــران وب گاههــا را بــه حرکــت بــه ســمت HTTPS تشــویق میکنــد بلکــه ســازمانهای بــزرگ دیگــر نیــز ایــن کار را انجــام میدهنــد. بهعنــوان مثــال رشکــت گــوگل بــر روی وبگاههایــی کــه HTTPS آنهــا فعــال نیســت، هنگامــی کــه کاربر گــذرواژه یــا اطالعــات کارت اعتبــاری خــود را وارد میکنــد، بــرای جلوگیــری از رسقــت اطالعــات و جعــل هویــت بــه کاربــران هشــدار میدهــد. ​

متامــی وبگاههــای دولتــی آمریــکا کــه امســال راهانــدازی خواهنــد شــد، قــرار اســت بهطــور پیشفــرض از HTTPS اســتفاده کننــد. ایــن رونــد بــرای تقویــت وبگاههــای دولتــی کــه بــه دفعــات مــورد نفــوذ قــرار گرفتــه، انجــام شــده اســت. دولــت بــاراک اوبامــا تــا 11 دی مــاه بــه متامــی وبگاههــای دولتــی مهلــت داده بــود تــا بهطــور پیشفــرض از HTTPS اســتفاده کننــد ولــی بــه گــزارش مقامــات غیررســمی، تنهــا 60 درصــد از ایــن وبگاههــا بــه ســمت HTTPS مهاجــرت کردنــد. بــا ایــن حــال، از آغــاز ســال 2017 بــر روی متامــی وب گاههــای دولتــی .gov قابلیــت HTTPS فعــال خواهــد بــود. اداره خدمــات عمومــی آمریــکا اعــالم کــرد قابلیــت HTTPS بــر روی متامــی زیردامنههــای وبگاههــای دولتــی، حتــی در اینتانتهــا فعــال خواهــد شــد چــرا کــه نداشــنت HTTPS در اینتانتهــا نیــز خطرســاز اســت. اداره خدمــات عمومــی، راهانــدازی ایــن طــرح را در بهــار ســال 2017 اعــالم کــرده و 30 روز قبــل از اجــرا شــدن بــه متامــی مشــریان ایــن وبگاههــا اطالعرســانی خواهــد شــد. ادارهی خدمــات عمومــی آمریــکا تنهــا ســازمانی نیســت کــه

20 فصل سوم

امـنیت ســایبری سپر طالیی چین و ممنوعیت استفاده از شبکهی خصوصی مجازی

رسویسهــای VPN بــا رمزنــگاری ترافیــک کاربــر و مســیریابی ایــن ترافیــک از طریــق اتصــاالت راه دور، مــکان کاربــر در چیــن را مخفــی کــرده و میتوانــد محدودیتهــا و سانســورها را دور بزنــد. در قانــون جدیــد، اســتفاده و راهانــدازی رسویــس VPN محلــی بــدون تأییــد دولــت، غیرقانونــی محســوب شــده و نیــاز اســت متامــی اتصــاالت و کابلهــای VPN موجــود در چیــن همگــی دارای مجــوز از نهادهــای دولتــی باشــند. عــالوه بــر ایــن متامــی ارائهدهنــدگان رسویــس اینتنــت )ISP(، مــدت طوالنــی اســت کــه کشــور چیــن بــه قوانیــن ســختگیرانه ارائهدهنــدگان ســوریس اَبــر و منایندگیهــای فــروش VPN در خصــوص سانســور اینتنــت بــا اســتفاده از یــک دیــوارهی بایــد خود-بازرســی داشــته و بــر عملیــات غیرقانونــی بــر روی آتــش قــوی و بــزرگ در ایــن کشــور شــناخته میشــود. ایــن کارگزارهــای خــود نظــارت داشــته باشــند. ممنوعیــت اســتفاده دیــوارهی آتــش، ســپر طالیــی چیــن نــام دارد و محدودیتهــا و از رسویــس VPN و اتصــاالت کابلــی بــه رسعــت اجــرا شــده و سانســورهای مختلفــی را در دستســی کاربــران بــه وبگاههــای تــا 11 فروردیــن مــاه ســال 97 برقــرار خواهــد بــود. خارجــی اعــال میکنــد. عــالوه بــر ممنوعیــت VPN، وزارت فنــاوری اطالعــات چیــن ایــن دیــوارهی آتــش بــزرگ نزدیــک بــه 171 مــورد از هــزار گفــت نظارتــی بــر روی ارائهدهنــدگان رسویــس اینتنــت، وبگاه برتــر دنیــا از جملــه گــوگل، فیسبــوک، توییــر، تامبلــر شــبکههای تحویــل محتــوا و مراکــز دادهی اینتنتــی انجــام و دراپباکــس را مســدود کــرده اســت. بنابرایــن بــرای دور زدن خواهــد داد تــا مجــوز آنهــا در حوزههــای تعریفشــده ایــن محدودیتهــا و دستســی بــه ایــن وب گاههــا، صدهــا توســط نهادهــای دولتــی را بررســی کنــد. هــزار نفــر از شــهروندان چینــی از شــبکهی خصوصــی مجــازی )VPN( اســتفاده میکننــد. بــه گــزارش خبگزاریهــا، اخیــراً دولــت چیــن اعــالم کــرده در تالشــی گســرده ســعی دارد متامــی شــبکههای خصوصــی مجــازی را از کار بینــدازد و بــا ایــن کار دستســی بــه وبگاههای خارجــی بــرای کاربــران چینــی بســیار ســخت خواهــد شــد. در برنامــهای بــا عنــوان »پاکســازی« اتصــاالت اینتنــت در چیــن، وزارت صنایــع و فنــاوری ایــن کشــور اعــالم کــرد در یــک تــال ِش 14 ماهــه متامــی اتصــاالت VPN را از کار انداختــه اســت.

22 یاهو تحت بازرسی: چرا نقض دادهی عظیم در این شرکت دیر اطالعرسانی شده است؟

تحــت تأثیــر قــرار گرفتهانــد. یاهــو اعــراف کــرد نفوذگــران در ایــن حملــه اطالعاتــی ماننــد نــام، آدرس رایانامــه، شــاره تل ف ـ ـ ن ، تاریــخ تولــد، گذرواژههــای درهمسازیشــده بــه عــالوهی ســؤاالت و پاســخهای رمزنــگاری شــده یــا نشــده را بــه رسقــت بردهانــد. ولــی اطالعــات حساســی ماننــد اطالعــات حســابهای بانکــی و کارتهــای اعتبــاری از آســیب نفوذگــران دور ماندهانــد. مشــکل اینجاســت کــه تقویبــا ًیــک مــاه قبــل از اطالعرســانی رســمی یاهــو، نفوذگــران اطالعــات 200 میلیــون حســاب کاربری یاهــو را در وب تاریــک بــه فــروش گذاشــتند. ایــن اطالعــات یاهــو در رشایــط ســختی بــه رس میبــرد و در بررســیهای مربــوط بــه ســال 2014 بــود. ایــن رشکــت اعــالم کــرد در حــال ســازمان بــورس و اوراق بهــادار آمریــکا، از یاهــو ســؤال شــده بررســی رشایــط بــوده درحالیکــه دو مــاه قبــل از آن، یاهــو از چــرا در گــزارش ایــن نقــض داده بــه مشــریان و ســهامداران ایــن نقــض دادهی عظیــم باخــر شــده اســت. خــود کُنــد عمــل کــرده اســت. نفــوذ دوم کــه در نــوع خــود بیســابقهترین نفــوذ تاریــخ ســازمان بــورس و اوراق بهــادار آمریــکا بررســیهایی را بــرای اســت، در آذر مــاه اطالعرســانی شــد. یاهــو در ادامــه اعــراف نقــض دادهی یاهــو راهانــدازی کــرده اســت. ایــن ســازمان بیشــر کــرد کــه نزدیــک بــه 1 میلیــارد حســاب کاربــری در معــرض تــالش میکنــد بفهمــد آیــا افشــای ایــن نقــض داده توســط خطــر قــرار گرفتــه و ایــن رسقــت در ســال 2013 رخ داده اســت. یاهــو مطابــق بــا قوانیــن امنیتــی و مدنــی بــوده اســت یــا خیــر. اطالعــات بــه رسقترفتــه مشــابه اطالعــات نفــوذ قبلــی بــود. یاهــو مدعــی شــده کــه در یــک دورهی ســه ماهــه بــا ارائــهی یاهــو معتقــد اســت ایــن نفوذهــا پــس از دست ِســی یــک نهــاد اســنادی بــا ســازمانهای اطالعاتــی، دولتهــای خارجــی و ثالــث بــه کدهــای اختصاصــی، اتفــاق افتــاده و ایــن گــروه در ســازمانهای فــدرال و ایالتــی همــکاری داشــته تــا بــه آنهــا ادامــه از ایــن کــد بــرای جعــل کوکیهــا اســتفاده کردهانــد. اطالعاتــی راجعبــه ایــن حادثــهی امنیتــی بدهــد. یاهــو در حــال حــارض در رشایــط بســیار بــدی قــرار داد و از ســال گذشــته، رشکــت یاهــو دو نقــض دادهی بــزرگ را در طرفــی نیــز بــا وریــزون در خصــوص معاملــهی یاهــو صحبــت تاریــخ امنیــت اینتنــت، بــه کاربــران خــود اطــالع داد. ایــن میکنــد. اینــک چندیــن ســؤال از یاهــو باقــی مانــده اســت. یــک نقــض دادههــا بقــدری بــزرگ بــود کــه گفتــه میشــد نهادهــای اینکــه چــرا اطالعرســانی ایــن نقــض دادههــای عظیــم اینقــدر حکومتــی و دولتــی پشــت ایــن نفوذهــا بودهانــد. بهطــول انجامیــده اســت و دوم اینکــه یاهــو بــرای محافظــت اولیــن نقــض داده در شــهریور مــاه گــزارش شــد. آن زمــان از کاربــران خــود در رسارس جهــان چــه کارهایــی بایــد انجــام گفتــه میشــد در ایــن نفــوذ نزدیــک بــه 500 میلیــون کاربــر مــیداد؟

23 اوایــل ایــن مــاه، گزارشــی منتــر شــد مبنــی بــر اینکــه هســتهی اصلــی و تجــاری یاهــو در حــال واگــذاری بــه وریــزون بــه قیمت 4.8 میلیــارد دالر اســت و بقیــهی بخشهــای باقیمانــده از ایــن رشکــت، Altaba نامگــذاری خواهــد شــد. Altaba یــک رشکــت ســهامداری اســت کــه نزدیــک بــه 15 درصــد از ســهام آن متعلــق بــه رشکــت علیبابــا و 35 درصــد آن متعلــق بــه یاهــو در ژاپــن اســت.

​

24 در برنامهی پاداش در ازای اشکال ارتش آمریکا 118 آسیبپذیری وصله شد

از 371 محقــق امنیتــی دعــوت کــرده بــود تــا در ایــن برنامــه رشکــت کننــد و 25 نفــر از رشکتکننــدگان از کارکنــان دولتــی از جملــه 17 نفــر نیروهــای ارتــش بودنــد. ارتــش همچنیــن جزئیــات ســطح باالیــی از چندین آســیبپذیری بــر روی وبگاه goarmy.com را بــه اشــراک گذاشــت. ایــن آ س ـ ـ ی ب ها پذیریتوســط یکــی از رشکتکننــدگان کشــف شــده بــود و زنجیــرهای از ایــن آســیبپذیریها دستســی بــه وبگاههــای داخلــی وزارت دفــاع آمریــکا را بــدون احــراز هویــت در اختیــار مهاجــان قــرار مــیداد. ارتــش آمریــکا روز پنجشــنبه نتایــج اولیــن برنامــهی پــاداش در برنامههــای نفــوذ بــه پنتاگــون و برنامــهی پاداش در ازای اشــکال ازای اشــکال خــود را بــه اشــراک گذاشــت. ایــن برنامــه از 1 دی ارتــش توســط HackerOne برگــزار شــده اســت. HackerOne مــاه بــه مــدت 3 هفتــه در حــال برگــزاری بــود و خبهــا حاکــی در یــک پســت گفــت: »در ســطح شــبکه یــک پروکســی بــاز از آن اســت کــه ایــن برنامــه بــا موفقیــت انجــام شــده اســت. وجــود داشــت کــه فرآینــد مســیریابی نیــز از طریــق آن انجــام پــس از موفقیــت برنامــهی نفــوذ بــه پنتاگــون، ایــن دومیــن میشــد. بــه دلیــل وجــود آســیبپذیری در ایــن پروکســی، برنامــهی پــاداش در ازای اشــکال بــود که در ســطح ســازمانهای محققــان امنیتــی میتوانســتند بــه شــبکههای داخلــی ارتــش دولتــی انجــام میشــد. مقامــات دولتــی پورتالهــا و پایــگاه دســت یابنــد. بــه خــودی خــود، هــر یــک از آســیبپذیریها دادههــای خــود را در اختیــار نفوذگــران کاله ســفید و محققــان قابــل توجــه بودنــد ولــی وقتــی بــا یکدیگــر ترکیــب میشــدند امنیتــی قــرار دادنــد تــا بــر روی آن تســت نفــوذ انجــام داده و مســئلهای جــدی رخ مــیداد.« آســیبپذیریهای ممکــن را کشــف کننــد. در ادامــهی پســت بــه اهمیــت بررســی اشــکاالت و وزیــر ســابق ارتــش آمریــکا گفــت: »ارتــش در ایــن برنامــه آســیبپذیریهای امنیتــی توســط محققــان حرفــهای تأکیــد توانســت بــا گروهــی از فناوریهــا و محققــان امنیتــی بهطــور شــد کــه نســبت بــه روشهــای خــودکار کشــف آســیبپذیریها مســتقیم در ارتبــاط باشــد، موضوعــی کــه شــاید قبــالً از آن بســیار بهــر عمــل میکنــد. برنامــهی پــاداش در ازای اشــکال خــودداری میکــرد.« ارتــش آمریــکا بــرای محققــان امنیتــی بخــش خصوصــی و ارتــش آمریــکا روز پنجشــنبه اعــالم کــرد بیــش از 400 گــزارش تعــدادی از محققــان دولــت و ارتــش بــاز بــود. ایــن برنامــه نیــز آســیبپذیری دریافــت کــرده اســت کــه 118 مــورد از آنهــا همننــد برنامــهی نفــوذ بــه پنتاگــون بــا موفقیــت انجــام شــد. منحرصبفــرد و عملیاتــی هســتند. بــه رشکتکنندگانــی کــه در برنامــهی نفــوذ بــه پنتاگــون 138 آســیبپذیری وصلــه شــد و اشــکالی منحرصبفــرد را گــزارش دادهانــد، بیشــرین مقــدار در مجمــوع 150 هــزار دالر بــه محققــان امنیتــی پرداخــت شــد. جایــزه بــه مبلــغ 100 هــزار دالر پرداخــت شــده اســت. ارتــش وزیــر ســابق ارتــش آمریــکا در ادامــه افــزود: »مــا میدانیــم

25 آنطــور کــه بایــد و شــاید منیتوانیــم بــه تجــارت خــود ادامــه داده و بــا رونــد رسیــع و رو بــه رشــد فنــاوری حرکــت کنیــم. هنــوز هــمکســانی در رسارس دنیــا وجــود دارنــد کــه میخواهند بــه وبگاه، دادههــا و اطالعــات مــا دســت یابنــد. بــا اینکــه مــا بســیار آمــوزش دیدهایــم امــا هنــوز هــم ایــن قابلیتهــا کافــی نیســت.« ​

26 دستگیری نفوذگر روسی، نویسندهی بدافزار NeverQuest

بــه کالهبــرداران ســایبی اجــازه مــیداد بــه رایانههــای افــراد و مؤسســات مالــی دستســی یافتــه و دادههــای بانکــی آنهــا را بــه رسقــت ببنــد. ایــن بدافــزار از طریــق شــبکههای اجتمعــی، رایانامههــا و پروتکلهــای انتقــال پرونــده توزیــع میشــود و میتوانــد محتــوای وب گاههــای بانکــی را دســتکاری کــرده و فرمهــای جعلــی در آن قــرار دهــد. از طریــق ایــن فرمهــا، مهاجــان میتواننــد گواهینامههــای حســابهای کاربــران را بــه یــک نفوذگــر روســی کــه توســط FBI بــه جــرم نفــوذ بــه دســت آورنــد. رایانههــا تحــت تعقیــب بــود، اوایــل ایــن هفتــه در اســپانیا ایــن بدافــزار همچنیــن بــه مهاجــان اجــازه میدهــد بــا دســتگیر و راهــی زنــدان شــد. هنــوز در رابطــه بــا اســرداد ایــن اســتفاده از کارگــزار پــردازش شــبکهی مجــازی، کنــرل دســتگاه نفوذگــر بــه آمریــکا تصمیمــی اتخــاذ نشــده اســت. آلــوده را در اختیــار بگیرنــد. در ادامــه از ایــن رایانههــا بــرای گواردیــا ســیویل، افــر آژانــس اطالعاتــی اســپانیا، در فــرودگاه ورود بــه حســابهای بانکــی و مالــی قربانیــان و کالهبــرداری بارســلونا ایــن نفوذگــر 32 ســاله بــا نــام استانیســالو لیســو را بــا اســتفاده میشــود. حکــم بازداشــت پلیــس اینتپــل و بــه درخواســت FBI دســتگیر افــر اســپانیایی در توضیحــات خــود گفــت: »در بررســی کــه کــرده اســت. بــر روی کارگزارهــای لیســو در فرانســه و آملــان انجــام دادیــم، لیســو بــه جــرم ایجــاد و انجــام فعالیــت مخــرب بــا تروجــان فهرســتی از اطالعــات را در پایــگاه دادههــای آن مشــاهده بانکــی NeverQuest دســتگیر شــده اســت. ایــن بدافــزار کردیــم کــه در ایــن بیــن مانــده حســاب قربانیــان نیــز بــه مؤسســات مالــیدر رستــارس جهــان را هــدف قــرار داده و بالــغ چشــم میخــورد. در یکــی از کارگزارهایــی کــه لیســو اســتفاده بــر 5 میلیــون دالر رضر و زیــان بــه بــار آورده اســت. میکــرد، میلیونهــا گواهینامــهی ورود بــه حســابهای ایــن دســتگیری پــس از آن انجــام شــد کــه مقامــات اطالعاتــی کاربــران مشــاهده شــد کــه شــامل نــام کاربری، گــذرواژه، ســؤال آمریــکا اعــالم کردنــد نفوذگــران روســی پشــت نفوذهــای آبــان و پاســخ امنیتــی در حســابهای بانکــی و مالــی قربانیــان بــود.« مــاه بــه انتخابــات ریاســت جمهــوری آمریــکا بودهانــد و گزارشهــای حاکــی از آن اســت کــه لیســو بهعنــوان مدیــر احتــاالً در انتخــاب دونالــد ترامــپ بهعنــوان رئیــس جمهــور ســامانه و توســعهدهندهی وب در یــک رشکــت روســی مشــغول آمریــکا تأثیرگــذار بودهانــد. بــه کار بــود. ایــن نفوذگــر روســی تــا زمــان برگــزاری دادگاه بــا ایــن حــال پلیــس اســپانیا در بیانیــهای رســمی اعــالم کــرد بــا عالــی اســپانیا، در منطقــهی شــال رشقــی کاتالونیــا تحــت نظــر بررســیهایی کــه از ســال 2014 رشوع شــده بــود، FBI لیســو خواهــد بــود. در ایــن دادگاه عالــی قــرار اســت در خصــوص را تحــت تعقــب قــرار داده بــود. تروجــان بانکــی NeverQuest اســرداد لیســو بــه آمریــکا تصمیمگیــری شــود.

27 نفوذ به حساب توییتر بیبیسی و خبر جعلی تیراندازی به دونالد ترامپ

کنیــم.« گــروه OurMine بــا فاصلــهی کوتاهــی از انتشــار پیــام زنــده بــودن ترامــپ، توییــت خــود را ارســال کــرد. براســاس گــزارش بیبیســی کــه پــس از ایــن نفــوذ بــا گــروه OurMine متــاس گرفــت، ایــن گــروه نفــوذ آمریکایــی مســئول نفــوذ بــه حســاب توییــر بیبیســی و انتشــار خــر کشــته شــدن دونالــد ترامــپ نبــوده اســت. گــروه نفــوذ OurMine گفــت: »مــا در مرحلــهی اول بــه حســاب بیبیســی نفــوذ نکردیــم. مــا بعــد از مشــاهدهی فعالیتهــای مشــکوک در ایــن حســاب، دوبــاره بــه آن نفــوذ کردیــم تــا مطمــن شــویم کــه نفــوذ رخ داده یــا خیــر. ولــی دیــروز حســاب توییــر متعلــق بــه بیبیســی مــورد نفــوذ قــرار متأســفانه ایــن حســاب مــورد نفــوذ قــرار گرفتــه بــود. مــا فقــط گرفــت و در آن پیامــی بســیار عجیــب منتــر شــد. در ایــن پیــام توییتــی در ایــن حســاب ارســال کردیــم و اطــالع دادیــم کــه ایــن آمــده اســت: »آخریــن اخبــار: رئیــس جمهــور منتخــب، دونالــد حســاب مــورد نفــوذ قــرار گرفتــه اســت. مــا هیــچگاه بــه هیــچ ترامــپ در اثــر تیرانــدازی از ناحیــهی بــازو زخمــی شــد.« حســابی بــدون دلیــل نفــوذ منیکنیــم. مــا یــک گــروه نفــوذ ایــن پیــام مــدت کوتاهــی پــس از انتشــار حــذف شــد و ایــن امنیتــی هســتیم.« خبگــزاری اعــالم کــرد ایــن پیــام نادرســت بــوده و از طــرف گــروه OurMine در گذشــته توانســته بــود بــه چنــد حســاب نفوذگرانــی کــه کنــرل حســاب کاربــری را در دســت داشــتند کاربــری ســطح بــاال در توییــر نفــوذ کنــد. از جملــهی ایــن منتــر شــده اســت. حســابهای توییــر، میتــوان نتفلیکــس، Marvel و ســایر بیبیســی اعــ م الکــرد در حــال حــارض منیدانــد چــه کســانی رشکتهــا را نــام بــرد. هرچنــد، ایــن گــروه نفــوذ هیــچگاه پشــت ایــن حمــالت هســتند و گفــت: »مــا در حــال پیگیــری ســعی نکــرده اخبــار نادرســت یــا بدافــزار را از طریــق ایــن ماجــرا هســتیم و گامهایــی را طــی میکنیــم تــا مطمــن شــویم نفوذهــا توزیــع کنــد و بیشــر نشــان دادن ضعــف امنیتــی در چنیــن اتفاقاتــی دیگــر رخ نخواهــد داد.« حســابهای قربانــی مدنظــر ایــن گــروه بــوده اســت. گــروه نفــوذ OurMine کنــرل حســاب مــورد نفــوذ قــرار تاکنــون هیــچ گــروه یــا فــردی مســئولیت ایــن نفــوذ را برعهــده گرفتــه را در دســت گرفتنــد و توییتــی را از آن منتــر کردنــد نگرفتــه اســت و بیبیســی نیــز اعــالم کــرده در حــال کــه ایــن نقــض را افشــاء کــرد. در پیــام گــروه OurMine آمــده حــارض کنــرل حســاب کاربــری را بدســت آورده اســت. متامــی اســت: »مــا فعالیتهــای غیرعــادی را در ایــن حســاب کاربــری توییتهــای ارســالی از طــرف نفوذگــران حــذف شــده و ایــن شناســایی کردیــم. ایــن حســاب توســط یــک نفــر مــورد نفــوذ رشکــت بدنبــال راهــی بــرای کشــف چگونگــی وقــوع حملــه قــرار گرفتــه بــود و مــا ســعی کردیــم ایــن اشــکال را برطــرف اســت.

28 ناتو: نفوذگران سایبری هر ماه 500 بار به اتحادیه حمله میکنند

خواهــد شــد. در اغلــب مــوارد اینگونــه تصــور میشــود کــه دولــت روســیه پشــت بســیاری از نفوذهــای ســایبی اســت. همنطــور کــه در انتخابــات ریاســت جمهــوری آمریــکا نیــز گفتــه میشــود کرملیــن بــا کمــک شــهروندان خــود در آمریــکا، در رونــد انتخابــات دخالــت کــرده و نفوذهــای متعــددی را علیــه حــزب دموکــرات انجــام داده اســت. همزمــان دولتهــای اروپایــی نیــز در خصــوص حمــالت ســایبی روســیه و نفــوذ بــه رایانههــای ایــن کشــورها هشــدار دادنــد. کشــورهای اروپایــی ادعــا میکننــد دولــت روســیه ســعی دارد ســخنگوی ارتــش اتحادیــهی ناتــو اعــالم کــرد ناتــو بــه هدفــی بــا نفوذهــای ســایبی در رونــد انتخابــات کشــورهای دیگــر بــرای متــام نفوذگــران در رسارس دنیــا تبدیــل شــده اســت و اختــالل ایجــاد کنــد. بهطــور میانگیــن هــر مــاه 500 حملــهی ســایبی علیــه ایــن در طــرف دیگــر، دولــت روســیه متامــی ایــن ادعاهــا و اتهامــات اتحادیــه انجــام میشــود. ایــن حمــالت در ســال گذشــته نســبت را رد کــرده و اعــالم کــرد دولــت روســیه خــود هــدف حمــالت بــه ســال 2015 افزایــش 60 درصــدی داشــته اســت. ســایبی دولتهــای خارجــی قــرار گرفتــه اســت. دولــت روســیه بــرای شناســایی مهاجــان بررســیهای زیــادی صــورت گرفتــه در دی مــاه اعــ مال کــرد شــواهدی پیــدا کــرده کــه رسویسهــای اســت ولــی در بســیاری از مــوارد، کشــف اینکــه حملــه توســط اطالعاتــی از کشــورهای خارجــی تــالش میکننــد مؤسســات چــه کســانی انجــام شــده، کار بســیار دشــواری اســت. ســخنگوی مالــی و بانکهــای روســیه را از کار بیندازنــد. ایــن اتحادیــه گفــت: »دولتهــای خارجــی، مهاجــان ســایبی و تروریســتها میتواننــد منشــأ ایــن حمــالت باشــند بــا ایــن حــال انتســاب حمــالت کار ســختی اســت. البتــه بســیاری از کشــورها دارای منابــع بزرگــی در حــوزهی ســایبی هســتند و مســئولیت بســیاری از حمــالت علیــه ناتــو برعهــدهی چنیــن کشــورهایی اســت.« ناتــو اواســط ســال 2016 تصمیــم گرفــت حمــالت ســایبی را نیــز ماننــد حمــالت مســلحانهی معمولــی قلمــداد کنــد و بــه نفوذگــران خارجــی هشــدار داد در صــورت حملــه بــه دولتهــای عضــو اتحادیــه، طبــق مــادهی 5 بــا آنهــا برخــورد

29 نفوذ به حساب توییتر نیویورک تایمز و خبر جعلی حملهی موشکی روسیه به آمریکا

زوکربــرگ، مدیرعامــل فعلــی و ســابق توییــر و مدیرعامــل گــوگل را مشــاهده کــرد. در پیامــی کــه توســط OurMine ارســال شــده بــود، تأییــد شــد کــه ایــن گــروه مســئول نفــوذ بــه حســاب موســیقی ســونی در توییــر بــوده و خبهــای جعلــی در خصــوص مــرگ بریتنــی اســپیرز منتــر کــرده اســت. ​

نیوریــورک تایمــز در حــال بررســی نفــوذ بــه حســاب توییــر خــودش اســت کــه توســط OurMine انجــام شــده و در روز یکشــنبه خبهایــی جعلــی را منتــر کــرده اســت. حســاب nytvideo@ حســاب ویدئویــی توییــر متعلــق بــه روزنامــهی آمریکایــی نیویــورک تایمــز اســت کــه بیــش از 250 هــزار دنبالکننــده دارد. دیــروز ســاعت 9:40 در ایــن حســاب یــک خــر جعلــی دربــارهی حملــهی موشــکی روســیه علیــه آمریــکا منتــر شــد. ایــن خــر در مــورد حملــهی موشــکی باعنــوان بیانیــهای از طــرف والدیمیــر پوتیــن منتــر شــده بــود. ایــن خبهــای جعلــی بــه رسعــت حــذف شــد در حالیکــه در توییتهــای دیگــری بــه دخالــت گــروه OurMine در انتشــار خبهــای جعلــی اشــاره شــده بــود. ایــن گــروه نفــوذ کــه در دی مــاه نیــز بــه حســاب توییــر نتفلیکــس حملــه کــرده بــود، در تــالش اســت بــا ایــن کار بــه شناســاندن وبگاه و رسویسهــای نفــوذ خــود بپــردازد و در حــال حــارض بــا نفوذهــای خــود بــه حســابهای ســطح بــاالی توییــر شــناخته میشــود. در فهرســت قربانیــان ایــن گــروه کــه بــه حســابهای توییــر آنهــا نفــوذ شــده میتــوان مدیرعامــل فیسبــوک، مــارک

30 دادستان منتخب ترامپ: باید در رمزنگاریها ِدرب پشتی داشته باشیم

رصیــح در اینبــاره اظهارنظــر نکــرده اســت. از سشــنز ســوال شــد کــه آیــا اســتفاده از رمزنــگاری قــوی را بــرای حفاظــت از آمریــکا در برابــر حمــالت ســایبی مفیــد میدانــد و او در پاســخ گفــت: »رمزنــگاری موضوعــی مهــم و ارزشــمند اســت. همچنیــن رضوری اســت کــه نهادهــای امنیتــی و بررســی کنندهی جرائــم قــادر باشــند در صــورت لــزوم و بــرای پیشــرد امنیــت ملــی و تحقیقــات جنایــی آن را رمزگشــایی کننــد.« بنابرایــن تنهــا راهــی کــه بــه ذهــن همــگان بــرای دور زدن جــف سشــنز، دادســتان کل ِ منتخــب ترامــپ، معتقــد اســت رمزنــگاری میرســد، اســتفاده از درب ِ پشــتی در ویژگیهــای اســتفاده از رمزنگاریهــای قــوی بســیار عالــی اســت ولــی بایــد امنیتــی اســت و ایــن خواســت نهادهــای اطالعاتــی نیــز هســت. مقامــات راهــی بــرای شکســنت آن داشــته باشــند. بــا قــدرت گرفــنت افــرادی همچــون سشــنز منیتــوان گفــت کــه باتوجــه بــه اهمیــت رمزنــگاری، سشــنز معتقــد اســت نهادهــای در آینــده چــه اتفاقــی خواهــد افتــاد. قوانیــن تضعیــف امنیــت امنیتــی و بررســی کنندهی جرائــم بایــد راهــی بــرای دور زدن ســایبی بــدون شــک مخالفتهایــی بدنبــال خواهــد داشــت. ایــن حفاظتهــا داشــته باشــند. بهنظــر میرســد دیدگاههــای سشــنز بــا دیــدگاه رئیــس جمهــور فعلــی آمریــکا، دونالــد ترامپ همهنــگ اســت. در بحثــی کــه بیــن اپــل و FBI در بــاز کــردن قفــل آیفــون تیرانــداز در حادثــهی ســانبرنادیو پیــش آمــد، ترامــپ معتقــد بــود اپــل بایــد بــا نهادهــای اطالعاتــی همــکاری میکــرد و در غیــر اینصــورت تحریــم میشــد. ترامــپ میگویــد: »آنهــا فکــر میکننــد کــی هســتند؟ هیچکــس. مــا بایــد در چنیــن مــواردی بتوانیــم تلفــن همــراه را بــاز کنیــم.« متامــی دیدگاههــای ترامــپ در خصــوص رمزنــگاری، امنیــت برخــط و هرچیــز مرتبــط بــا رایانــه بــهروز نبــوده و نشــان میدهــد او هیــچ درکــی از ایــن مباحــث نــدارد. ایــن موضــوع را میتــوان از حســاب توییــر او فهمیــد. دیدگاههــای سشــنز نیــز بازتابــی از دیدگاههــای ترامــپ اســت هرچنــد او بهطــور

31 فصل چهارم

اخبار فـــنی شرکت اپل آسیبپذیریهای حیاتی را در هستهی سامانه عاملها وصله میکند

منجــر شــود.« اپــل همچنیــن 11 آســیبپذیری را در پیادهســازی iOS مربــوط بــه WebKit وصلــه کــرده اســت کــه شــش مــورد از ایــن آســیبپذیریها میتوانــد منجــر بــه اجــرای کــد دلخــواه شــود. 3 مــورد دیگــر از آســیبپذیریها نیــز بــا محتــوای وب جعلــی قابــل بهرهبــرداری بــوده و بــرای خــارج کــردن اطالعــات از ســامانهی قربانــی مــورد اســتفاده قــرار میگیــرد. بســیاری از آســیبپذیریهای Webkit در مرورگــر وب ســافاری در نســخهی 10.0.3 نیــز وصلــه شــده اســت. در رشکــت اپــل دیــروز نســخهی جدیــد iOS و macOS Sierra بهروزرســانیها و وصلههــای iOS، اپــل یــک آســیبپذیری منتــر کــرد و در آن تعــدادی آســیبپذیری همپوشــان را در در ِویژگــی بــاز کــردن قفــل خــودکار را وصلــه کــرده اســت. ایــن ســامانه عاملهــای تلفــن همــراه و رومیــزی برطــرف کــرده مهاجــان بــا بهرهبــرداری از ایــن آســیبپذیری میتواننــد بــود. ســاعت اپــل را بــر روی مــچ دســت کاربــر در حالتــی کــه ایــن بهروزرســانی بخشــی از بهروزرســانی امنیتــی بزرگتــر خامــوش اســت، بــاز کننــد. اســت کــه ســافاری، iCloud در وینــدوز و watchOS را نیــز همچنیــن یــک آســیبپذیری دیگــر وصلــه شــده کــه میتوانــد شــامل میشــود. باعــث درهــم شکســنت برنامــهی مخاطبــان شــود. یــک مهمتریــن و جدیتریــن آســیبپذیریها دو آســیبپذیری آســیبپذیری دیگــر نیــز در وایفــای برطــرف شــده کــه بــا در هســته بــا شناســههای CVE-2017-2370 و CVE-2017- بهرهبــرداری از آن، حتــی زمانیکــه دســتگاه کاربــر خامــوش 2360 اســت. ایــن آســیبپذیریها بــه یــک برنامــهی مخــرب، اســت، تصویــری از صفحــهی خانگــی او منایــش داده میشــود. اجــازهی اجــرای کــد در باالتریــن ســطح از امتیــازات هســته را در بهروزرســانی macOS Sierra چنــد آســیبپذیری اجــرای میدهــد. ایــن دو آســیبپذیری رسریــز بافــر و اســتفاده پــس کــد در مؤلفههــای دیگــر وصلــه شــده اســت. ایــن مؤلفههــا از آزادســازی توســط محققــان امنیتــی گــوگل گــزارش شــده و در عبارتنــد از پیادهســازی بلوتــوث، راهاندازهــای گرافیکــی و iOS نســخهی 10.2.1 و در macOS Sierra نســخهی 10.12.3 ویرایشــگر مــنت Vim. در بهروزرســانی ســافاری نیــز یــک وصلــه شــده اســت. آســیبپذیری در نــوار آدرس بــا شناســهی CVE-2017-2359 یــک آســیبپذیری حیاتــی رسیــز بافــر در libarchive بــا وصلــه شــده اســت. ایــن آســیبپذیری زمانیکــه کاربــر از یــک شناســهی CVE-2016-8687 در iOS و macOS Sierra نیــز وبگاه مخــرب بازدیــد کنــد و مهاجــم نیــز آدرس URL را جعــل وصلــه شــده اســت. اپــل گفــت: »از بســته خــارج کــردن یــک کــرده باشــد قابــل بهرهبــرداری اســت. آرشــیو جعلــی و مخــرب، ممکــن اســت بــه اجــرای کــد دلخــواه tvOS نیــز بــه نســخهی 10.1.1 بهروزرســانی شــده و هــان

33 آســیب پذیریهای هســته و webkit در ایــن ســامانه عامــل تلویزیــون اپــل نیــز وصلــه شــده اســت. watchOS بــه نســخهی 3.1.3 بهروزرســانی شــده کــه در آن 33 آســیبپذیری کــه شــامل 17 آســیبپذیری اجــرای کــد بــوده، برطــرف شــده اســت. برنامــهی iCloud بــرای وینــدوز نیــز بــه نســخهی 6.1.1 بــرای ویندوزهــای 7 و باالتــر بهروزرســانی شــده اســت. همچنیــن 4 آســیبپذیری Webkit در ســایر محصــوالت ایــن ســامانه عامــل برطــرف شــده کــه منجــر بــه اجــرای کــد دلخــواه میشــد. ​

34 آسیبپذیری که اپل را مجبور کرد ویژگی جدید خود را در فروشگاه اپل حذف کند

این حمله چگونه کار میکند؟ وقتــی شــا بــر روی گزینــهی اعــالن بــرای برنامــهای کــه هنــوز منتــر نشــده کلیــک میکنیــد، ایــن تابــع بهطــور خــودکار اطالعاتــی از قبیــل نــام دســتگاه شــا و شناســهی رایانامــهی iCloud را بازیابــی میکنــد تــا زمانــی کــه برنامــهی جدیــدی ارائــه شــد، بــه شــا خــر دهــد. بــا ایــن حــال بازیابــی نــام دســتگاه در برابــر اشــکاالت اعتبارســنجی ورودی بســیار آســیبپذیر اســت و بــه یــک نفوذگــر اجــازه میدهــد یــک بــار دادهی مخــرب جــاوا اخیــراًرشکــت اپــل ویژگــی را در دســتگاههای آیفــون و آیپــد اســکریپت را در ایــن فیلــد تزریــق کنــد کــه ایــن کــد میتوانــد ارائــه کــرد کــه بقــدری دارای اشــکال بــود کــه ایــن رشکــت پــس از بهرهبــرداری از آســیبپذیری، بــر روی دســتگاه قربانــی راهــی بجــز حــذف کــردن کامــل ایــن ویژگــی پیــدا نکــرد. اجــرا شــود. در آبــان مــاه، رشکــت اپــل ویژگــی بــه اســم »اعــالن« را در عــالوه بــر ایــن، یــک نفوذگــر راه دور میتوانــد شناســهی فروشــگاه برنامههــای کاربــردی خــود ارائــه کــرد. کاربــران بــا رایانامــهی iCloud قربانــی را بــا آدرس رایانامــهی اصلــی خــود فعــال کــردن ایــن ویژگــی کــه دکمــهی نارنجــی روشــنی داشــت، تنظیــم کنــد در حالیکــه بــه هیــچ تأییــدی از ســمت قربانــی میتوانســتند از طریــق رایانامــهی iCloud اگــر برنامــه یــا نیــاز نیســت. اینجاســت کــه اشــکال دوم رخ میدهــد. بــازی جدیــدی در فروشــگاه در دســرس قــرار میگرفــت، از آن مطلــع شــوند. محققــان امنیتــی چندیــن آســیبپذیری در ویژگــی اعــالن iTunes و رایانامههــای iCloud کشــف کردنــد کــه بــه مهاجــان اجــازه میدهنــد از طریــق بدافــزار، کاربــران دیگــر اپــل را نیــز آلــوده کننــد. محققــان امنیتــی در مشــاورهنامهی خــود نوشــتند: »بهرهبرداری موفقیتآمیــز ایــن آســیب پذیریها میتوانــد منجــر بــه رسقــت بنابرایــن زمانیکــه یــک برنامــهی منتشنشــده در دســرس قــرار نشســت، حمــالت پایــدار فیشــینگ، حمــالت پایــدار هدایــت بــه میگیــرد، اپــل رایانامــهای بــه آدرس قربانــی ارســال خواهــد ســمت منابــع دیگــر و دســتکاری ماژولهــا در رسویسهــای کــرد ولــی نفوذگــر آدرس رایانامــهی قربانــی را بــا رایانامــهی مختلــف شــود.« اصلــی خــود تنظیــم کــرده اســت. بنابرایــن قربانــی رایانامــهای

35 از طــرف اپــل دریافــت خواهــد کــرد کــه توســط نفوذگــر در بخــش نــام دســتگاه آن بــار دادهی مخــرب درج شــده اســت. در تصویــر زیــر اجــرای بــار دادهی مخــرب را در ســمت قربانــی مشــاهده میکنیــد و اینجــا اشــکال ســوم مشــاهده میشــود. در اشــکال ســوم کارخــواه رایانامــهی اپــل در بررســی محتــوای رایانامــهی ارسالشــده بــه ســمت کاربــران بــا شکســت مواجــه شــده اســت.

محققــان امنیتــی گفتنــد: »بهرهبــرداری از آســیبپذیریهای اعتبارســنجی ورودی و کدگــذاری رایانامــه، بــه حســاب کاربــری اپــل بــا امتیــازات ســطح پاییــن نیــاز دارد و مقــدار تعامــل بــا کاربــر نیــز کــم یــا متوســط اســت.« ایــن محقــق امنیتــی عنــوان کــرد اولیــن بــار در مهــر مــاه کــه رشکــت اپــل ایــن ویژگــی را رومنایــی کــرد، کــد بهرهبــرداری را آمــاده کــرده بــود. تقریبــاً در 25 آذر زمانــی کــه بــازی ســوپر ماریــو در فروشــگاه اپــل منتــر شــد، او مطمــن شــد کــه بهرهبــرداری او بــه درســتی کار میکنــد. گزارشهــا حاکــی از آن اســت کــه اپــل از ایــن اشــکاالت مطلــع شــده و در حــال برطــرف کــردن آنهــا اســت. ​

36 حمله به پایگاه دادهها همچنان ادامه دارد: هدوپ و CouchDB اهداف بعدی مهاجمان

متامــی دادههــا حــذف میشــوند. یــک یادداشــت نیــز در پوشــهای بــرای کاربــر گذاشــته شــده اســت. ولــی در مــورد CouchDB حملــه مشــابه حمــالت MongoDB و Elasticsearch اســت و مهاجــم بــرای برگردانــدن دادههــا از قربانیــان بــاج درخواســت میکنــد درحالیکــه پروندههــا حــذف شــدهاند و بــا پرداخــت بــاج پروندههــا برگردانــده نخواهــد شــد.یک محقــق امنیتــی دیگــر عنــوان کــرد هــدوپ دارای ویژگیهــای امنیتــی و حفاظــت از دادهی بســیاری ب رنامههــای هــدوپ و CouchDB بــه آخریــن اهــداف اســت. بــر روی ایــن بســر میتــوان متامــی دادههــای موجــود مهاجــان ســای یب بــرای رسقــت و حــذف دادههــا تبدیــل را رمزنــگاری کــرد. میتــوان ســامانهی مدیریــت کلیــد را از شــدهاند. هفتــهی گذشــته محققــان امنیتــی اعــالم کردنــد ســامانهی اصلــی جــدا کــرد. همچنیــن قابلیتهــای ویــژهی نزدیــک بــه 28 هــزار پایــگاه دادهی MongoDB و موتــور احــراز هویــت و کنــرل دستســی در آن وجــود دارد. بنابرایــن، جســتجوی Elasticsearch مــورد نفــوذ قــرار گرفتــه اســت. ایــن ســامانههای هــدوپ کــه مــورد نفــوذ قــرار گرفتهانــد از ایــن پایــگاه دادههــا منابعــی محافظتنشــده و منتبــاز بودنــد. قابلیتهــای امنیتــی بهــرهای نبدهانــد. روز جمعــه، محقــق امنیتــی بــا نــام ویکتــور گــورز اعــالم کــرد گــورز اعــالم کــرد ردیابــی ایــن حمــالت را از روز سهشــنبه بــا 126 مــورد نصــب هــدوپ و 452 مــورد CouchDB مــورد نفــوذ اولیــن حملــه بــر روی هــدوپ و CouchDB آغــاز کــرده اســت. قــرار گرفتنــد. همچــون حمــالت قبلــی، مهاجــان بــرای نفــوذ پویشهــای Shodan نشــان میدهــد 5160 منونــه هــدوپ و بــه نصبهــای هــدوپ و CouchDB از گواهینامههــای 4530 منونــه CouchDB محافظتنشــده و بــاز وجــود دارد. پیشفــرض یــا بســیار ســاده اســتفاده کردهانــد. گــورز گفــت بــه نظــر میرســد بســیاری از حمــالت علیــه گروهــی از محققــان امنیتــی کــه ایــن حمــالت را بررســی هــدوپ دســتی انجــام میشــود. بــا ایــن حــال حمــالت علیــه میکردنــد، گفتنــد: »علــت اصلــی حملــه مشــابه منونــهی CouchDB مشــابه حمــالت MongoDB و Elasticsearch MongoDB اســت. پیکربندیهــای پیشفــرض بــه مهاجــان بهطــور خــودکار صــورت میگیــرد. بــدون احــراز هویــت، اجــازهی دستســی میدهــد. بــه عبــارت ایــن محقــق اعــالم کــرد نفوذگــری بــا نــام Kraken0 حملــه بــه دیگــر یــک مهاجــم بــا مهارتهــای پایــهای میتوانــد رشوع بــه CouchDB را بــه یــک کیــت باجافــزاری اضافــه کــرده و در وب حــذف پروندههــا کنــد.« تاریــک بــه فــروش میرســاند. حــذف پایــگاه دادههــای عظیــم برخــالف حمــالت بــه MongoDB کــه مهاجــان پــس از حــذف مشــکلی بســیار بــزرگ محســوب میشــود چــرا کــه نفوذگــران پروندههــا، بــرای بازگردانــدن پروندههــای رونویسیشــده بــه راحتــی و بــا اســتفاده از گواهینامههــای پیشفــرض از قربانیــان بــاج درخواســت میکردنــد، در منونــهی هــدوپ میتواننــد ایــن حمــالت را انجــام دهنــد.

37 در افزونهی مخفی شرکت ادوبی، آسیبپذیری XSS کشف شد

پــس از بررســیها مشــخص شــد کــه افزونــه تحــت تأثیــر آســیبپذیری XSS قــرار گرفتــه اســت و بــه اســناد جــاوا اســکریپت بــا امتیــازات ســطح بــاال، اجــازهی اجــرا شــدن را میدهــد. کارشناســان امنیتــی ایــن آســیبپذیری را بــا درجــهی اهمیــت جــدی طبقهبنــدی کردنــد. ایــن آســیبپذیری در 23 دی مــاه بــه رشکــت ادوبــی گــزارش شــده و پــس از چنــد روز وصلــه شــد. ایــن اولیــن بــار نیســت کــه محققــان امنیتــی در افزونههــای مرورگرهــا آســیبپذیری کشــف میکننــد. تقریبــاً یــک ســال قبــل، کارشناســان نشــان محققــان پــروژهی Zero گــوگل کشــف کردنــد افزونــهی دادنــد یــک افزونــه کــه بهطــور خــودکار توســط ضدبدافــزار گــوگل کــروم کــه ادوبــی هفتــهی قبــل بهطــور مخفیانــه در AVG نصــب شــده بــود، متامــی اطالعــات تاریخچــهی مرورگــر بهروزرســانی امنیتــی خــود قــرار داده بــود، دارای آســیبپذیری و اطالعــات شــخصی کاربــران را افشــاء میکــرد. XSSاســت. رشکــت ادوبــی پــس از اطــالع از وجــود ایــن آســیبپذیری، بیرسوصــدا آن را وصلــه کــرد. در بهروزرســانی امنیتــی کــه رشکــت ادوبــی در 21 دی مــاه برای محصــوالت آکروبــات و ریــدر منتــر کــرد، 29 آســیبپذیری وصلــه شــد. بــا اینحــال برخــی از کاربــران از ایــن ماجــرا گلــه میکردنــد کــه ادوبــی یــک افزونــهی گــوگل کــروم را در مرورگرهــای آنهــا نصــب کــرده اســت. ایــن افزونــه بــرای تبدیــل صفحــهی وب بــه ســند پــیدیاف اســتفاده میشــود. ایــن افزونــه کــه تنهــا بــر روی ســامانههای وینــدوزی کار میکنــد از کاربــر مجوزهایــی را بــرای دستســی بــه دادههــای وبگاههــای بازدیــدی، مدیریــت بارگیریهــا و ارتبــاط بــا برنامههــای جانبــی درخواســت میکنــد. ایــن افزونــه همچنیــن دادههایــی را از ســامانهی کاربــران جمــعآوری میکنــد و ادوبــی ادعــا کــرده ایــن جمــعآوری داده شــامل اطالعــات شــخصی افــراد منیشــود. ایــن افزونــه نزدیــک بــه 30 میلیــون بــار نصــب شــده اســت.

38 توقف اعتماد اوراکل به پروندههای JAR امضاءشده با MD5 از اردیبهشت ماه

جــاوا از اوراکل درخواســت کردنــد تــا مهلــت بیشــری بــه آنهــا بدهــد تــا تغییــرات الزم را اعــال کننــد. بــه توســعهدهندگان جــاوا توصیــه شــده تــا امضــای پروندههــای JAR را بــا الگوریتــم MD5 مــورد بررســی قــرار دهنــد و ایــن پروندههــا را بــا الگوریتــم قویتــری مجــدداً امضــاء کننــد و کلیدهــای بــا طــول بزرگتــر اســتفاده کننــد. بــا اســتفاده از ابــزار Zip و دســتور زیــر میتوانیــد امضاهــای MD5 موجــود را حــذف کنیــد: zip -d test.jar 'META-INF/*.SF' 'META-INF/*.RSA' اوراکل تصمیــم گرفــت بــه توســعهدهندگان جــاوا فرصــت META-INF/*.DSA'' بیشــری بدهــد تــا مطمــن شــوند کــه پروندههــای JAR ســایر تغییــرات مبتنــی بــر رمزنــگاری کــه توســط اوراکل در آنهــا بــا الگوریتــم MD5 امضــاء نشــده اســت. محیــط زمــان شــهریور مــاه بــرای JRE و JDK برنامهریــزی شــده شــامل اجــرای جــاوا )JRE( در اردیبهشــت مــاه بــه پشــتیبانی از ایــن غیرفعــال کــردن زنجیــرهی گواهینامههــای SHA-1 اســت پروندههــای JAR خامتــه خواهــد داد. کــه در JDK بهطــور پیشفــرض مــورد اســتفاده قــرار گرفتــه رشکــت اوراکل در شــهریور مــاه اطالعیــهای مبنــی بــر توقــف و همچنیــن افزایــش حداقــل طــول کلیــد بــرای SSL و TLS بــه پشــتیبانی از پروندههــای JAR کــه بــا الگوریتــم MD5 1024 بیــت اســت. امضــاء شــدهاند خــر داد. نزدیــک بــه یــک دهــه اســت کــه اوراکل در آخریــن بهروزرســانی وصلههــای امنیتــی خــود آســیبپذیریهای تصــادم در ایــن الگوریتمهــا کشــف شــده در ســال 2017 تعــداد 270 آســیبپذیری را وصلــه کــرد کــه اســت. اوراکل در ســال 2006 اســتفاده از الگوریتــم MD5 158 مــورد از ایــن آســیبپذیریها توســط مهاجــان بــدون بــرای پروندههــای JAR بهطــور پیشفــرض را متوقــف کــرد احــراز هویــت قابــل بهرهبــرداری اســت. تعــداد زیــادی از ایــن و اینــک قصــد دارد بهکلــی هیــچ اســتفادهای از ایــن الگوریتــم آســیبپذیریها در محصــول E-Business Suite اوراکل وجــود درهمســازی نداشــته باشــد. داشــت کــه توجــه محققــان امنیتــی زیــادی را بــه خــود جلــب بــا انتشــار همزمــان SE 8u131 بــه همــراه بهروزرســانیهای کــرده بــود. امنیتــی اوراکل در اردیبهشــت مــاه، بــا پروندههــای JAR کــه بــا الگوریتــم MD5 امضــاء شــدهاند، همچــون پروندههــای امضاءنشــده و غیرقابــل اعتــاد برخــورد خواهــد شــد. اوراکل قصــد داشــت پشــتیبانی از MD5 در پروندههــای JAR را بــا آغــاز ســال 2017 متوقــف کند ولی تعــدادی از توســعهدهندگان

39 ویجت نظردهی، بسیاری از وب گاهها را در معرض خطر قرار داد

تگهــای بــاز و بســته را میتــوان بــا اســتفاده از دو ِتــگ عالمــت بزرگتــر )>( و کوچکتــر )<( دور زد. عــالوه بــر ایــن، پاالینــدهای کــه ویژگیهــا را بررســی میکنــد بــا اســتفاده از نقطه-ویرگــول )؛( و دو عالمــت اســلش )//( در انتهــای ویژگیهــا میتــوان دور زد.« ایــن آســیبپذیری از طریــق یــک برنامــهی پــاداش در ازای اشــکال بــا نــام Detectify کــه بــه تازگــی راهانــدازی شــده اســت، بــه توســعهدهندگان ویجــت جعبــهی نظردهــی HTML گــزارش شــد. توســعهدهندگان نیــز در عــرض دو ســاعت ایــن یــک آســیبپذیری XSS ذخیرهشــده در یــک ویجــت محبــوب اشــکال را وصلــه کردنــد. نظردهــی کشــف شــد کــه بســیاری از وب گاههــا را در معــرض بررســیهای ایــن نوجوانــان از طریــق گــوگل نشــان داد کــه خطــر قــرار مــیداد. ایــن آســیبپذیری بــه رسعــت توســط نزدیــک بــه 2 میلیــون وبگاه از ایــن ویجــت نظردهــی اســتفاده توســعهدهندگان ایــن محصــول وصلــه شــد. میکننــد. ســکیوریتیویک نیــز چنیــن جســتجویی را انجــام ابراهیــم مــارزوک 14 ســاله یــک آســیبپذیری XSS داد و نتیجههــا حاکــی از آن بــود کــه نزدیــک بــه 760 هــزار ذخیرهشــده را در بخــش نظردهــی یــک وبگاه اشــراک کــد بــا وبگاه از جعبــهی نظردهــی HTML اســتفاده میکننــد و نــام PasteCoin کشــف کــرد. دوســت ابراهیــم کــه او نیــز 14 برخــی از ایــن وبگاههــا تکــراری بودنــد. ولــی بهرحــال در ســال ســن دارد، بعــداً کشــف کــرد کــه ایــن آســیبپذیری فقــط نهایــت میتــوان گفــت کــه وبگاههــای زیــادی از ایــن ویجــت PasteCoin را تحــت تأثیــر قــرار نــداده و متامــی وبگاههایــی اســتفاده میکننــد. کــه از یــک ویجــت محبــوب، بــرای افــزودن جعبــهی نظردهــی ایــن اولیــن بــار نیســت کــه محققــان امنیتــی آســیبپذیریهایی بــه وبگاه خــود اســتفاده میکننــد، در معــرض خطــر قــرار را در ویجتهــای نظردهــی وبگاههــا کشــف میکننــد. در دارنــد. ســال 2013 دو محقــق امنیتــی، دو آســیبپذیری پایــدار و ایــن جعبــهی نظردهــی HTML بهگونــهای طراحــی شــده تــا انعکاســی XSS را در جعبــهی نظردهــی HTML کشــف کــرده بــرای جلوگیــری از حمــالت XSS ورودیهــای کاربــر را پاالیــش بودنــد. کنــد ولــی بــار دادهای کــه توســط ایــن دو نوجــوان مــورد اســتفاده قــرار گرفتــه، توانســت پاالینــدهی ایــن ویجــت را دور بزنــد: >>//;)img src=x onerror=alert(1<<>>“ ایــن نوجوانــان در پســت وبالگــی توضیــح دادنــد: »پاالینــدهی

40 فصل پنجم

اخبار تحــلیلی برایان کربس، نویسندهی واقعی بدافزار Mirai را کشف کرد

پیونــدی مربــوط بــه کــد منبــع بدافــزار Mirai منتــر کــرده بــود. کربــس گــزارش داد: »انتشــار کــد منبــع بدافــزار روز جمعــه در انجمــن Hackforum اطــالع داده شــد. نــام ایــن بدافــزار Mirai اســت و پیوســته در حــال پویــش دســتگاههای آســیبپذیر اینتنــت اشــیاء اســت. ایــن دســتگاهها معمــوالً بــا گواهینامههــای پیشفــرض کارخانــه و یــا بــا نــام کاربــری و گذرواژههــای هاردکدشــده محافظــت میشــوند.« برایــان کربــس معتقــد اســت هویــت واقعــی آنــا ســنپایی کــه پیونــد مربــوط بــه Mirai را منتــر کــرده، کشــف کــرده اســت. محقــق امنیتــی مشــهور، برایــان کربــس جزئیــات بررســیهای کربــس اعــالم کــرد نــام واقعــی او پــاراس جیهــا و صاحــب خــود در خصــوص نویســندهی بدافــزار Mirai، آنــا ســنپایی را یــک رشکــت امنیتــی بــا نــام ProTraf اســت. ایــن رشکــت در منتــر کــرد. در ماههــای گذشــته بــات Mirai توجــه رســانهها حــوزهی کاهــش تهدیــدات منــع رسویــس توزیعشــده فعالیــت را بــه خــود جلــب کــرده اســت. ایــن بدافــزار و باتنــت بــرای میکنــد. تشــدید حمــ تال منــع رسویــس توزیعشــده علیــه ارائهدهنــدهی کربــس در وبگاه خــود مینویســد: »پــس از ماههــا رسویــس DNS بــا نــام Dyn مــورد اســتفاده قــرار گرفــت و جمــعآوری اطالعــات در خصــوص نویســندهی بدافــزار Mirai باعــث قطعــی اینتنــت در بخــش وســیعی گردیــد. مــن از عــار زوبــری در مــورد پــاراس جیهــا اطالعاتــی بدســت بــه دنبــال ایــن حملــه بســیاری از رسویسهــای معــروف اینتنت آوردم. زوبــری گفــت جیهــا قبــول کــرده کــه مســئول باتنــت ماننــد توییــر، آمــازون، نتفلیکــس و غیــره بــرای ســاعاتی قابــل Mirai و حملــهی منــع رسویــس توزیعشــدهی علیــه دانشــگاه دستســی نبودنــد. ایــن باتنــت اینتنــت اشــیاء مدتــی قبــل راتگــرز بــوده اســت. زوبــری میگویــد وقتــی در دانشــگاه نیــز وبگاه محقــق امنیتــی، برایــان کربــس را هــدف حملــهی راتگــرز در ســال 2015 جیهــا را مالقــات کــرده، جیهــا در منــع رسویــس توزیعشــده قــرار داده بــود کــه موجــب شــد مــورد راهانــدازی چنــد حملــهی منــع رسویــس توزیعشــده بــه او بررســیهایی را بــرای شناســایی نویســندهی ایــن بدافــزار او فخرفروشــی کــرده اســت. زوبــری دلیــل انجــام ایــن حمــالت ترتیــب دهــد. توســط جیهــا را منیدانــد ولــی فکــر میکنــد او میخواســته یــک نفوذگــر در مهــر مــاه کــد منبــع ایــن بدافــزار را بهطــور آزمایــش کنــد بــا انجــام ایــن حمــالت تــا کجــا میتوانــد پیــش عمومــی منتــر کــرد و برایــان کربــس تصمیــم گرفــت ایــن کــد بــرود.« را در انجمــن معــروف نفوذگــران Hackforum مــورد تحلیــل بــه گــزارش کربــس، فــردی بــا نــام مســتعار آنــا ســنپایی و بررســی قــرار دهــد. یکــی از کاربــران انجمــن Hackforum از نــام مســتعار Ogmemes123123 و آدرس رایانامــهی

42 [email protected] نیــز اســتفاده کــرده اســت. کربــس میگویــد ایــن نویســنده از نــام مســتعار _OG Richard_Stallman نیــز اســتفاده کــرده کــه بــه بنیانگــذار برنامههــای منتبــاز اشــاره مســتقیم دارد. آدرس رایانامــهی ذکرشــده بــرای ایجــاد حســابهای کاربــری در فیسبــوک بــا نامهــای مســتعار مــورد اســتفاده قــرار گرفتــه اســت. حســاب کاربــری مربــوط بــه OG_Richard_Stallman نشــان میدهــد کــه ایــن فــرد از ســال 2015 تحصیــل در رشــتهی مهندســی کامپیوتــر را در دانشــگاه راتگــرز آغــاز کــرده اســت. ایــن هــان دانشــگاهی اســت کــه پــاراس جیهــا در آن تحصیــل میکنــد. ســامانههای دانشــگاه راتگــرز از ســال 2015 مــورد حمــ تال منــع رسویــس توزیعشــده قــرار میگرفــت و ایــن مهاجــم بــه مســئولین دانشــگاه پیشــنهاد داده بــود تــا یــک محصــول و راهحــل بــرای کاهــش تهدیــدات منــع رسویــس توزیعشــده خریــداری کننــد. کربــس همچیــن اشــاره کــرد مهارتهایــی کــه جیهــا در صفحــهی لینکدیــن خــود ثبــت کــرده هــان مهارتهایــی اســت کــه در انجمــن HackForums بــرای آنــا ســنپایی ثبــت شــده اســت. تحلیلهــای دقیــق و جامــع کربــس در خصــوص ایــن نفوذگــر را در وبگاه او میتوانیــد مطالعــه کنیــد. ​

43 بازگشت باتنت Necurs و توزیع باجافزار و تروجان بانکی

مراجــع قانونــی بــا کمــک هــم باتنــت Necurs را تخریــب کردنــد ولــی ایــن باتنــت دوبــاره بــه صحنــهی تهدیــدات ســای یب بازگشــت و بــا قــدرت هرچــه متــام بــه توزیــع باجافــزار Locky پرداخــت. در حــال حــارض نیــز باتنــت Necurs توســط مهاجــان ســایبی بــرای توزیــع باجافــزار Locky اســتفاده میشــود و در هفتــهی گذشــته تعــداد حمالت ســایبی افزایــش چشــمگیری داشــته اســت.محققان سیســکو گفتنــد: »تــا اوایــل دی مــاه، مــا شــاهد هیــچ فعالیتــی از باجافــزار Locky گــروه امنیــت سیســکو اعــالم کــرد متوجــه ترافیکــی از باتنــت نبودیــم ولــی در چنــد روز گذشــته پویشهــای هرزنامــهای را خفتــهی Necurs شــده اســت. ایــن محققــان در خصــوص مشــاهده کردهایــم کــه بــه توزیــع ایــن باجافــزار میپردازنــد. احتــال پیدایــش پویشهــای باجافــزاری جدیــد توســط ایــن تنهــا تفاوتــی کــه وجــود دارد در تعــداد هرزنامههــای ارســالی باتنــت هشــدار دادنــد. اســت. قبــالً میدیدیــم بــرای توزیــع باجافــزار صدهــا و هــزاران در پســتی کــه سیســکو منتــر کــرده میخوانیــم: »تحقیقــات هرزنامــه ارســال میشــد ولــی در حــال حــارض کمــر از هــزار گــروه تالــوس نشــان میدهــد فعالیــت هرزنامههــای Locky هرزنامــه بــرای توزیــع باجافــزار Locky مشــاهده شــده اســت. مجــدداً افزایــش یافتــه اســت ولــی بــه شــدتی کــه قبــالً داشــت بــا ایــن کاهــش در تعــداد هرزنامههــا، شــاید در آینــده شــاهد نرســیده اســت. رسانجــام چنــد روز پیــش مــا شــاهد پویشهــای تغییــرات دیگــری در ایــن پویشهــا باشــیم.« هرزنامــهای بودیــم کــه باجافــزار Locky را توزیــع میکردنــد. محققــان سیســکو در بررســیهای اخیــر خــود دو پویــش را تفــاوت فاحــش در ایــن هرزنامههــا مربــوط بــه مقــدار و حجــم مشــاهده کردهانــد کــه تــا حــدودی بــا پویشهــای قبلــی توزیــع باجافــزار اســت. مــا بهطــور معمــول صدهــا و هــزاران تفــاوت دارنــد. در یکــی از ایــن پویشهــا یــک پرونــدهی zip هرزنامــه را شــاهد هســتیم.« کــه در هرزنامــه موجــود اســت، یــک نصبکننــدهی بدافــزار در زمــان نــگارش ایــن خــر، محقــان امنیتــی تنهــا هــزار منونــه از را بــر روی رایانــهی قربانــی قــرار میدهــد. وقتــی پرونــدهی پیامهــای هرزنامــهای باتنــت Necurs را پیــدا کردهانــد امــا zip بــاز شــود، یــک پرونــدهی JSE ایــن قابلیــت را دارد کــه رشایــط ممکــن اســت خطرناکتــر از وضعیــت فعلــی بشــود. باجفــزار Locky و تروجــان Kovter را بــر روی ســامانهی باتنــت Necurs یــک از بزرگتریــن معم ریهــای تهدیــد در قربانــی بارگیــری و نصــب کنــد. دنیاســت کــه بــرای توزیــع تروجــان بانکــی Dridex و باجافــزار در پویــش دوم بجــای اســتفاده از پرونــدهی zip از یک پروندهی Locky مــورد اســتفاده قــرار میگرفــت و از تاریــخ 12 خــرداد RAR اســتفاده میشــود. اگــر قربانــی پروندههــای موجــود در مــاه ســال جــاری ناپدیــد شــده بــود. آن را اســتخراج کنــد بــا یــک پرونــدهی جــاوا اســکریپت بــه نــام در مهــر مــاه ســال 94، تعــدادی از آژانسهــای اطالعاتــی و doc_details.js مواجــه خواهد شــد.

44 انتشار کد منبع یک بدافزار بانکی اندروید

وظایــف مختلفــی از جملــه ارســال و دریافــت پیامــک، رسقــت اطالعــات مخاطبــان، ردیابــی دســتگاه، برقــراری متــاس تلفنــی، منایــش دیالوگهــای فیشــینگ و رسقــت اطالعــات حســاس ماننــد اطالعــات کارتهــای بانکــی را انجــام دهــد. ایــن رشکــت امنیتــی توضیــح داد: »ماننــد ســایر بدافزارهــای بانکــی اندرویــد، بدافــزار Android.BankBot.149.origin بــا ردیابــی فعالیــت برنامههــای پرداخــت برخــط و برنامههــای بانکــی، اطالعــات گواهینامههــای کاربــران را بــه رسقــت میبــرد. در بررســی منونــهای از ایــن بدافــزار مشــخص شــد محققــان امنیتــی هشــدار دادنــد کــه کــد منبــع یــک بدافــزار کــه تعــداد زیــادی از برنامههــای بانکــی را کنــرل میکنــد. بانکــی اندرویــد بهطــور برخــط منتــر شــده اســت. بــه زمانیکــه بدافــزار اســتفاده از برنامههــای بانکــی را شناســایی همــراه ایــن کــد منبــع، اطالعاتــی در خصــوص اســتفاده از آن کــرد، یــک فــرم فیشــینگ را منایــش داده و اطالعــات کارت نیــز قــرار دارد. بــه عبــارت دیگــر ایــن احتــال وجــود دارد کــه بانکــی و گذرواژههــای قربانــی را دریافــت کــرده و در قســمت در چنــد روز آینــده شــاهد افزایــش حمــالت بدافزارهــا بــر روی بــاالی برنامــهی مــورد نظــر منایــش میدهــد.« دســتگاههای اندرویــدی باشــیم. وقتــی یکــی از برنامههــای معــروف ماننــد فیسبــوک، رشکــت امنیتــی Dr.Web اعــالم کــرد بدافــزاری را شناســایی کرده اینســتاگرام، واتــساپ، یوتیــوب و حتــی گوگلپلــی راهانــدازی کــه کــد منبــع آن نیــز منتــر شــده اســت. ایــن بدافــزار بهطــور شــد، بدافــزار دیالــوگ فیشــینگ شــبیه بــه دیالــوگ خریــد از مســتقیم بــه برنامههــای قانونــی اندوریــد در فروشــگاههای گوگلپلــی را منایــش میدهــد و اطالعــات کارتهــای بانکــی را ثالــث تزریــق شــده و در حــال توزیــع اســت. از کاربــر درخواســت میکنــد. ایــن بدافــزار بــا نــام Android.BankBot.149.origin تــالش عــالوه بــر ایــن، بدافــزار میتوانــد پیامهــای متنــی را ردیابــی میکنــد بــر روی رایانههــای آلــوده امتیــازات مدیریتــی را کــرده و آنهــا را بــرای مهاجــم ارســال کنــد. در ادامــه نیــز ایــن بدســت آورد. وقتــی بدافــزار بــه امتیــازات کامــل دســت یافــت، پیامهــا از روی تلفــن همــراه حــذف خواهــد شــد. ایــن عملیــات از روی صفحــهی خانگــی، آیکــون برنامــهی کاربــردی را حــذف در مــورد اطالعــات بانکــی میتوانــد بســیار خطرنــاک محســوب میکنــد و تــالش دارد کاربــر را فریــب دهــد کــه ایــن برنامــه شــود. ایــن رشکــت امنیتــی هشــدار داد ایــن تنهــا یــک منونــه از بهکلــی حــذف شــده اســت. بدافــزار مبتنــی بــر ایــن کــد منبــعِ منتششــده اســت و کاربــران از ســوی دیگــر، ایــن بدافــزار در پسزمینــه فعــال باقــی میمانــد بایــد در بارگیــری برنامههــای اندرویــد از فروشــگاههای ثالــث و بــه یــک کارگــزار دســتور و کنــرل متصــل شــده و بــرای بســیار مراقــب باشــند. دریافــت دســتورات منتظــر میمانــد. ایــن بدافــزار میتوانــد

45 هــــفته نامه | شــــــماره نود و هفتم | ســــال دوم | ۴۵ صــــفحه