نوشته‌ها

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم . اول یک عذرخواهی کنم از همه دوستان بابت فاصله‌ای که در انتشار ۴ مطلب افتاد و لازم می‌دونم در مورد این موضوع توضیحاتی رو خدمتتون ارائه کنم.

وقعیت من تا شماره ۱۴ این مجموعه رو منتشر کردم ولی متاسفانه مشکلی برای هاستینگ به وجود اومد و چون نسخه پشتیبان درستی هم تهیه نکرده بودند یکسری از مطالب سایت حذف شد و تنبلی من هم مزید بر علت شد که این مجموعه روال عادی خودش رو ادامه نده.علی ای حال(این کلمه رو خیلی دوست دارم 😀 ) با آخرین قسمت از مجموعه ۴ مطلب در سال ۹۸ در خدمتتون هستم.

۱- حرکت لاکپشتی حوزه امنیت در ایران

این هفته یکی از بچه‌های کلوپ امنیت در تلگرام پیام داد که اینجا براتون قرار میدم، دیدن پیامش خالی از لطف نیست.

گزارش باگ سایت دانشگاه

طرف حاضره سایت رو از اول طراحی کنه ولی بابت گزارش باگ هزینه نکنه.بعد میگن چرا حوزه امنیت در ایران پیشرفتش سریع نیست!!

 

۲-ارائه خوب در مورد password cracking

password cracking

در این ویدئو، Jon Gorenflo در مورد کرک پسورد صحبت می‌کنه که مطالبی که بیان میشه بسیار کاربردی و مفیده.

لینک ویدئو

۳- تست نفوذ ساده

تست نفوذ ساده

این مقاله مشخص می‌کنه که تست نفوذ همیشه کار پیچیده‌ای نیست.در این مقاله به کمک متاسپلویت دسترسی خوبی رو به دیتابیس خواهیم داشت.

لینک مقاله

۴- email spoofing

حمله spoofing یا حمله جعل، شرایطى است که در آن یک شخص یا برنامه، خود را به عنوان شخص یا برنامه دیگری معرفی کرده و با جعل داده‌ها موفق به به دست آوردن اطلاعات مهم می‌شود.

در این نوع حملات معمولا مهاجمین آدرس‌های IP و همچنین آدرس‌های سخت افزاری خود یا MAC ها را دست‌کاری و تغییر داده و به سیستم هدف این‌طور القا می‌کنند که در حال برقراری ارتباط درستی هستند و این در حالی است که سیستم هدف فریب اینکار را خورده است. در این حالت سیستم هدف به دلیل اینکه به آن آدرس IP و یا MAC اعتماد دارد به سیستم مهاجم اجازه دسترسی به منابع تعیین شده در سیستم را خواهد داد و به این شکل مهاجم موفق به نفوذ به سیستم هدف و قربانى مى‌‍شود.

در این مقاله درمورد جعل ایمیل صحبت شده است.

مشاهده مطلب

 

پیشاپیش عید رو به همه شما دوستان عزیز تبریک میگم.هرچند ویروس کرونا باعث شد، پایان سال ۹۸ همراه با تلخی‌های فراوان باشه اما انسان به امید زندست و امیدوارم سال ۹۹ سرشار از موفقیت و سلامتی باشه.

ارادتمند بهروز منصوری

 

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

شکاف امنیتی در ویندوز ۱۰ کشف شد

شکاف امنیتی در ویندوز ۱۰ کشف شد

سازمان امنیت ملی آمریکا یک شکاف امنیتی در سیستم عامل ویندوز ۱۰ کشف کرده که به هکرها اجازه می دهد به ارتباطات ایمن نفوذ کنند.

شکاف امنیتی در ویندوز ۱۰ کشف شد

این سازمان به مایکروسافت اطلاع داد تا مشکل برطرف شود.

درهمین راستا مایکروسافت یک وصله امنیتی رایگان ارائه کرد.

این شرکت اعلام کرده تاکنون هیچ شواهدی از دسترسی هکرها به این شکاف امنیتی رصد نکرده است.

به گفته مایکروسافت این شکاف امنیتی به مهاجمان اجازه می دهد امضای دیجیتالی که به قطعات نرم افزاری وابسته است را جعل کنند و در نتیجه یک کد ناسازگار و مخرب به عنوان یک نرم افزار قانونی نشان داده می شود.

این اختلال در محیط هایی مشکل ساز می شود که اجازه نامه دیجیتال برای تایید نرم افزار مورد نیاز ماشین ها نیاز است.

اطلاعات ۷۲۵ هزار متقاضی دریافت گواهی تولد در آمریکا فاش شد

هک شدن یک شرکت تجاری در آمریکا که به افراد امکان می دهد یک کپی جدید از گواهی تولد خودشان را دریافت کنند، باعث شده داده های ۷۲۵ هزار درخواست کننده در فضای آنلاین منتشر شود.

اطلاعات ۷۲۵ هزار متقاضی دریافت گواهی تولد در آمریکا فاش شد

سرقت داده های مذکور اطلاعات متنوع مربوط به گواهی های تولد درخواستی را نیز در معرض دید همگان قرار داده است.

اولین بار یک شرکت امنیتی به نام فیدوس اینفورمیشن وقوع این سانحه امنیتی را کشف کرد.

شرکت یادشده درخواست های مذکور را بر روی سرویس کلود آمازون موسوم به AWS ذخیره می کند و برای حفاظت از این اطلاعات از کلمات عبور استفاده نمی کند.

لذا هکرها با حدس زدن آدرس ذخیره سازی داده های مذکور و وارد کردن آنها در مرورگر خود توانسته اند به آنها دسترسی یابند.

نام شرکتی که داده های آن هک شده برای حفظ حریم شخصی و امنیت افرادی که از خدمات آن استفاده می کنند، فاش نشده است.

اطلاعات هک شده مواردی همچون اسامی داوطلبان، تاریخ تولد آنها، آدرس فعلی منزل آنها، ایمیل و شماره تلفن و غیره را در بر می گیرد.

بررسی ها نشان می دهد حتی داده هایی مانند آدرس قبلی افراد، اسامی اعضای خانواده و علت درخواست دریافت مجدد گواهی تولد هم از این طریق افشا شده است.

اطلاعات سرقت شده مربوط به سال ۲۰۱۷ است. شرکت یادشده هر روز حدود ۹۰۰۰ درخواست صدور مجدد گواهی تولد دریافت می کرد.

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

یافته‌های گروه تحقیقاتی مایکروسافت نشان می‌دهد حدود ۴۴ میلیون حساب کاربری فعال در خدمات مختلف این شرکت وجود دارد که از کلمات عبور هک شده یا دارای مشکل امنیتی استفاده می‌کنند.

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

این شرکت تمامی حساب های کاربری مورد استفاده کاربران خود را از ژانویه تا ماه مارس امسال بررسی کرد و پس از مقایسه آنها با داده‌های بیش از سه میلیارد حساب هک شده، به این نتیجه رسید که ۴۴ میلیون حساب کاربری فعال این شرکت به علت مذکور مشکل امنیتی دارند.

مایکروسافت با ارسال پیام‌هایی برای مالکان این حساب‌ها به آنها هشدار داده که باید هر چه سریع تر از کلمات عبور تازه‌ای استفاده کنند تا امنیتشان به خطر نیفتد. این شرکت برخی از پیام های خود را برای مدیران سایت هایی ارسال کرده که حساب های مذکور از طریق آنها مورد استفاده بوده اند.

انگشتری که اثر انگشت مصنوعی تولید می کند

انگشتری ساخته شده که می تواند اثرانگشت مصنوعی تولید کند. این اثر انگشت برای باز کردن قفل موبایل وتایید پرداخت آنلاین کاربرد دارد و فاش شدن آن نیز مانند اطلاعات بیومتریک فرد خطرناک نیست.

انگشتری که اثر انگشت مصنوعی تولید می کند

شرکت امنیت سایبری« کاسپراسکای» یک انگشتر ابداع کرده که می تواند اثر انگشت های یگانه ای بسازد و کاربر می تواند از آن برای باز کردن قفل موبایل یا احراز هویت برای پرداخت استفاده کند.

این انگشتر با پرینتر سه بعدی ساخته می شود و هدف از تولید آن راهی برای جلوگیری از سرقت اطلاعات بیومتریک افراد است.

اثر انگشت واقعی را نمی توان تغییر داد و در صورت لو رفتن، اطلاعات فرد برای همیشه فاش می شود. اما با کمک این وسیله می توان اثر انگشت هایی خاص تولید کرد.

محققان کاسپراسکای برای ساخت این انگشتر با «بنجامین وای» طراح ۳ بعدی همکاری کردند تا یک اثر انگشت مصنوعی بسازند.

این انگشتر از نوعی لاستیک ساخته شده که حاوی هزاران فیبررسانا است و در حلقه ای از جنس نقره قرار گرفته اند.

انگشتری که اثر انگشت مصنوعی تولید می کند

سطح این انگشتر را می توان مانند انگشت واقعی روی اسکنر بیومتریک فشار داد تا قفل موبایل و در را بازیا یک پراخت آنلاین را تایید کند.

برای تضمین یگانه بودن هریک از طرح های اثر انگشت در انگشتری معمولی از یک نرم افزار مخصوص استفاده می شود و سپس به وسیله فیبرهای رسانایی که به طور تصادفی توزیع شده اند، خاص و یگانه می شوند و قابل استفاده خواهند بود.

اگر انگشتر مذکور گم شود یا اثر انگشت تولیدی آن فاش شود، فرد می تواند یک حلقه دیگر را با طرح اثرانگشتی جدید جایگزین کند.

متاسفانه این انگشتر مجهز به ویژگی های امنیتی فقط به شکل طرح اولیه است و شرکت روسی مذکور تصمیمی برای تولید تجاری آن ندارد.

پوتین قانون الزامی شدن نصب اپلیکیشن های روسی را امضا کرد

پوتین یکی از مصوبات جدید دومای روسیه را تایید کرده که به موجب آن نصب برخی اپلیکیشن های روسی به طور پیش فرض بر روی گوشی ها، تلویزیون ها و رایانه های عرضه شده در این کشور الزامی می شود.

پوتین قانون الزامی شدن نصب اپلیکیشن های روسی را امضا کرد

مقامات روسیه که هجوم اپلیکیشن های آمریکایی به بازار فناوری اطلاعات و ارتباطات روسیه را تهدیدی برای اقتصاد و امنیت و کسب و کارهای فناوری محور در این کشور می دانند از مدتی قبل به دنبال الزامی کردن نصب برخی اپلیکیشن های روسی بر روی گوشی ها، تلویزیون های و رایانه های شخصی بوده اند که در این کشور برای فروش به بازار می آید.

بر اساس مصوبه تازه پارلمان روسیه، فروش گوشی های هوشمند، تلویزیون ها و رایانه هایی که بر روی آنها فهرستی از اپلیکیشن های روسی به طور پیش فرض نصب نشده باشند، ممنوع خواهد شد.

ولادیمیر پوتین رئیس جمهور روسیه این مصوبه را امروز امضا کرد تا آن را به صورت قانون درآورد. اجرای این قانون از اول جولای سال آینده میلادی آغاز می شود و قرار است تا آن زمان دولت روسیه فهرستی از این اپلیکیشن های روسی را اعلام کند.

دولت روسیه می گوید اجرای چنین قانونی به برنامه نویسان و توسعه دهندگان روس نیز امکان می دهد تا هر چه بهتر با شرکت های فناوری خارجی که هم اکنون بازار داخلی این کشور را قبضه کرده اند، رقابت کنند.

البته با توجه به سختگیری های برخی شرکت های فناوری آمریکایی مانند اپل در زمینه نصب برنامه های پیش فرض بر روی تولیداتشان مشخص نیست این طرح چگونه اجرا خواهد شد.

برخی صاحب نظران می گویند در صورت مقاومت گوگل، اپل و شرکت های مشابه در این زمینه امکان اخراج آنها از روسیه وجود خواهد داشت و لذا آنها تابع نظرات دولت روسیه خواهند بود.

پیام رسان سیگنال برای آیپد عرضه شد

پیام رسان سیگنال برای آیپد عرضه شد. این اپلیکیشن امنیت بالایی داشته و از زبان های مختلفی پشتیبانی می کند.

سیگنال بروزرسانی جدیدی دریافت کرد. در این آپدیت یک نسخه مخصوص برای آیپدهای اپل در نظر گرفته شده است. همانند نسخه دسکتاپ، کاربران می توانند به صورت همزمان از این پیام رسان در گوشی هوشمند و تبلت خود استفاده کنند.

بنابراین در تمام دستگاه ها می توان پیام ارسال و یا دریافت کرد. در این بروزرسانی شاهد رابط کاربری جدیدی برای تبلت های اپل هستیم.

بروزرسانی جدید پیام رسان سیگنال برای آپید بهینه سازی شده و دیگر به صورت مصنوعی در نمایشگرهای بزرگ، المان های آن تغییر اندازه نمی دهند.

با دریافت این آپدیت، گفتگوهای شما در حالت افقی و عمودی به نمایش گذاشته می شود، بنابراین نحوه نگه داشتن آیپد تاثیر منفی روی تجربه کاربری شما نخواهد داشت.

پیام رسان سیگنال برای آیپد عرضه شد

سیگنال ۳٫۰ به قابلیت تریم ویدیو در اپلیکیشن خود مجهز شده است. توسط این ویژگی می توانید ویدیوهای خود را به هایلایت تبدیل کنید.

در صورتی که خواهان ارسال پیام و یا تماس با کاربر دیگری در یک گروه باشید، می توانید با لمس آواتار آن، چنین کاری را انجام دهید.

در این آپدیت جدید شاهد پشتیبانی این اپلیکیشن از زبان های جدیدی هستیم که برای مثال می‌ توان به هندی، اوکراینی و ویتنامی اشاره کرد.

در نهایت باید به قابلیت فوروارد پیام ها اشاره کرد. کاربران می توانند قبل از فوروارد پیام ها، آن ها را ویرایش و اطلاعات به آن ها اضافه و یا از آن ها حذف کنند.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

فیس‌بوک و توییتر اعلام کردند که احتمالا اطلاعات صدها نفر از کاربرانی که وارد فروشگاه آنلاین گوگل پلی استور شده‌اند، افشا شده است.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

بر اساس گزارش وب سایت the verge، محققان و کارشناسان فعال در حوزه امنیت سایبری که این شرکت‌های تکنولوژی بزرگ را از وجود آسیب‌پذیری‌های جدید موجود در فروشگاه آنلاین و اینترنتی گوگل پلی استور مطلع و باخبر کرده اند، کشف و اعلام کرده اند که به واسطه این حفره امنیتی، توسعه دهندگان خارجی به داده ها و اطلاعات شخصی بسیاری از کاربران گوشی‌های اندرویدی که وارد حساب کاربری خود در فروشگاه آنلاین و اینترنتی گوگل پلی استور شده‌اند، دسترسی پیدا کرده و معلوم نیست از آنها برای چه اهداف و انگیزه‌هایی استفاده کنند.

این گزارش که نخستین بار توسط شبکه CNBC مطرح و رسانه ای شد، باری دیگر فیس بوک و توییتر، به عنوان بزرگترین شبکه‌های اجتماعی در جهان، را در تیررس شمشیر تیز و برنده منتقدان قرار داد و موجب شد امنیت آنها به خصوص فیس بوک برای چندمین بار زیر سوال برود.

هنوز هیچ نشانه ای دال بر اینکه کاربران گوشی های آیفون و سیستم های مبتنی بر iOS نیز به چنین مشکلی دچار شده اند، کشف و اعلام نشده است.

این آسیب پذیری که به نظر می رسد One Audience نام دارد، به توسعه دهندگان خارجی اجازه دسترسی به اطلاعات شخصی کاربران همچون آدرس پست الکترونیک (ایمیل) و نام کاربری آنها را می دهد.

البته به گفته شبکه cNBC، برخی دیگر از اپلیکیشن‌های حوزه عکاسی موجود در پلی استور همچون Photofy و Giant Square نیز با این مشکل امنیتی مواجه شده اند.

سخنگوی فیس بوک در این خصوص به گزارشگر وب سایت the verge گفت: ما سعی داریم علاوه بر رفع کردن هرچه سریعتر این مشکل امنیتی، به آن دسته از کاربرانی که احتمال می‌دهیم اطلاعاتشان در دسترس توسعه دهندگان قرار گرفته باشد، اطلاع دهیم تا هرچه زودتر نام کاربری و گذرواژه حساب خود در پلی استور و همچنین ایمیل شان را تغییر دهند./ایسنا

http://www.bmansoori.ir/register/

داستان ناتمام ضعف‌های امنیتی اینتل

بیش از دو سال پیش بود که ضعف های امنیتی اسپکتر و ملت کشف شده در پردازنده های ساخته شده توسط شرکت آمریکایی اینتل که از سال ۱۹۵۵ میلادی به بعد وجود داشته و باعث شده بود هکرها به اطلاعات ذخیره شده بر روی حافظه رایانه های شخصی دسترسی پیدا کنند، جنجال برانگیز شد و بسیاری از رسانه های خبری به موضوع ضعف امنیت سایبری سخت‌افزارهای اینتل پرداختند.

http://www.bmansoori.ir/register/

در واقع این حفره های امنیتی در پردازنده های اینتل به گونه ای بوده است که به هکرها برای سالهای سال اجازه می داده علاوه بر سرقت کلمات و رمز عبور کاربران، تمامی اطلاعات ذخیره شده موجود در حافظه پردازنده رایانه و گوشی های همراه را به سرقت برده و از آن سوء استفاده کنند این سطح از دسترسی موجب می‌شد به تراشه های دیگری همچون ‏AMD و ARM نیز دسترسی یابند.
با اینکه بعد از انتشار این اخبار بارها اینتل اعلام کرد که در تلاش است هر چه سریع‌تر مشکلات امنیتی مربوطه را برطرف کند اما به نظر می رسد که همچنان درگیر مسائل امنیتی مربوط به سخت افزارهای توسعه داده شده خود بوده و موفقیتی در برطرف کردن این آسیب پذیری ها کسب نکرده است.
به تازگی گروهی از محققان فعال در دانشگاه وریج آمستردام گزارشی منتشر و خاطر نشان کرده اند: با اینکه اینتل قبلاً وعده داده بود نسل جدید پردازنده های خود را با هدف جلوگیری از سوء استفاده های امنیتی با رویکردی بهینه طراحی خواهد کرد اما نتایج کنونی نشان می دهد که در طراحی و ارتقاء امنیت سایبری این محصولات موفق نبوده است.
اینتل، یک شرکت تجهیزات رایانه‌ای در ایالات متحده آمریکاست که در زمینه تولید سخت‌افزارهای رایانه و تلفن همراه، با تمرکز بر مادربورد، کارت شبکه، چیپ‌ست، بلوتوث و حافظه‌های فلش، انواع ریزپردازنده، نیم‌رسانا، مدارهای مجتمع، واحدهای پردازش گرافیکی و سامانه‌های نهفته فعالیت می‌کند.
ارزش سهام اینتل از زمانی که خبر ضعف‌های امنیتی اسپکتر و ملت داون در فضای مجازی منتشر شد، کاهش شدیدی پیدا کرد و این شرکت آمریکایی با مشکلات حقیقی و حقوقی متعددی نیز دست و پنجه نرم کرد.

این ایمیل مخرب را نادیده بگیرید

این ایمیل مخرب را نادیده بگیرید

به‌ تازگی ایمیلی برای کاربران ارسال می‌شود و ادعای هک شدن حساب و برای بازیابی آن درخواست پول می‌کند، در حالی که این ایمیل توسط ربات ارسال شده تا پول کاربران را به سرقت ببرد و راه مقابله این است که کاربر آن را نادیده بگیرد.

این ایمیل مخرب را نادیده بگیرید

با روند روبه‌رشد اینترنت، فعالیت‌های مخرب نیز افزایش یافته و بیراه نیست اگر بگوییم در حال استفاده از اینترنت ایمن نیستیم، زیرا روزانه با خبرهای تکان‌دهنده‌ای روبه‌رو می‌شویم از اینکه چطور یک برنامه باعث نقض حریم خصوصی کاربر شده است.

از طرفی شرکت‌های نرم‌افزاری بزرگ به لطف قراردادها و دسترسی‌های‌ به‌دست‌آمده می‌توانند به‌طور ۲۴ساعته عملکرد کاربران را رصد کنند، یا دردسر هکرهایی که تلاش می‌کنند تا مهارت هکری خود را روی کاربران عادی آزمایش کنند.

معمولاً یک هکر به دو دلیل اقدام به هک حساب کاربری یا سیستم می‌کند.

با اینکه بخواهد اطلاعاتی را از حساب کاربران استخراج کند و یا اینکه قصد اخاذی از کاربرانی که حساب کاربریشان هک شده ‌است را داشته باشد.

امروزه هک یک تجارت است و فرد مهاجم با انگیزه‌های مالی به این ورطه ورود می‌کند.

همان‌طور که در گزارش پلیس فتا آمده است، اخیرا ایمیلی به کاربران ارسال می‌شود که در آن عنوان شده حساب وی هک شده است و از وی درخواست مبلغ ۹۰۳ دلار در قالب بیت‌کوین برای بازیابی حساب را کرده و مدت زمان ۴۸ ساعته را به عنوان ضرب‌الاجل پرداخت هزینه پس از مشاهده این ایمیل اعلام می‌کند.

البته نیازی به نگرانی برای کاربرانی که ایمیلی با متن مشابه فوق را دریافت کرده‌اند، نیست.

این ایمیل تنها یک ایمیل ارسال‌شده توسط ربات بوده تا با ایجاد ترس از اینکه حساب کاربر هک شده، پول وی را به سرقت ببرد.

این مثال تنها یک الگوی ساده است که در آن ایمیل به صورت عمده ارسال شده تا از افراد ناآگاه که در دام آن گرفتار می‌شوند سرقت کند. بنابراین فقط آن را نادیده بگیرید.

از طرفی گاهی اتفاق می‌افتد که ویروس‌های رایانه‌ای در قالب ارسال ایمیل از جانب افراد ناشناس جابه‌جا شده و گاهی دارای عناوین جذابی است که کاربران را برای باز کردن آن‌ها، ترغیب می‌کند.

در برخی موارد نیز درخواستی مبنی بر کلیک کردن روی لینک اینگونه ایمیل‌ها در قالب ایمیل‌های تبلیغاتی فرستاده می‌شود و گیرنده را برای باز کردن ایمیل‌ها تشویق می‌کند.

به همین دلیل کارشناسان هشدار می‌دهند کاربران نباید هر ایمیلی که برایشان ارسال می‌شود را باز کنند، مخصوصاً اگر این ایمیل از فرستنده‌ی ناشناس ارسال شده باشد و اگر موضوع و متن ایمیل جذاب بود، باید با شک و تردید بیش‌تری به آن نگاه کنند.

اما در مواردی که کاربران خیلی ترغیب شدند یا حتماً باید آن ایمیل را باز کنند، لازم است یک‌سری موارد را بررسی و تحت شرایط خاص آن را باز کنند.

اینکه سیستم حفاظت‌شده باشد و مواردی از جمله آپدیت سیستم عامل، آپدیت مرورگر اینترنتی و داشتن آنتی‌ویروس اصلی و معتبر و ترجیحاً با کیفیت، روال‌هایی است که همه باید رعایت کنند.

بنابراین در صورتی که باید یک ایمیل ناشناس و مشکوک را باز کنید، می‌توانید فایل ضمیمه را دانلود کرده، تا آنتی‌ویروس فایل ضمیمه را اسکن کند.

منبع ایسنا