SIEM چیست؟

SIEM مخفف Security Information and Event Management می باشد و وظیفه مدیریت اطلاعات و داده ها را برعهده دارد. این نرم افزار به متخصصان امنیت سازمانی کمک می کند تا بینش و راندمان بالایی در محیط IT داشته باشند.

تکنولوژی SIEM بیش از یک دهه است که وجود دارد و به بازار عرضه شده است و از ابتدای پیدایش نیز در حال پیشرفت و توسعه می باشد. این فناوری دو تکنولوژی SEM و SIM را باهم ترکیب می کند و با استفاده از این کار به جمع آوری، مدیریت و تجزیه و تحلیل داده های ورودی می پردازد.

 نرم افزار SIEM تمام لاگ های شبکه را از طریق زیرساخت های فناوری سازمان، یا سیستم های میزبان و برنامه های کاربردی شبکه و همچنین فایروال ها و آنتی ویروس ها، جمع آوری و تجزیه و تحلیل می کند. این نرم افزار سپس رویدادها و حوادث امنیتی را شناسایی و طبقه بندی و در انتها تجزیه و تحلیل می کند.

نرم افزارهای SIEM بر دو هدف اصلی استوار است :

• ارائه گزارشات مربوط به حوادث و رویدادهای مربوط به امنیت مانند ورود و خروج های موفق و شکست خورده، فعالیت بدافزارها، دیگر فعالیت های مخرب و …
• ارسال هشدار به هنگام دریافت گزارش مشکوک به هنگام تجزیه و تحلیل داده ها

به گفته کارشناسان، سازمان های بزرگ نیاز به اقدامات امنیتی بیشتر در این حوزه دارند با وجود اینکه طی سال های گذشته نیز بسیاری از شرکت ها وارد استفاده از حوزه این فناوری شده اند.

یکی از عوامل اصلی استفاده از نرم افزارهای SIEM برای مراکز عملیات امنیت، استفاده از قابلیت ها و ظرفیت های موجود در بسیاری از محصولات موجود در بازار است. در حال حاضر بسیاری از تکنولوژی های SIEM علاوه بر داده های ورودی، تهدیدات امنیتی را نیز رصد می کنند. چندین محصول SIEM وجود دارد که دارای قابلیت تجزیه و تحلیل هستند که با نظارت بر رفتار شبکه و همچنین رفتار کاربر، اطمینان بالاتری مبنی بر فعالیت های مخرب در شبکه دارد.

شرکت تحقیقاتی و فناوری گارتنر در گزارش ماه می سال ۲۰۱۷ خود در مورد بازار SIEM می گوید:

“نوآوری در بازار محصولات SIEM با سرعت بسیار بالا و هیجان انگیز برای تولید نرم افزار تشخیص تهدید بهتر، در حال پیشرفت است.”

طبق گفته شرکت Gartner، نرم افزارهای SIEM تنها یک بخش کوچکی از کل هزینه های صرف شده برای امنیت شرکت در سراسر جهان را در بر می گیرد. گارتنر هزینه های جهانی برای امنیت سازمان ها را تقریبا ۹۸٫۴ میلیارد دلار برای سال ۲۰۱۷ برآورد می کند که با نرم افزار SIEM حدود ۲٫۴ میلیارد دلار دیگر به این رقم اضافه خواهد شد. گارتنر پیش بینی می کند که هزینه های فناوری SIEM نسبت به سال قبل به ۲٫۴ میلیارد دلار در سال ۲۰۱۸ و ۳٫۴ میلیارد دلار در سال ۲۰۲۱ افزایش خواهد یافت.

به گفته تحلیلگران، نرم افزار SIEM بیشتر توسط سازمان های بزرگ و شرکت های دولتی مورد استفاده قرار می گیرد، در حالیکه انطباق با مقررات همچنان عامل مهمی در استفاده از این فناوری است.

درحالی که برخی از شرکت های متوسط نیز نرم افزار SIEM استفاده می کنند، شرکت های کوچک تمایل به سرمایه گذاری در این حوزه ندارند و بطور کلی در این زمینه سرمایه گذاری نمی کنند. بنا به گفته تحلیل گران، شرکت های کوچک بیشتر تمایل به استفاده از راه حل های ارزان قیمت دارند، در حالی که برای استفاده از یک سیستم SIEM نیز به هزینه ۱۰ هزار دلاری تا بیش از ۱۰۰ هزار دلاری در سال می باشد همچنین علاوه بر این توانایی استخدام نیرو مورد نیاز برای حفظ و استفاده نرم افزار SIEM را نیز ندارند.

بازار محصولات SIEM دارای چندین برند فروشنده غالب براساس فروش جهانی می باشد که عبارتند از Splunk ، IBM و HPE

همچنین برندهای دیگری نیز هستند که در این حوزه فعالیت دارند مانند : Alert Logic ، Intel ، LogRhythm ، ManageEngine ، SolarWinds و Trustwave

انتخاب محصول باید براساس اهداف سازمان ها مورد ارزیابی قرار گیرد تا بتوانند نیاز های خود را به بهترین نحو، برآورده سازند. بسیاری از سازمان ها بطور عمده استفاده از این محصول را برای انطباق و گزارش گیری مورد استفاده قرار می دهند در حالی که برخی از سازمان ها هستند که از نرم افزار های این حوزه برای راه اندازی مرکز SOC استفاده می کنند.

SIEM به عنوان بخشی از SOC و در قسمت Technology قرار می گیرد و امکان متمرکز کردن قابلیت logging برای رخ دادهای امنیتی را برای محیط های سازمانی فراهم می کند و همچنین براساس log های دریافتی آنالیز و گزارش گیری را انجام میدهد.

در شکل زیر گزارش جدول گارتنر را در حوزه محصولات SIEM مشاهده می کنید:

جدول گارتنر

رفع مشکل رایت پروتکت فلش مموری

مشکل Write Protected به این معنی که اجازه فرمت اطلاعات یا اضافه کردن اطلاعات را به شما نمی دهد. اما راه حل رفع مشکل رایت پروتکت در حافظه های جانبی چیست؟

مشکل رایت پروتکت مموری بر طرف شد

اگر شما هم به هنگام کار با فلش مموری ها به خطای Write Protected برخوردکرده اید و نمی توانید اطلاعات خود را فرمت کرده و یا مطالب دیگری به آن اضافه  کنید با مطالعه این مطلب می توانید مشکل خود را به صورت ریشه ای بررسی کنید.در ابتدا باید مطمئن شوید مشکل فلش شما رایت پروتکتت است. آیا مطمئن هستید که پورت USB سالم است؟ یا مطمئنید که فلش خراب نشده؟

پس از اینکه مطمئن شدید مشکل از جانب فلش یا پورت کامیپوتر نیست، در ابتدا باید دید که می توان وضعیت رایت پروتکتت فلش را حذف کرد یا خیر. بنابراین در اولین اقدام با استفاده از ابزار تحت خط فرمان Diskpart اقدام به حذف پروتکتت فلش خواهیم کرد.

 

حذف رایت پروتکتت به واسطه ابزار Diskpart

روی برنامه cmd از منوی استارت، کلیک راست کرده و گزینه Run as Administrator را انتخاب کنید .

 

 

دستور DISKPART را وارد کنید و اینتر بزنید. در واقع Diskpart یک ابزار پارتیشن بندی است که در درون ویندوز وجود دارد  و از طریق دستور های خط فرمان قابل فراخوانی است. با کمک این ابزار خواهید توانست متغیر های درایو USB خود را تغییر دهید.

 اکنون LIST DISK را تایپ کنید و دکمه اینتر را فشار دهید.

 

 

شما لیستی از دیسک ها را همچون شکل زیر مشاهده خواهید کرد. دو دیسک در دسترس خواهد بود:حافظه هارد دیسک (HDD) با نام Disk 0، و فلش درایو USB با نام Disk 1. مقدار حافظه Disk 1 بسیار کمتر از Disk 2 است (7441 مگ در مقابل 298 گیگ)، به همین دلیل متوجه می شویم که Disk 1 نشان دهنده فلش درایو و Disk 2 حافظه سیستم را نشان می دهد. از این قسمت به بعد باید بسیار دقت کنید، زیرا نباید کار خود را با یک دیسک اشتباه شروع کنید.

 

 

 در این زمان که مشخص شده فلش درایو ما Disk 1 است باید عبارت SELECT DISK 1 را بنویسیم و اینتتر کنیم. در پاسخ به شما گفته خواهد شد که دیسک مورد نظر (Disk 1) انتخاب شده است. اکنون ATTRIBUTES DISK را تایپ کنید تا ابزار DISKPART همه چیز هایی که در مورد فلش درایو می داند را به شما بگوید. مهمترین  جوابی که دریافت می کنید، خط اولی است که گفته شده Current Read-only State:Yes، از این طریق متوجه می شویم که فلش درایو رایت پروتکتت است.

برای حذف کردن ویژگی رایت پروتکتت با استفاده از این ابزار خط فرمان، دستور ATTRIBUTES DISK CLEAR READONLY  را تایپ و سپس اِنتر کنید. اگر رفع شدن مشکل رایت پروتکتت موفقیت آمیز بود با نوشته Disk attributes cleared successfully مواجه خواهید شد.

به منظور بررسی و آزمایش موفقیت آمیز بودن حذف رایت پروتکتت، یک فایل کوچک را بر روی فلش کپی کنید، اگر کپی شد که عالی است، اما اگر هنوز پیغام خطای write-protect را دریافت می کنید وقت آن است تا راه بهتری را امتحان کنیم.

 

فرمت دیسک

قبل از شروع باید برای از بین بردن رایت پروتکتت اقدام کرده باشید. در ابتدا سعی کردیم فلش USB را با استفاده از ابزار Diskpart قابل نوشتن/فرمت کردن کنیم اما این ابزار نتوانست رایت پروتکتت موجود بر روی فلش درایو را از بین ببرد. اکنون می بایست با استفاده ابزار های فرمت کننده دیسک، فلش را به کلی فرمت کنیم.

 

ابزار های فرمت USB

ابزار تعمیر شرکت Apacer

برنامه Apacer USB 3.0 Repair دارای دو عملکرد است، فرمت کردن و ریستور.

 

 

 همانطور که اطلاع دارید، فرمت به معنی حذف حافظه USB و ریستور به معنی بازگردانی حافظه فلش است. در واقع فلش USB شما از یک فرمت ریشه ای دوباره به حالت اول خود بازگردانده (Restore) می شود. با انجام این دو اقدام حافظه  فلش شما به صورت کلی حذف خواهد شد و دوباره به حالت اول کارخانه برخواهد گشت.

 

 

 البته ممکن است حتی فرمت کردن فلش نیز تاثیری در حل مشکل نداشته باشد و وضعیت رایت پروتکتت دست نخورده باقی بماند. اگر هیچکدام از این کار ها بر روی فلش Apacer شما موفق نبود تا رایت پروتکتت را حذف کند، لازم است تا با استفاده از گارانتی این فلش را تعویض کنید تا شاید در کارخانه بتوان دوباره این فلش را بازیابی کرد.

 

ابزار فرمت Kingston

همین که نرم افزار شروع به کار کند درایو فلش و فایل سیستم آن را شناسایی خواهد کرد.

 

 

بسیار سریع این ابزار کار خود را به سرانجام می رساند، اما ممکن است هنوز فلش درایو شما رایت پروتکتت بماند. اگر دستگاه مورد تست یکی از محصولات شرکت کینگستون است باشد احتمال موفقیت آمیز بودن اینکار بسیار بیشتر خواهد بود.

این شیوه در ویندوز 7 و بر روی حافظه های فلش کینگ استون بهترین نتیجه را می دهد.

 

این دو برنامه تنها ابزار هایی هستند که می توانند برای آزمایش فرمت حافظه فلش به کار روند. بنابراین احتمال اینکه در رفع این مشکل موفق شوید بسیار زیاد است. راه حل دیگر می تواند مراجعه به سایت سازنده فلش درایو باشد. شاید در سایت سازنده روشی برای تعمیر فلش گفته شده باشد. اما اگر باز هم به نتیجه ای نرسیدید و فلش شما هنوز بلااستفاده است، همانطور که پیش تر گفته شد باید با استفاده از گارانتی فلش خود را با یک فلش جدید تعویض کنید.

آسیب پذیری سیستمی جدید بر نسخه های مختلف ویندوز

اخیرا مایکروسافت، گزارشی در مورد یک آسیب پذیری مهم Denial of Service منتشر کرده که بر روی اغلب نسخه های مختلف سیستم عامل ویندوز وجود دارد. این آسیب پذیری، ویندوزهای نسخه 7 تا 10 ، همچنین ویندوز نسخه 8.1 RT و ویندوز سرورهای 2008، 2012 و 2016 را تحت تاثیر قرار می دهد. همچنین نسخه های Core Installation ویندوز های سرور هم شامل این آسیب پذیری می باشد که متاسفانه در آخرین به روز رسانی های ماه سپتامبر کمپانی مایکروسافت برای نسخه های مختلف ویندوز، وصله ی امنیتی برای این آسیب پذیری منتشر نشده است.
این آسیب پذیری که دارای شماره شناسایی CVE-2018-5391 می باشد توسط حمله ی FragmentSmack صورت می گیرد که مربوطه به پاسخ دهنده به درخواست های IP fragmentation بوده و این خود در پروسه تخصیص دادن ماکزیمم سایز پاکت های در حال انتقال یا همان MTU جهت رسیدن به End Node مورد استفاده قرار می گیرد. همانطور که می دانید، در حالت کلی حمله ی IP fragmentation نوعی از حملات جهت DoS کردن هدف می باشد که کامپیوتر قربانی چندین Packet با سایزی کوچکتر از مقداری که انتظار می رود از IP های مختلف دریافت می کند و درگیر شدن بیش از حد سیستم برای reassemble کردن Packet های مربوطه، باعث بوجود آمدن این حمله می گردد.
حمله ی FragmentSmack نوعی از حملات TCP fragmentation می باشد و گاهی آن را با نام Teardrop معرفی می کنند، در حالت کلی باعث جلوگیری از reassembling شدن پاکت ها در مقصد می گردد. این آسیب پذیری که از زمان ویندوز 3.1 و ویندوز 95 هم وجود داشته و باعث crash شدن سیستم عامل می شد، هم اکنون بر روی ویندوز نسخه 7 و بالاتر هم مشاهده شده است.
بر طبق گفته های منتشرشده مایکروسافت، نفوذگر پاکت های متوالی IP Fragment با سایز 8 بایت که offset های شروعی آنها به صورت تصادفی تعیین شده است را برای قربانی می فرستد، اما با نگه داشتن آخرین fragment و Exploit کردن موفقیت آمیز آسیب پذیری، توسط بالا بردن درصد کارکرد CPU می تواند سیستم قربانی را DoS کند.
مایکروسافت تا زمانی که وصله ی امنیتی رسمی برای این آسیب پذیری ارائه کند، راه حل زیر را برای غیر فعال کردن ساختار Packet Reassembly ارائه کرده که این راه حل باعث جلوگیری از حمله ی FragmentSmack و DoS شدن سیستم های ویندوزی می گردد. این کار توسط اجرای دستورات زیر در سیستم عامل ممکن می شود:
Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0
شایان ذکر است که این آسیب پذیری در سیستم عامل های لینوکسی هم منتشر شده که با نام SegmentSmack معرفی شده است و شماره شناسایی آن CVE-2018-5390 می باشد. این آسیب پذیری لینوکس هایی با نسخه هسته 3.9 و بالاتر را تحت تاثیر قرار می دهد اما در اکثر توزیع های لینوکسی مهم، این آسیب پذیری در به روز رسانی های جدید خود رفع شده است

آسیب پذیری سیستمی جدید بر نسخه های مختلف ویندوز

اخیرا مایکروسافت، گزارشی در مورد یک آسیب پذیری مهم Denial of Service منتشر کرده که بر روی اغلب نسخه های مختلف سیستم عامل ویندوز وجود دارد. این آسیب پذیری، ویندوزهای نسخه 7 تا 10 ، همچنین ویندوز نسخه 8.1 RT و ویندوز سرورهای 2008، 2012 و 2016 را تحت تاثیر قرار می دهد. همچنین نسخه های Core Installation ویندوز های سرور هم شامل این آسیب پذیری می باشد که متاسفانه در آخرین به روز رسانی های ماه سپتامبر کمپانی مایکروسافت برای نسخه های مختلف ویندوز، وصله ی امنیتی برای این آسیب پذیری منتشر نشده است.
این آسیب پذیری که دارای شماره شناسایی CVE-2018-5391 می باشد توسط حمله ی FragmentSmack صورت می گیرد که مربوطه به پاسخ دهنده به درخواست های IP fragmentation بوده و این خود در پروسه تخصیص دادن ماکزیمم سایز پاکت های در حال انتقال یا همان MTU جهت رسیدن به End Node مورد استفاده قرار می گیرد. همانطور که می دانید، در حالت کلی حمله ی IP fragmentation نوعی از حملات جهت DoS کردن هدف می باشد که کامپیوتر قربانی چندین Packet با سایزی کوچکتر از مقداری که انتظار می رود از IP های مختلف دریافت می کند و درگیر شدن بیش از حد سیستم برای reassemble کردن Packet های مربوطه، باعث بوجود آمدن این حمله می گردد.
حمله ی FragmentSmack نوعی از حملات TCP fragmentation می باشد و گاهی آن را با نام Teardrop معرفی می کنند، در حالت کلی باعث جلوگیری از reassembling شدن پاکت ها در مقصد می گردد. این آسیب پذیری که از زمان ویندوز 3.1 و ویندوز 95 هم وجود داشته و باعث crash شدن سیستم عامل می شد، هم اکنون بر روی ویندوز نسخه 7 و بالاتر هم مشاهده شده است.
بر طبق گفته های منتشرشده مایکروسافت، نفوذگر پاکت های متوالی IP Fragment با سایز 8 بایت که offset های شروعی آنها به صورت تصادفی تعیین شده است را برای قربانی می فرستد، اما با نگه داشتن آخرین fragment و Exploit کردن موفقیت آمیز آسیب پذیری، توسط بالا بردن درصد کارکرد CPU می تواند سیستم قربانی را DoS کند.
مایکروسافت تا زمانی که وصله ی امنیتی رسمی برای این آسیب پذیری ارائه کند، راه حل زیر را برای غیر فعال کردن ساختار Packet Reassembly ارائه کرده که این راه حل باعث جلوگیری از حمله ی FragmentSmack و DoS شدن سیستم های ویندوزی می گردد. این کار توسط اجرای دستورات زیر در سیستم عامل ممکن می شود:
Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0
شایان ذکر است که این آسیب پذیری در سیستم عامل های لینوکسی هم منتشر شده که با نام SegmentSmack معرفی شده است و شماره شناسایی آن CVE-2018-5390 می باشد. این آسیب پذیری لینوکس هایی با نسخه هسته 3.9 و بالاتر را تحت تاثیر قرار می دهد اما در اکثر توزیع های لینوکسی مهم، این آسیب پذیری در به روز رسانی های جدید خود رفع شده است

روش های کاربردی مقابله با بدافزارها

شاید بسیاری از شما بد افزارها را بشناسید، یا لااقل این واژه برایتان آشنا باشد. در توضیح بدافزارها یا Malware ها به بیان ساده، باید گفت که برنامه هایی کوچک و مخرب هستند که میتوانند اطلاعات را نابود کنندو باعث ایجاد صدمه و اختلال در کامپیوترها شوند. در واقع بدافزار به طیف گسترده ای از برنامه های مخرب اشاره دارد که هر کدام تحت شرایط خاصی برای اهداف جاسوسی و سرقت اطلاعات، تولید و تکثیر می شوند و می توانند موجب به خطر افتادن هویت شوند. اما جای نگرانی نیست، روش های انتشار این نرم افزارها اغلب شناخته شده و می توان با رعایت مواردی کوچک تا حد قابل توجهی از آلودگی آن ها جلوگیری کرد.

برای حاصل شدن امنیت و اطمینان خاطر برای رایانه خود بهتر است فقط صفحات مطمئن را باز کنید اگر به لینک یا فایلی برای دانلود اطمینان ندارید، از بازکردن یا بارگذاری آن جلوگیری کنید. اغلب بدافزارها در سایت هایی که محتوای غیرقانونی دارند دیده می شوند. برخی برنامه ها نیز می توانند در یافتن این سایت ها موثر باشند به عنوان مثال Web of Trust WOT یک ابزارک برای مرورگرهای اینترنتی است که علاوه بر یک پایگاه اطلاعاتی بزرگ از سایت های آلوده، دارای برخی روش های شناسایی است.

HTML را غیرفعال کنید. ایمیل، یکی از موثرترین شیوه های انتشار بدافزارها است. زمانی که یک ایمیل را باز می کنید اگر محتوای آن آلوده به بدافزار باشد می تواند به صورت خودکار و بدون هیچ اطلاعی اقدام به اجرا و نصب اسکریپت های مخرب کند. اگر اجرای فرمان های HTML در ایمیل فعال شده باشد، بدافزارها می توانند از طریق اسکریپت ها اجرا شوند. به همین دلیل است که سرویس دهنده های معتبر، عکس ها و محتوای چندرسانه ای را در حالت عادی نشان نمی دهند و قبل از نمایش آنها از کاربر اجازه می گیرند. بهتر است به فرستنده هایی که اطمینان دارید اجازه نمایش محتوا را بدهید و مابقی را فیلتر کنید. پیوست ناشناس دانلود نکنید. به عنوان مثال ایمیلی را دریافت می کنید که ناشناس است اما شما را ترغیب می کند که برای اطلاعات بیشتر به پیوست و فایل ضمیمه ایمیل مراجعه کنید. این ضمیمه ها می توانند آلوده به بدافزارها باشند پس اگر فرستنده را نمی شناسید برای دستیابی به اطلاعات بیشتر تلاش نکنید. اگر این اطلاعات واقعا مهم باشند از شما خواسته می شود که به وب سایت مربوطه مراجعه کنید.

وقتی در حال گشت و گذار در اینترنت هستید ممکن است یک صفحه اینترنتی به شما هشدار دهد که سیستم شما آلوده است. یک سری اسم و عدد هم در آن آورده شده که مطمئن شوید وضعیت تا چه حد بحرانی است. برای جلوگیری از آلودگی و پاکسازی رایانه، شما را به یک صفحه جدید راهنمایی می کند و لینک دانلود یک آنتی ویروس را در اختیارتان قرار می دهد. با دانلود این آنتی ویروس در حقیقت گرفتار ویروس اصلی می شوید و آنچه تاکنون دیده اید تنها ظاهرسازی برای دانلود ویروس اصلی بوده است. این روش یکی از موثرترین شیوه های فریب کاربران است و برای پیشگیری از آلودگی کافی است که پنجره را ببندید.

درایوهای بیرونی را کنترل کنید. زمانی که یک بدافزار رایانه را آلوده می کند قبل از هر اقدامی به دنبال روشی برای تکثیر و انتشار خود است. به همین دلیل تمام خروجی ها که توانایی ذخیره اطلاعات را دارند می توانند به بدافزارها آلوده شوند. فرقی نمی کند که این خروجی درون شبکه است یا یک فلش دیسک که به سیستم متصل شده و حتی ممکن است این فایل ها روی دیسک هم ذخیره شوند. قبل از بازکردن فلش ها حتما محتویات آن را با آنتی ویروس اسکن کنید. برنامه های مطمین را نصب کنید. وقتی یک نرم افزار را نصب می کنید ممکن است بدون اطلاع شما به همراه آن تعدادی از جاسوس ها و برنامه های مخرب هم نصب شوند.

یکی از روش هایی که اخیرا رایج شده، پیشنهاد نصب نوار ابزار روی مرورگر اینترنتی است تا از طریق آن بتوانید به برخی از امکانات سایت دسترسی داشته باشید و از آخرین تغییرات آن مطلع شوید. پیشنهاد می کنیم این مورد را تنها برای سایت های معتبر انجام دهید و از نصب هرگونه برنامه از تولیدکنندگان یا سایت های ناشناس خودداری کنید.

هشدار به دارندگان گوشی‌های اندروید

محققان امینتی موسسه Bitdefender به تازگی اعلام کرده‌اند که گوشی‌های هوشمند اندروید در معرض جاسوس‌افزار و بدافزار خطرناکی هستند که به هکرها و مجرم‌های سایبری اجازه دسترسی به اطلاعات این گوشی‌ها را می‌دهد.

هکرهای این گوشی‌های هوشمند، به اطلاعات تماس، پیام‌ها، گالری تصاویر و ویدئوهای کاربران دسترسی پیدا کرده و امکان ارسال و دریافت پیام را به دست آورده‌اند. آن‌ها هم‌چنین به مکان جغرافیایی گوشی‌های هک‌شده نیز دسترسی پیدا کرده‌اند.

 گوشی‌های اندروید به علت Open Source بودن و طراحی سیستم عامل آن‌ها بسیار مورد حمله قرار گرفته‌است. و هکرهای پرشماری توانسته‌اند از گوشی‌های قربانیان سوء استفاده کنند.

باج‌افزار گونه‌ای از بدافزار است که هکرها را قادر می‌سازد کنترل سیستم را به دست گرفته و اطلاعات کاربر را فاش می‌کند. باج‌افزارها معمولاً از قربانیان خود تقاضای پول می‌کنند.

‫ هشدارهای امنیتی مهم سیسکو

کمپانی سیسکو در جدیدترین اخبار منتشره از بخش امنیتی خود اعلام کرده است که 30 آسیب پذیری جدید در محصولات خود کشف کرده است که 16 آسیب پذیری دارای اهمیت بالایی هستند. حدود نیمی از این آسیب پذیری ها با درجه اخطار High مشخص شده است که نشان دهنده خطرناک بودن این آسیب پذیری ها می باشد.
سیسکو اعلام کرده است تمامی محصولاتی که از Apache Struts استفاده می کنند آسیب پذیر نبوده و تنها یکی از محصولات این کمپانی تحت تاثیر آسیب پذیری اخیر و خطرناک RCE بر روی Apache Struts می باشد. محصولاتی هم که از این آسیب پذیری رنج می برند، به زودی به روز رسانی شده و یا Patch های امنیتی برای آنها ارائه خواهد شد. لیست این محصولات را در تصویر زیر مشاهده می نمایید:

یکی دیگر از آسیب پذیری های منتشر شده، آسیب پذیری خطرناک بر روی Cisco Umbrella API می باشد که به نفوذگر این اجازه را می دهد پس از نفوذ، از راه دور توانایی مشاهده و اعمال تغییرات بر روی داده های محصولات آسیب پذیر را داشته باشد. همچنین محصولات Umbrella Enterprise Roaming Client و Enterprise Roaming Module آن دارای آسیب پذیری Privilege Escalation به شماره شناسایی های CVE-2018-0437 و CVE-2018-0438 هستند که این آسیب پذیری ها در سطح خطرناک طبقه بندی شده اند.
از دیگر آسیب پذیری های خطرناک اعلام شده توسط این کمپانی، سه آسیب پذیری مهم بر روی محصولات دیوارآتش و مسیریاب های سری RV-series می باشد. در این میان محصولات RV110W Wireless-N VPN Firewall و RV130W Wireless-N Multifunction VPN Router و RV215W Wireless-N VPN Router به صورت اختصاصی توسط سیسکو معرفی شده است. این آسیب پذیری ها که هم اکنون توسط مشخصه CVE-2018-0423 معرفی شده است به صورت Buffer Overflow بر روی Management Interface بوده است که اجازه ی حمله ی DoS و همچنین امکان اجرای کدهای مخرب را بر روی محصول آسیب پذیر را به نفوذگر می دهد. نفوذگر می تواند توسط ارسال درخواست های آلوده به Device های فوق، به صورت کامل عملیات Exploiting را انجام داده و به دستگاه دسترسی کامل را پیدا کند. همچنین روترها و دیوارآتش های مشابه در همان سری، دارای آسیب پذیری Directory Traversal با شماره شناسایی CVE-2018-0426 و آسیب پذیری Command Injection به شماره شناسایی CVE-2018-0424 و آسیب پذیری Information Disclosure به شماره شناسایی CVE-2018-0425 می باشند که همگی این آسیب پذیری ها دارای سطح آسیب پذیری خطرناک می باشند. در ادامه لیست Device های آسیب پذیر مهم را مشاهده می فرمائید:
• Cisco Webex Meetings client for Windows - privilege escalation (CVE-2018-0422 )
• Cisco Webex Teams - information disclosure and modification (CVE-2018-0436)
• Cisco SD-WAN Solution - certificate validation (CVE-2018-0434), command injection (CVE-2018-0433), privilege escalation (CVE-2018-0432)
• Cisco Prime Access Registrar - denial of service (CVE-2018-0421)
• Cisco Integrated Management Controller - command injection (CVE-2018-0430 and CVE-2018-0431)
• Cisco Data Center Network Manager - privilege escalation to the underlying operating system (CVE-2018-0440)

کشف بدافزار خطرناک اندرویدی با قابلیت سرقت اطلاعات بانکی، انتقال تماس و فعالیت‌های باج‌افزاری

محققان Quick Heal یک تروجان جدید اندروید را کشف کردند که شامل قابلیت‌های تروجان بانکداری، انتقال تماس، ضبط صدا، ثبت ضربات کلید و فعالیت‌های باج افزاری است. این بدافزار، برنامه‌های بانکی محبوب مانند HFC، ICICI، SBI، Axis Bank و دیگر کیف پول‌های الکترونیکی را هدف قرار داده است.
اپراتور این بدافزار برای موفقیت در حمله، نیاز به تعامل بیشتری با کاربر دارد و تا زمان دسترسی به مجوز "AccessibilityService"، صفحه‌ی تنظیمات دسترسی را به کاربر نمایش می‌دهد. داشتن قابلیت "AccessibilityService" به این بدافزار اجازه می‌دهد تا بدون نیاز به اجازه‌ی کاربر، به همه‌ی مجوزها دسترسی پیدا کند.

باج افزار PooleZoor

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام PooleZoor خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران ایرانی می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری استفاده می‌کند و تنها فایل‌هایی با پسوندهای مشخص که بر روی Desktop سیستم قربانیان موجود هستند را رمزگذاری می‌کند. باج افزار مورد اشاره پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به ".PooleZoor" تغییر می‌دهد و از قربانیان تقاضای پرداخت مبلغ یک میلیون تومان به عنوان باج می‌کند که طبق گفته‌ی مهاجمان این مبلغ صرف امور خیریه خواهد شد. از آنجایی که با یک نسخه آفلاین از پروژه متن باز HiddenTear طرف هستیم و با توجه به تشابهات موجود در کد باج‌افزار با نسخه اصلی آن، به نظر می‌رسد مهاجمین صرفاً با اعمال تغییرات اندک در کد منبع این باج‌افزار نسبت به انتشار آن اقدام نموده اند. لذا با توجه به نقایص ذاتی موجود در پروژه HiddenTear ، فایل‌های رمزگذاری شده توسط این باج‌افزار براحتی قابل رمزگشایی می‌باشند.

فضای ذخیره سازی ابری کجا قرار دارد و آیا امن است؟

 زمانی که شما ایمیل ارسال می‌کنید، متن ایمیل در چه محلی ذخیره می‌شود؟ پیوست‌های موجود در ایمیل در چه محلی ذخیره می‌شوند؟ چرا مردم در سراسر دنیا به نگهداری داده‌های خود در فضای ابری روی آورده‌اند و به‌عنوان مثال کمتر به سراغ موبایل‌هایی با ظرفیت داخلی بالا می‌روند؟ در ادامه به این موضوع پرداخته خواهد شد.

 مرکز پردازش ابری در واش، کویینسی

کوئنتین هاردی، معاون سردبیر روزنامه تایمز به موضوع «محل قرارگیری داده‌ها در فضای ابری» پاسخ می‌دهد:

 «ذخیره‌سازی اَبری» روی هارد دیسک انجام می‌شود و از ذخیره‌سازی‌های معمول، امن‌تر است.

چه چیزی ذخیره‌سازی ابری را متفاوت می‌کند؟ برخلاف ذخیره‌سازی در دستگاه شخصی خود شما (همانند موبایل، یا هارد دیسک لپ‌تاپ)، داده‌های ابری روی محل دیگری «در سرورهایی که متعلق به شرکت‌های بزرگ است» ذخیره می‌شوند و شما می‌توانید از طریق اینترنت به آن داده‌ها دست‌یابی پیدا کنید.

هنگامی‌که مردم به پردازش ابری فکر می‌کنند، اغلب آن‌ها به یاد فضای ابری «متصل به اینترنت» همانند آمازون، مایکروسافت و گوگل می‌افتند. اگر شما از جیمیل، دراپ‌باکس یا آفیس 365 استفاده می‌کنید، در حقیقت از سرویس ابری استفاده می‌کنید. همچنین نوعی فضای ابری وجود دارد که به‌عنوان‌ مثال عکس‌های شما را در فضای مجازی نگهداری می‌کند (همانند فیس‌بوک یا توییتر) یا ایمیل‌ها و موسیقی‌های شما را نگه می‌دارند (همانند اپل یا گوگل).

هرکدام از این شرکت‌ها سیستم پردازش ابری «سرورهای کامپیوتری و دستگاه‌های ذخیره‌سازی متصل شده به شبکه‌های ارتباطی کامپیوتری» دارند و به تمام دنیا سرویس‌دهی می‌کنند. سرورهای فیس‌بوک می‌توانند به بیش از یک میلیارد نفر اجازه‌ی تعامل با یکدیگر بدهند. داده‌های شما معمولا در نزدیک‌ترین مرکز داده به محل زندگی شما ذخیره‌سازی و نگه‌داری می‌شود.

شرکت‌های مستقل نیز می‌توانند فضای ابری مختص به خود (که فضای ابری خصوصی نامیده می‌شود) داشته باشند و کارمندان و مشتریان آن شرکت از طریق اینترنت و از طریق شبکه خصوصی خود، می‌توانند به این فضا دسترسی داشته باشند.

پردازش ابری می‌تواند به گونه‌ی متفاوتی اطلاعات را پردازش کند. آن‌ها از نرم‌افزارهای مخصوصی استفاده می‌کنند که می‌توانند حجم کاری را با دستگاه‌های مختلف به اشتراک بگذارد. عکس‌های شما در فیس‌بوک محل ذخیره‌سازی ثابتی ندارند و روی یک چیپ خاص ذخیره نمی‌شوند، بلکه ممکن است بین کامپیوترها جابه‌جا شوند.

وقتی حجم کاری به اشتراک گذاشته می‌شود، کامپیوترها می‌توانند تقریبا با حداکثر ظرفیت کاری خود «با انجام چند کار هم‌زمان» کار کنند. این کار بسیار مؤثرتر از حالتی است که هر کامپیوتر در هرزمانی فقط یک کار را انجام بدهد.

برای کاربران اهمیتی ندارد که داده‌های آن‌ها در حال حاضر در چه مکانی ذخیره‌شده است. پردازش‌ها در بخش ابری انجام می‌پذیرد و حالت ایده‌آل این است که اگر یکی از پردازشگرها از کار بیافتد، بخش دیگری وظایف پردازشی را با کمترین تأخیر بر عهده می‌گیرد.

در حال حاضر پردازش ابری در همه‌جا وجود دارد که خود این موضوع یکی از دلایل اصلی نگرانی مردم در ارتباط با امنیت داده‌های آن‌ها است. ما بسیار شنیده‌ایم که هکرها از طریق اینترنت به داده‌های بسیاری از مردم دسترسی پیداکرده‌اند. بسیاری از این هک‌ها در سرورهای قدیمی انجام می‌شود. هیچ‌کدام از هک‌های مهم در فضای ابری عمومی انجام‌نشده‌اند.

همان‌گونه که نگه‌داشتن پول در خزانه بانک از نگه‌داشتن آن در کمد شما امن‌تر است، نگه‌داری داده‌های شما نیز در فضای ابری امن‌تر خواهد بود و از آن‌ها محافظت می‌شود.

حفاظت از فضای ابری بزرگ عمومی شغل تعدادی از بهترین دانشمندان کامپیوتر است که در محل‌هایی همانند آژانس امنیت ملی و دانشگاه استنفورد استخدام‌شده‌اند تا به‌سختی در ارتباط با امنیت، رمزنگاری داده‌ها و کلاه‌برداری آنلاین، فکر کنند. آن‌ها به‌خوبی از پس امن نگه‌داشتن این فضای آنلاین برآمده‌اند. البته حداقل تاکنون که چنین بوده است.