خانه » اخبار و اطلاعیه‌ها » صفحه 24

افشای آخرین آسیب‌پذیری در سرویس SMB ویندوز با نام SMBLoris

پژوهشگران امنیتی مدعی شده‌اند که یک آسیب‌پذیری ۲۰ ساله را در سرویس SMB ویندوز کشف کرده‌اند و آن را “SMBloris” نام نهاده‌اند. پژوهشگران قرار است این آسیب پذیری را در نشست امنیتی “DEFCON” توضیح دهند.
سرویس SMB به طور پایه‌ای در مایکروسافت تعریف شده است و دسترسی اشتراکی به پرونده‌ها، چاپگرها و درگاههای سریال را فراهم می‌کند. همچنین سال‌ها قبل توزیعی از این سرویس برای لینوکس با نام “Samba” توسعه داده شده است که می‌توانند منابع شبکه‌ای را با سیستم‌های ویندوزی به اشتراک بگذارند. به عبارت دیگر امروزه کمتر شرکتی را می‌توان پیدا کرد که از سرویس SMB استفاده نمی‌کند. اخیراً در بررسی‌هایی که روی حملات باج‌افزاری “WannaCry” و “NotPetya” انجام شده بود، یک آسیب‌پذیری ۲۰ ساله در SMB کشف شده است که پژوهشگران آن را SMBloris نام‌گذاری کرده‌اند. این بهره‌برداری یک حمله‌ رد خدمت است که تمامی نسخه‌های پروتکل SMB و تمامی سیستم‌عامل‌ها تا ویندوز ۲۰۰۰ را تحت تأثیر قرار داده است.

منابع:

🌏: http://securityaffairs.co
🇮🇷: کاشف

نوشته شده در 6th آگوست, 2017

پرداخت با مسترکارت ازطریق کیف پول الکترونیکی پی‌پل در آسیا و اقیانوسیه

دو شرکت مسترکارت و پی‌پل اعلام کردند که می‌خواهند همکاری و فعالیت‌های مشارکتی‌شان را وارد حوزه آسیا و اقیانوسیه کنند و در این منطقه هم امکان پرداخت با مسترکارت از طریق پی‌پل را برای کاربران فراهم کنند.
درواقع هر دو شرکت امیدوارند که بتوانند با نهایت استفاده و بهره‌بری از تکنولوژی‌های یکدیگر، فعالیت‌هایشان را در منطقه به‌خوبی توسعه و گسترش دهند.
همکاری مسترکارت و پی‌پل، این امکان را در اختیار مصرف‌کنندگان و کسب‌وکارهای کوچک در منطقه آسیا و اقیانوسیه قرار می‌دهد تا بتوانند سرمایه‌های موجود در کیف پول الکترونیکی پی‌پل‌شان را به‌صورت پول نقد به کارت اعتباری مسترکارت خود انتقال دهند.
مسترکارت به‌عنوان یک روش پرداخت به کیف پول پی‌پل اضافه شده است و مصرف‌کنندگان می‌توانند در صورت تمایل، آن را به گزینه پرداخت پیش‌فرض خود نیز تبدیل کنند.
همچنین پی‌پل با استفاده از سرویس توکنیزاسیون مسترکارت، این امکان را فراهم کرده است تا کیف پول دیجیتالی‌اش نزد بیش از ۶.۵ میلیون فروشنده در سراسر دنیا پذیرش شود.
از دیگر مزایای همکاری میان دو شرکت این است که مسترپس نیز به‌عنوان گزینه پرداخت برای فروشندگانی ارائه می‌شود که فرایندهای پرداختشان را از طریق شرکت Braintree، از شرکت‌های وابسته پی‌پل، انجام می‌دهند.

 

🌐منبع خبر: پایگاه خبری راه‌پرداخت

نوشته شده در 6th آگوست, 2017

افزوده شدن مولفه کیلاگر به بدافزار بانکی اندرویدی SVPENG

نویسندگان بدافزار بانکی اندرویدی با نام “Svpeng” به تازگی یک مولفۀ کیلاگر به بدافزار خود افزوده‌اند که به مهاجمین یک راه تازه برای ربودن اطلاعات حساس کاربران ارایه می‌دهد. “Roman Unuchek”- تحلیلگر ارشد بدافزار شرکت امنیتی کسپرسکی- گفته است او یک نسخه تازه از این تروجان با مولفه کیلاگر را شناسایی کرده است که بعد از استقرار روی دستگاه اندرویدی از ویژگی ” Accessibility Services ” سوء استفاده می‌کند. با توجه به گزارش این پژوهشگر، آخرین نسخۀ این بدافزار زبان دستگاه موبایل را بررسی می‌کند، اگر زبان دستگاه روی زبان روسی تنظیم شده باشد، در گام بعد این بدافزار از دستگاه درخواست می‌کند که از ویژگی اندرویدی Accessibility Services استفاده کند و سپس دستگاه به مجموعه‌ای از تهدیدات خارجی آسیب‌پذیر می‌شود. تخمین زده می‌شود این بدافزار اندرویدی تنها در روسیه ۱ میلیون دلار (۵۰ میلیون روبل) را با آلوده ساختن ۳۵۰۰۰۰ دستگاه در سالهای ۲۰۱۳ و ۲۰۱۴ ربوده باشد.

منابع:

🌏: http://www.securitynewspaper.com
🇮🇷: کاشف

نوشته شده در 6th آگوست, 2017

واعظی: امکان پرداخت موبایلی بدون نیاز به پسورد/شرایط دشوار دادستانی برای رفع فیلترینگ

وزیر ارتباطات با اشاره به مذاکره با بانک مرکزی برای ارائه پرداخت موبایلی اعلام کرد: در این سیستم، پرداختهایی تا یک سقف معین نیازی به وارد کردن کد در پسورد ندارند.
محمود واعظی امروز در حاشیه رونمایی از کارپوشه ملی ایرانیان با ارائه توضیحاتی درباره مذاکره با بانک مرکزی برای پرداخت موبایلی گفت: در گذشته بانک مرکزی در برداشت‌هایی که از طریق پرداخت موبایلی وجود داشت، محتاط عمل می‌کردند. در جلسه‌ای که با آقای سیف و همکاران ایشان داشتیم، آنها اطمینان پیدا کردند سبکی که ما ارائه کردیم و امروز در دنیا مصطلح است، لطمه‌ای به رگولاتوری مالی و بانکی آنها وارد نمی‌کند و مردم نیز امنیت دارند. همچنین تداخلی در مسائل بانکی وجود نخواهد داشت.
وی ادامه داد: بنابراین آنها به ما قول دادند با توجه به فعال کردن دولت الکترونیکی از روز گذشته، بخشی از این فعالیت‌های بانکی از طریق موبایل می‌تواند مورد استفاده قرار گیرد و بخشی دیگر تا آخر شهریور عملیاتی می‌شود.
وزیر ارتباطات و فناوری اطلاعات درباره تفاوت این پرداخت‌ها با پرداخت از طریق اپلیکیشن‌های بانک‌ها و اپراتورها توضیح داد: در این نوع پرداخت، سیستمی برروی موبایل وجود دارد که تا یک سقف پرداخت، احتیاجی به وارد کردن کد ویژه و پسورد ندارد و با گرفتن موبایل برروی سیستم عمل می‌کند.

در حال بررسی شرایط کارگروه فیلترینگ برای رفع فیلتر یوتیوب هستیم

واعظی درباره رفع فیلتر یوتیوب و بلاگ اسپات توضیح داد: نامه‌ای از طرف وزارت ارتباطات و وزارت علوم برای رئیس کارگروه تعیین مصادیق مجرمانه که دادستان کل کشور ریاست آن را برعهده دارد، نوشته شده است، مبنی بر اینکه بسیاری از اساتید دانشگاه و کسانی که کار پژوهشی انجام می‌دهند، نیازمند استفاده از بخش‌های علمی این سرویس‌ها هستند.
وی ادامه داد: برخی از این سرویس‌ها خودشان شرایطی دارند که می‌توان برای بستن صفحات نامناسب با آنها هماهنگی کرد. البته خود دانشمندان و اساتید دانشگاه به دنبال سایت های بی ربط نیستند بلکه به فعالیت‌های علمی می‌پردازند. در نهایت با پاسخی که از طرف کارگروه دریافت کردیم، باوجود شرایط سختی که گاهی رعایت آنها  دشوار است، به رعایت این شرطها اقدام کردیم زیرا فکر می‌کنیم کسانی که کار صحیح و علمی انجام می‌دهند نباید از دستاوردهای امروز دنیا محروم باشند.
وزیر ارتباطات و فناوری اطلاعات با ارائه توضیحاتی درباره کار پوشه ملی ایرانیان بیان کرد: اگر پیش از این نامه‌های ارسالی هر فرد به صندوق پست او ارسال می‌شد، امروز هر فرد ایرانی می‌تواند با استفاده از کار پوشه و وارد کردن کد ملی، از مراجعات دولتی و سندهای خود آگاه شود. البته خود کاربران نمی‌توانند در این کارپوشه اطلاعاتی را وارد کنند. زیرا این کار به معنی دست بردن به اسناد دولتی است، در واقع اعتبار و امنیت کارپوشه نیز به همین است که دولتی‌ها اطلاعات را وارد این سیستم می‌کنند.
واعظی ادامه داد: کار پوشه با دولت الکترونیک ارتباط دارد. یعنی تا زمانی که در کارپوشه اسناد معتبر وجود دارد، کاربران می‌توانند به این کار پوشه مراجعه کنند.
وی در پاسخ به نگرانی‌هایی که درباره ادامه فعالیت دفاتر پیشخوان دولت وجود دارد، اظهار کرد: ادامه کار دفاتر پیشخوان دولت برای ما اهمیت دارد. دولت دوازدهم، همان قدر که از پست حمایت می‌کند از دفاتر پیشخوان دولت هم حمایت می‌کند. طراحی کارپوشه به نحوی است که دفاتر پیشخوان دولت حذف نمی‌شوند. بنابراین نباید در این خصوص نگرانی وجود داشته باشد.

نوشته شده در 6th آگوست, 2017

بازار پرداخت خُرد در انتظار عرضه گسترده کارتخوان‌های موبایلی

پیش‌بینی می‌شود که استقبال از کارتخوان‌های موبایلی به ویژه در بازار پرداخت‌های خُرد بسیار مطلوب باشد که این امر سبب شده که شرکت‌های خدمات پرداخت برای ارایه این محصول رقابت کنند.
فراگیر شدن استفاده از تلفن‌های همراه هوشمند در کشورمان موجب شده تا نقش تلفن همراه در بانکداری نوین بیش از هر چیز دیگر محسوس باشد و بانک‌ها و شرکت‌های خدمات پرداخت بخش عمده‌ای از توجه خود را به این بخش معطوف کنند.
یکی از ابزارهایی که این روزها در صنعت پرداخت بحث در مورد آن داغ است و بانک‌ها و پی‌اس‌پی‌ها به سمت ارایه آن حرکت کرده‌اند MPOS یا کارتخوان موبایلی است؛ ابزاری که اجازه می‌دهد تا یک دستگاه تلفن همراه را به عنوان یک POS استفاده کرد.
کارت‌خوان موبایلی ترکیب ابزاری مانند تلفن همراه هوشمند یا تبلت، دستگاه کارت‌خوان موبایلی و برنامه نرم‌افزاری نصب‌شده بر روی تلفن همراه است. این دستگاه از سال‌ ۲۰۱۴ باهدف پوشش‌دهی سیستم پرداخت در بازارهای خرد، به بازار وارد شد و پس از مدت‌زمان کوتاهی تحت عنوان کارتخوان شخصی به همه معرفی شد.
MPOS با توجه به امکان اتصال به تلفن همراه و قابلیت‌های یک اپلیکیشن جامع و قدرتمند می‌تواند به سیستمی کامل و یکپارچه از مدیریت حساب‌ها گرفته تا پرداخت در سطح خُرد در هر زمان و هر مکان تبدیل شود. همچنین قابلیت و انعطاف بسیار بالای موبایل پوز برای توسعه نرم افزارهای ویژه بر بستر تلفن هوشمند و یا تبلت آن را به فناوری ایده آل برای بسیاری از مشاغل تبدیل می‌کند.
از دید شرکت‌های پرداخت الکترونیک نیز ارایه چنین ابزاری بسیار مقرون به‌صرفه‌تر از دستگاه کارت‌خوان سنتی است. در کشورهایی که شرکت‌های پرداخت الکترونیک به‌طور رایگان کارت‌خوان در اختیار متقاضیان قرار می‌دهند، این موضوع باعث کاهش حجم سرمایه‌گذاری مورد نیاز شده و در کشورهای دیگری که کارت‌خوان فروخته می‌شود، نیز این ابزار باعث کاهش زیاد قیمت و حجم فروش بسیار زیاد می‌شود.
مردم نیز با استفاده از کارتخوان موبایلی در مقایسه با انجام تراکنش به‌ صورت بدون حضور کارت روی درگاه پرداخت اینترنتی کارمزد کمتری می‌پردازند. در واقع این تکنیکی است که از سوی برخی از شرکت‌ها که هر دو آنها را ارایه می‌کنند به کار گرفته می‌شود تا مردم به خرید این دستگاه تمایل بیشتری نشان دهند.
این دستگاه نه تنها از نظر زیست محیطی با ارایه رسید ایمیلی و یا پیامکی مصرف کاغذ را به میزان قابل توجهی کاهش می‌دهد، بلکه همزمان امکان دسترسی پذیرندگان به مشتریانشان و تکمیل اطلاعات مدیریت ارتباط با مشتریان را آسان‌تر می‌کند.
شرکت شاپرک در آبان ماه سال ۹۴ دستورالعمل کارتخوان‌های موبایلی را ابلاغ کرد و از آن زمان تاکنون دو شرکت کارت اعتباری ایران ایران کیش و فن آوا کارت توانسته‌اند از شاپرک تایید نهایی بگیرند. اما آنچه از شواهد امر پیداست و در الکامپ ۹۶ که به تازگی برگزار شد نیز مشهود بود برنامه‌ریزی شرکت‌های ارائه دهنده خدمات پرداخت برای حضور در بازار رقابت است.
اما آنچه در این زمینه مهم است مدیریت عرضه موبایل‌ پوز است و باید دید که آیا اتفاقی که برای دستگاه‌های ‌پوز افتاد و شاهد رقابت بانک‌ها و شرکت‌ها برای عرضه رایگان پوز به پذیرندگان بودیم این بار نیز برای موبایل پوز رخ خواهد داد یا خیر؟ عرضه رایگان دستگاه‌های پوز به فروشندگان نه تنها هزینه گزافی را به بانک‌ها تحمیل کرد بلکه باعث شد دارندگان دستگاه پوز اهتمامی به نگهداری مناسب آن نداشته باشند و اتلاف منابع زیادی در این بخش صورت گیرد.
مهمترین راهبرد برای جلوگیری از این اتفاق، فروش موبایل پوز به پذیرندگان است که برای این منظور باید دستگاه‌ها دارای قابلیت‌های کاربردی باشند تا صاحبان کسب و کار را برای خرید ترغیب کنند. افزودن قابلیت‌هایی مانند سرویس‌های بانکی انتقال وجه یا کنترل سقف تراکنش‌ها و… به این دستگاه‌ها می‌تواند تاثیر بسیاری در انگیزش مشتریان برای خرید موبایل‌ پوز داشته باشد.
اتفاق مهم دیگری که باید در این حوزه بیفتد اصلاح نظام کارمزد است چرا که در صورتی که نظام کارمزد اصلاح نشود و هزینه کارمزدها همچنان بر دوش بانک‌ها باشد نمی‌توان به آینده این حوزه خوشبین بود.

 

🌐منبع خبر: شبکه خبری ایبِنا

نوشته شده در 2nd آگوست, 2017

با حضور رییس مجلس و وزیر ارتباطات، فاز نخست دولت الکترونیکی امروز رونمایی شد…

مراسم افتتاح فاز نخست دولت الکترونیکی ایران امروز صبح با حضور علی لاریجانی رییس مجلس شورای اسلامی و محمود واعظی وزیر ارتباطات و فناوری اطلاعات برگزار شد.
بر این اساس نخستین فاز دولت الکترونیکی امروز و در حالی افتتاح شد که ارایه بخشی از سرویس های دولت الکترونیکی از چند ماه پیش آغاز شده و به تدریج در حال تکمیل است.
معاون دولت الکترونیکی سازمان فناوری اطلاعات در این باره گفت: دولت الکترونیکی وقتی برای مردم نمود بیرونی پیدا می‌کند که به جای پیگیری کارهای مردم توسط خودشان در ادارات دولتی، دولت برای آنها دوندگی و پیگیری انجام دهد که این کار در دولت الکترونیکی همان تبادل سرویس ها بین دستگاه ها و ادارات است.
رضا باقری اصل، گفت: اگر در دستگاه های دولتی به جای مراجعه از این اتاق به آن اتاق یا به اداره دیگر، همان اطلاعاتی که در نامه وجود دارد را به صورت الکترونیکی با یکدیگر تبادل کنند و نتیجه را هم الکترونیکی به شخص اطلاع دهند، دولت الکترونیکی برای مردم ملموس می شود.
وی با بیان اینکه چالش اصلی دولت الکترونیکی زیرساخت و دسترسی نیست، گفت: مردم مانند طرح سرشماری و سهام عدالت مشکلی در دسترسی نداشتند  و دسترسی توسط وزارت ارتباطات تامین شده و همچنین زیرساخت مرکز ملی تبادل اطلاعات نیز برای دریافت خدمات دولت الکترونیکی آماده است.

 چالش های دولت الکترونیکی 

باقری اصل گفت: همان اطلاعاتی که در گذشته دستگاه ها در اختیار مردم قرار نمی دادند، اگر به صورت الکترونیکی هم ارایه نکنند دولت الکترونیک محقق نمی شود و اگر اطلاعات را به اشتراک بگذارند و استعلامات را به صورت الکترونیکی پاسخگو باشند، دولت الکترونیکی مهیا شده است.
وی درباره چالش های ارایه اطلاعات بین دستگاه ها نیز با ذکر مثالی توضیح داد: در امور مالی تمام دستگاه های اجرایی نرم افزار مالی وجود دارد؛ اما زمانی که خریدی انجام می شود فاکتور الکترونیکی دریافت نمی شود. بنابراین با دریافت فاکتور به صورت فیزیکی آن را مجدد وارد سیستم می کنند و اسکن می گیرند و با گرفتن کپی از این فایل به دستگاه های نظارتی مانند دیوان محاسبات و دیگر دستگاه ها ارایه می شود.
معاون دولت الکترونیکی ادامه داد: حتی بعضی از شرکت ها امکان ارایه فاکتور الکترونیکی دارند؛ اما برخی از دستگاه ها نمی پذیرند و اگر فاکتور الکترونیکی صادر شود دیگر نیازی به گرفتن کپی نیست و حسابرسی آن هم به صورت الکترونیکی باید انجام شود مانند فرآیندی که سال هاست در بانک ها در حال انجام است.

 مشکل کمبود قانون نداریم

باقری اصل با بیان اینکه در این حوزه چالش قانونی نداریم، گفت: به اندازه کافی در این حوزه قانون داریم به طور مثال تمام فرآیند ها در بورس به صورت الکترونیکی انجام می شود و امکان تبادل اطلاعات فیزیکی ندارند و معاملات همه به صورت الکترونیکی است.
وی با بیان اینکه ظرفیت  قانونی، فرهنگی و زیرساختی دولت الکترونیکی وجود دارد گفت: در این حوزه مدیران دستگاه ها باید تصمیم بگیرند که این فرآیند دستی را تبدیل به فرآیندی الکترونیکی کنند و باید فرهنگ سازی بین مدیران در این باره انجام شود.
وی ساختارها و فرآیند های دولت را برای یک فرآیند سنتی و کاغذی تنظیم شده عنوان کرد و گفت: وقتی قرار است این فرآیندها به صورت الکترونیکی انجام شود، به صورت طبیعی کارمندان دولت احساس ناامنی شغلی می کنند یا قدرتی که با امضاهای مختلف داشتند از آنها گرفته می شود چون در دولت الکترونیکی استانداردها و دستورالعمل ها دارای قدرت هستند و اشخاص تصمیم نمی گیرند.
باقری اصل با بیان اینکه در این زمینه نگرانی های این چنینی وجود دارد، افزود: به طور مثال زمانی که می خواهیم مالیات به صورت الکترونیکی دریافت شود، این سوال مطرح می شود که با ۲۶ هزار ممیز مالیاتی چه کنیم و در سیستم دولتی برای این تعداد اداره دولتی چه کاری باید انجام داد. این موارد چالش هایی است که می تواند مانع انجام کار شود.

 چالش هماهنگی درون دولت

معاون دولت الکترونیکی هماهنگی در حوزه سیاستگذاری درون دولت را نیز یکی دیگر از چالش های دولت الکترونیکی بیان کرد و گفت: همه اصرار دارند که عنوان کنند دولت الکترونیکی را خودشان انجام داده اند اما واقعیت موضوع این است که کسی به تنهایی نمی تواند این کار را انجام دهد و دولت الکترونیکی با هم انجام می شود.
وی درباره فرآیند الکترونیکی شدن خدمات نیز گفت: فرآیند الکترونیکی شدن خدمات رو به جلو و افزایشی است و چاره ای جز عبور از این مراحل نداریم و ارایه سرویس از سطح وب به سطح تعاملی و فرم الکترونیکی و بعد تراکنش و یکپارچه سازی و در انتها نیز به مرحله مشارکتی باید طی شود و نمی توانیم از یکی از این مراحل جهش کنیم و اگر این مراحل کامل نشود، سرویس ها ایجاد نمی شود.
وی ادامه داد: مردم در این حوزه بسیاری از سرویس ها را با شفافیت دریافت می کنند و با این روش سلامت این حوزه ها تضمین شده است. به طور مثال در گمرک درآمد در یک سال  ۶۲ درصد رشد داشته است و این نشان می دهد که قاچاق کالا به اظهار تبدیل شده و درآمد گمرک افزایش داشته است. البته قاچاق وجود دارد اما آن چیزی که وارد سیستم شده، شفاف بوده است.
وی گفت: واقعیت موضوع این است که دولت الکترونیکی هیچ زمان به صورت کامل محقق نمی شود و همیشه به روز کردن فرآیندها و تکامل آنها وجود دارد، مانند شبکه ملی اطلاعات که همیشه در حال تکامل است.
وی گفت: در دولت الکترونیکی در آینده این انتظار ایجاد می شود که دیگر نیاز به طرح درخواست برای انجام امور نباشد و به طور مثال به صورت اتوماتیک وار زمانی که بچه ای به دنیا می آید، فقط با انتخاب یک اسم، شناسنامه برای وی صادر شده و تحت پوشش بیمه قرار بگیرد و در ۶ سالگی به صورت اتوماتیک در مدرسه ثبت نام شود و البته این کار شدنی است.
نوشته شده در 1st آگوست, 2017

امواج مغز‌شما، رمز عبور شما را فاش می­‌کنند

دستبرد به رمز عبور از طریق امواج مغز

پیروزی بر مغز‌ انسان آخرین حمله سایبری است. محققانی از دانشگاه آلاباما در بیرمنگام و دانشگاه کالیفرنیا در ریورساید تحقیقی در این مورد انجام داده‌اند که به‌شرح زیر می‌باشد:
یک گوشی­­‌ ضبط نوار ­مغز مشابه گوشی و دستگاه‌هایی که در بازی‌های ویدیویی استفاده می‌شود بر روی سر افراد مشخص شده قرار می‌دهند. بر اساس مطالعات انجام شده، یک بازی برای کاربر پخش کرده و کاربر بازی را انجام می­‌دهد، اگر در حین بازی رمز‌ عبوری درخواست شود می‌توان به‌وسیله امواج مغزی رمز عبور را دریافت کرد.
از ۱۲ نفر افراد انتخاب شده خواسته شد در حالی که کلاه مخصوص نوار‌ مغز بر سر دارند به­‌صورت تصادفی رشته­‌ای را بعلاوه یک رمز بر روی کیبورد خود تایپ کنند، از لحاظ تکنولوژی این بد‌افزار تنها امواج مغز را به عنوان خروجی به ما نشان خواهد داد و لازمه آن فکر­کردن افراد به رمز و نام­‌کاربری خود است، الگوریتم استفاده شده در این آزمایش توانست رمز ۴ رقمی را با کسب ۴۶٫۵ درصد پاسخ صحیح و نام‌کاربر ۸ حرفی را که افراد خود انتخاب کرده بودند با امتیاز ۳۷٫۳ درصد، صحیح حدس بزند.
در دنیای واقعی حملات سایبری، هکرها به دنبال ساده­‌کردن و بالا­بردن دقت برنامه های‌مخرب خود هستند. از این پس می­توان به­‌جای درخواست کد­های از پیش تعریف شده جهت ورود و ادامه بازی ازکاربر، رمز عبوری درخواست کرد که ناگهانی ساخته شده است.
این را هم باید اضافه کرد که با رشد چنین سیستم‌های پیشرفته رمز‌نگاری باید حریم­‌خصوصی کاربران را هم مد‌نظر داشت کهوجود حفره در چنین سیستمی به معنی نابودی کل‌ سیستم رمزنگاری و حریم‌خصوصی خواهد شد، از این­‌رو با ظهور چنین تکنولوژی­‌هایی باید آگاهی مردم را نسبت به چنین فناور‌‌ی‌­هایی بالا برد تا هم توسعه آن راحت­تر و همچنین خطر استفاده از این­چنین تکنولوژی­‌هایی به حداقل برسد.
یک تحلیل‌گر امنیتی کانادا درباره این تکنولوژی گفت: این روش را نمی­توان نسخه عمومی برای مردم عرضه کرد اما می‌توان در دادگاه‌ها برای دسترسی به اطلاعات‌خاص مجرمان استفاده کرد. البته از لحاظ حقوق بشری بسیار جای‌بحث است که حریم‌خصوصی مردم به طور کامل رعایت شود.

نویسنده:علی عباسی خلانلو

منابع:
نوشته شده در 1st آگوست, 2017

هکرهای کره شمالی دنبال پول هستند؛ نه اطلاعات

گزارش ها حاکی از آن است که کره شمالی به دلیل مشکلات مالی که با آنها دست و پنجه نرم می کند، هکرهایی آموزش داده تا موسسات مالی را هدف حمله قرار دهند.
این گزارش می گوید که تحریم ها کره شمالی را با مشکلات مالی روبه رو کرده است و اکنون حتی امکان دارد این تحریم ها شدت پیدا کند تا با قطع جریان پول برنامه های تسلیحاتی این کشور فلج شوند. از همین رو، هکرهای کره شمالی به طور روزافزونی به دنبال سرقت پول هستند تا اطلاعات محرمانه و آنها هر چه بیشتر موسسات مالی را هدف حملات خود قرار می‌دهند.
تا به حال تصور بر این بوده که بیشتر عملیات هکرهای کره شمالی برای دسترسی به اطلاعات محرمانه یا برای خرابکاری بوده است، البته دولت کره شمالی همواره دخالت در حملات اینترنتی را تکذیب کرده است. گزارش موسسه امنیت مالی همچنین هشت مورد از حمله به موسسات دولتی و مالی کره جنوبی را شناسایی کرده است.
علاوه بر این، گزارش به نام یک گروه هک با نام «آنداریل» پرداخته است که دست کم از ماه مه ۲۰۱۶ فعال است و تلاش کرده تا با هک کردن ماشین های خودپرداز، اطلاعات کارت های بانکی را سرقت کند تا یا از حساب افراد پول بردارد یا این اطلاعات را در بازار سیاه بفروشد.
گزارش همچنین این گروه را متهم کرده است که با تولید بدافزار سعی می کند سایت های پوکر اینترنتی و دیگر سایت های قمار را هک کند.
شاید برجسته ترین کار هکرهای کره شمالی در سال های اخیر هک کردن اطلاعات و ایمیل های داخلی بخش سرگرمی سازی شرکت سونی بود. هکرها بخش بزرگی از اطلاعات این شرکت را پاک کردند و بخش بزرگی از آن ازجمله اطلاعات شخصی، مهم و محرمانه و کپی سرقت شده فیلم های جدید را در اینترنت منتشر کردند. اما اکنون نه فقط موسسه امنیت مالی، بلکه منابع دیگر هم می گویند هدف کره شمالی اکنون در درجه اول پول است.
شرکت امنیت اینترنتی فایرآی هم گزارش کرده است که فعالیت هکرهای کره شمالی هر چه بیشتر انگیزه مالی پیدا کرده است و موسساتی را که خدماتی مالی ارایه می کنند، هدف قرار داده است از جمله شرکت‌های خدمات ارزی و خدمات کارگزاری در کره جنوبی.
به گزارش فایرآی، بیت کوین هم برای کره شمالی جذاب است چراکه تقریبا بدون نام و نشان می توان آن را در «اینترنت تاریک» رد و بدل کرد در حالی که پول واقعی را بانک های مرکزی و موسسات دیگری ردیابی و ردگیری می‌کنند.
برخی کشورهای فعال در امنیت اینترنتی معتقدند پول هدف اصلی حمله اخیر باج افزار «واناکرای» بود که اخیرا در ۱۵۰ کشور دنیا از جمله بریتانیا اختلال ایجاد کرد، این ویروس از قربانیان درخواست پول می کرد تا به آنها اجازه دسترسی به اطلاعات را بدهد.
همچنین گفته شده دولت آمریکا در حال تکمیل پرونده ای است که سرقت ۸۱ میلیون دلار از بانک مرکزی مالزی را به هکرهای کره شمالی مرتبط می کند. شرکت روسی کسپرسکی هم هکرهای کره شمالی را با حمله به بانک های کره شمالی مرتبط دانسته است.

 

🌐منبع خبر: پایگاه خبری فناوران

نوشته شده در 31st جولای, 2017

مشکلات امنیتی نرم افزارهای پرکاربرد در ایران

مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای (ماهر) جدول آسیب‌پذیری نرم افزارهای پرکاربرد در کشور نحوه به روز رسانی آنها را منتشر کرد.
در این جدول آسیب پذیری‌ها به سه سطح زیاد، متوسط و کم تقسیم شده و تاریخ انتشار آخرین به روز رسانی، خلاصه ای از آسیب‌پذیری و نحوه رفع آن نوشته شده است.

 سرویس‌دهنده‌ها

در بخش سرویس دهنده‎ها (وب، پست الکترونیکی، پراکسی و…)، Apache web sever دارای آسیب‌پذیری سطح زیاد است که شامل چندین آسیب‌پذیری جلوگیری از سرویس در این نرم افزار می‌شود. همچنین Microsift SharePoint Server نیز آسیب‌پذیری‌هایی با سطح متوسط شامل سطح دسترسی، آشکارسازی اطلاعات و XSS در Microsift SharePoint Server  به واسطه پاک سازی نشدن مناسب یک درخواست جعلی خاص گزارش شده است.
میزان آسیب‌پذیری Samba هم زیاد گزارش شده که سبب جلوگیری از سرویس به واسطه نقص در عملکرد smbd و افتادن تابع fd-open-atomic در حلقه بی نهایت و مصرف بالای پردازنده و حافظه می‌شود.
در این بخش آسیب‌پذیری‌هایActive Directory و Hyper-V نیز دچار آسیب‌پذیری با سطح خطر متوسط هستند.

 سیستم‌های عامل

در این بخش مرکز ماهر تعداد زیادی آسیب‌پذیری با سطح خطر زیاد و متوسط در لینوکس و ویندوز شناسایی کرده است.
در لینوکس چندین آسیب‌پذیری برای به دست آوردن اطلاعات حساس و جلوگیری از سرویس در نسخه‌های مختلف هسته لینوکس گزارش شده که البته برای برخی از آنها هنوز راه حلی ارایه نشده است.
در ویندوز مواردی چون آسیب‌پذیری افزایش سطح دسترسی و اجرای کد دلخواه در DirectX با استفاده از اجرای برنامه کاربری جعلی روی سیستم قربانی، آشکارسازی اطلاعات در هسته ویندوز، آشکارسازی اطلاعات و اجرای کد از راه دور در ویندوز به واسطه مدیریت نادرست در حافظه توسط Windows Search با ارسال یک متن جعلی، افزایش سطح دسترسی، آشکارسازی اطلاعات و اجرای کد دلخواه در مولفه Graphics ویندوز ازجمله آسیب‌پذیری‌های گزارش شده است.
در Apple iTunes، iOS، iCloud، macOS، tvOS، Safari و watchOS نیز آسیب‌پذیری‌های دورزدن محدودیت‌های امنیتی، افزایش سطح دسترسی، به دست آوردن اطلاعات حساس، اجرای کد از راه دور و جلوگیری از سرویس در محصولات apple وجود دارد.

 محیط‌های برنامه‌نویسی

مرکز ماهر درباره آسیب‌پذیری در محیط‌های برنامه نویسی شامل Joomla، Drupal و WordPress هشدار داده است. جلوگیری از سرویس، دور زدن محدودیت‌های امنیتی و نقص در عملکرد از جمله این آسیب‌پذیری‌هاست که اکثر آنها در نسخه‌های بالاتر برطرف شده است.

 مرورگرهای اینترنت

در بخش مرورگرها نیز Microsoft Edge با چندین آسیب‌پذیری با سطح خطر زیاد مواجه است که شامل دورزدن محدودیت‌های امنیتی، به دست آوردن اطلاعات حساس و جلوگیری از سرویس است.
Internet Explorer نیز آسیب‌پذیری‌هایی شامل اجرای کد از راه دور و آشکارسازی اطلاعات حساس به واسطه دسترسی نامناسب به اشیا و مدیریت نادرست اشیا در حافظه و برای Chrome چندین آسیب‌پذیری جلوگیری از سرویس در این مرورگر گزارش شده است. این آسیب‌پذیری‌ها در آخرین نسخه مرورگرها رفع شده است.

 تجهیزات شبکه، دیواره‌های آتش و ضدبدافزار

در بخش مجازی سازی محصولات VMware با آسیب‌پذیری‌های خطرناکی شامل جلوگیری از سرویس و اجرای کد روبه رو هستند. همچنین در بخش تجهیزات شبکه محصولات Cisco، QNAP QTS و Mikrotik با آسیب‌پذیری‌هایی رو به رو هستند که مسوولان شبکه شرکت‌ها باید به آن توجه کنند.
اما نکته جالب اینکه دو آنتی ویروس Avast و McAfee که قرار است مانع آسیب‌پذیری باشند، با مشکل مواجهند. براساس این گزارش آنتی ویروس‌های نسخه قبل از ۱۷ Avast ممکن است با آسیب‌پذیری دورزدن محدودیت‌های امنیتی و جلوگیری از سرویس
مواجه شوند.
مکافی نیز مشکل جلوگیری از سرویس در نسخه‌های سازمانی را به واسطه وجود خرابی حافظه با استفاده از یک لینک HTML جعلی دارد که البته تاکنون راه حلی برای آن ارایه نشده است.

 نرم‌افزارهای کاربردی

یکی از نرم افزارهای پرکاربرد ایرانی‌ها OpenVPN است که چندین آسیب‌پذیری شامل آشکارسازی اطلاعات، خرابی حافظه و جلوگیری از سرویس در آن شناسایی شده که البته در نسخه‌های جدید این مشکلات برطرف شده است.
نرم افزار Microsoft Office هم با مشکل اجرای کد از راه دور به واسطه بروز خطا هنگام مدیریت اشیا در حافظه در صورت بازکردن یک فایل جعلی خاص مواجه است.
Photoshop، SolarWinds LEM، Foxit Reader and PhantomPDF، Kerio Connect، Veritas Net Backup، McAfee NDLP، ۷ ZIP، Skype، NVIDIA Display Driver، Adobe Flash Player، Adobe Shockwave Player، Wireshark، glibc، FFmpeg، Acronis True Image، Webmin و Vim دیگر نرم افزارهای پرکاربردی است که مرکز ماهر آسیب‌پذیری‌های آنها را گزارش کرده و البته اکثر آنها در صورت به روز رسانی به موقع، مشکل‌شان رفع خواهد شد.
نوشته شده در 31st جولای, 2017

گروه رخنۀ «دارک هتل» با روش های تازه به سیاستمداران حمله کرده است

بر پایۀ گزارشی که شرکت «بیت دیفندر» همین هفته منتشر کرده است، گروه تهدید دارک هتل با استفاده از روش هایی تازه در حمله های خود، سراغ کارکنان دولتی رفته است و اکنون، بر کشور کره شمالی متمرکز شده است. فعالیت های گروه دارک هتل در نوامبر ۲۰۱۴ – هنگام نشر گزارش کسپرسکی – آشکار شد. گروه یادشده، آن زمان به مسافران تجاری در منطقه آسیا-اقیانوس آرام حمله کرده بود. تقریباً یک دهه از فعالیت گروه یادشده می گذرد و برخی پژوهشگران معتقدند که اعضای آن کره ای هستند. مهاجمان این گروه با استفاده از روش های گوناگونی، مانند: وای فای هتل، بهره جویی های روز-صفرم و وبگاه های به اشتراک گذاری نظیر به نظیر به قربانیان حمله می کند و تقریباً یک سال پیش دیدیم که روش تازه ای را نیز به کار گرفته است و یک بهره جویی اش از نهاد سازنده جاسوس افزار در ایتالیا، با نام: Hacking Team افشاء شد. دارک هتل در چندین کشور، مانند: کره شمالی، روسیه، کره جنوبی، ژاپن، بنگلادش، تایلند، تایوان، چین، آمریکا، هند، موزامبیک، اندونزی و آلمان قربانیانی داشته است؛ اگرچه تا همین نزدیکی ها، چنین می پنداشتیم که حمله هایش روی مدیران شرکت، پژوهشگران و کارکنان توسعه از بخش های گوناگون، مانند: پایگاه صنعت دفاعی، نظامی، انرژی، دولت، سازمان های غیردولتی، تولید الکترونیک، داروسازی و پزشکی متمرکز شده است.

منابع:

🌏: http://www.securityweek.com
🇮🇷: کاشف

نوشته شده در 31st جولای, 2017


تماس با ما:

تلفن: ۸۸۶۹۸۸۳۴ (۲۱) ۹۸+

نمابر: ۸۸۶۹۸۴۲۸ (۲۱) ۹۸+

پست الکترونیکی: info[at]sabapardazesh[dot]net

نشانی: تهران، سعادت آباد، بلوار دریا، نرسیده به مطهری شمالی، پلاک ۱۶۳

دیگر رسانه‌های سباپردازش:

  • Blogfa
  • Twitter
  • Instagram
  • Soroush

لینک‌های پرکاربرد

کلیه حقوق معنوی و مادی این سایت متعلق به شرکت سبا پردازش می باشد.
©SabaPardazesh PJS