♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

نسخه*ی لینوکسی این بدافزار که اوایل دسامبر توسط این مرکز کشف شد، با حملات حدس گذرواژه*ی مبتنی بر فرهنگ*لغت علیه سرویس پوسته*ی امن (یا SSH) عمل می*کند. این بدین معنی است که تنها سامانه*هایی که امکان دسترسی از راه دور SSH را از اینترنت فراهم می*کنند و دارای حساب*های کاربری با گذرواژه*های ضعیف هستند در معرض این خطر قرار دارند.

به گزارش این مرکز این بدافزار با استفاده از یک IP و پورت به کارگزار کنترل و فرمان*دهی متصل می*شود و در اولین اجرا اطلاعات سامانه*عامل را که خروجی یک دستور uname* است، به کارگزار می*فرستد و منتظر دستورات بعدی می*ماند.

ظاهراً ۴ نوع از این حملات وجود دارد که هر کدام یک حمله*ی انسداد سرویس با یک هدف از پیش تعیین شده هستند. یکی از این حملات، حمله*ی تقویت DNS است، که در آن درخواستی حاوی ۲۵۶ پرس*و*جوی تصادفی یا از پیش*تعریف*شده به کارگزار DNS ارسال می*شود.

حین این حمله نیز بدافزار اطلاعات سامانه را به کارگزار کنترل و فرمان*دهی خود می*فرستد؛ این اطلاعات عبارتند از برنامه*های در حال اجرا، میزان مصرف CPU، سرعت اتصال به شبکه و میزان بار سامانه.

گونه*ی ویندوزی این بدافزار DDoS نیز که در C:\Program Files\DbProtectSupport\svchost.exe نصب می*شود طوری تنظیم شده که در هنگام راه*اندازی سامانه، آغاز به کار کند. برخلاف گونه*ی لینکوسی، این بدافزار ویندوزی با استفاده از نام دامنه به کارگزار به کنترل و فرمان*دهی خود متصل می*شود، نه آدرس IP. اما در هر صورت کارگزار کنترل و فرمان*دهی مشابهی در هر دو گونه مورد استفاده گرفته؛ از این رو مرکز CERT لهستان بر این باور است که این دو گونه*ی بدافزاری توسط یک گروه خراب*کار ایجاد شده است.

شرکت امنیت زیرساخت ابرِ CloudPasage، گزارشی را منتشر کرده است که در آن به اعلام نتایج آزمایش*های این شرکت در مورد میزان آسیب*پذیریِ کارگزاران ابری پرداخته شده است.
در ماه سپتامبر سال جاریِ میلادی (شهریور ماه) این شرکت یک مسابقه**ی زنده برای نفوذ به کارگزارنش را برگزار کرد تا بررسی کند آسیب*پذیری*های وصله نشده در کارگزارهای ابری به چه میزانی برای نفوذگران جذاب هستند.
این مسابقه که ایده*ی اولیه*اش از مسابقات CTF گرفته شده است، به نام The Gauntlet می*باشد و در مدت ۲۳ روز اجرا روی کارگزارهای ویندوزی و لینوکسی قابل دست*رس بوده است که این کارگزارها با انواع نرم*افزار*ها و برنامه*ها و سرویس*های کاربردیِ مختلف آماده شده بودند.
پس از شروع این این مسابقه در مدت کم*تر از ۴ ساعت، کارگزار به طور کامل توسط ۲ شرکت*کننده مورد نفوذ قرار گرفت و در مدت کل ۲۳ روز، نزدیک به ۳۵ نفوذ ثبت شده است.
در کل ۱۰۲ مشکل امنیتی گزارش شد که ۹۰ مورد با موفقیت اعتبارسنجی شده و ثابت شده است که این آسیب*پذیری*ها به راحتی از راه دور قابل سوء*استفاده هستند.
در این گزارش عنوان شده است که علی*رغم باور عمومی در مورد امنیت ابر، در*واقع کارگزاران ابری نیز مانند سایر کارگزاران از ضعف*های امنیتی رنج می*برند و به راحتی توسط نفوذگرانی که به اندازه کافی انگیزه داشته باشند می*توانند مورد سوء*استفاده قرار بگیرند.
این مسابقات توسط برخی شرکت*های دیگر مورد حمایت مالی قرار گرفته بود و از سوی این شرکت*ها جایزه در قبال کشف آسیب*پذیری به نفوذگران برتر اهدا شده است.
در این مسابقات ۳۶۷ نفوذگر قانونی از ۴۱ کشور شرکت کرده*اند. متن کامل گزارش این مسابقه را می*توانید از پرونده*ی پیوست بارگیری کنید.

این شرکت علاوه* بر ایده*ی بسیار خلاقانه* به منظور کشف آسیب*پذیری و جذب نفوذگران قوی با استفاده از برگزاری مسابقه، توانسته است بسیاری از باورهای غلط در مورد ابر را اصلاح کند و همچنین آسیب*پذیری*های خطرناک بسیاری در محصولات ابری را کشف نماید.

شرکت امنیتی Arxan که در زمینه*ی امنیت برنامه*های کاربردی تلفن*های هوشمند فعالیت دارد، برای دومین سال متوالی درصد برنامه*هایی که در سال جاری مورد نفوذ قرار گرفته*اند را گزارش کرده است. این شرکت گزارشی را برای سال ۲۰۱۳ منتشر کرده که نشان می*دهد تمامی ۱۰۰ برنامه*ی برتر غیر رایگان سامانه*عامل اندورید و ۵۶٪ از ۱۰۰برنامه*ی برتر غیر رایگان سامانه*عامل iOS مورد نفوذ قرار گرفته*اند. 
اطلاعات کلیدی این گزارش عبارتند از:*
http://ashiyane.org/forums/attachmen...5&d=1387829420
به طور کلی ۷۸٪ از برنامه*ی برتر غیر رایگان این دو سامانه*عامل مورد نفوذ واقع شده*اند که سهم برنامه*های اندروید به مراتب بیش*تر بوده است.


نفوذگران هنوز به برنامه*های رایگان نیز علاقه دارند؛ ۷۳٪ از برنامه*های رایگان اندروید و ۵۳٪ از برنامه*های رایگان iOS نیز مورد نفوذ قرار گرفته*اند. در سال ۲۰۱۲، ۸۰٪ برنامه*های رایگان اندروید و ۴۰٪ از برنامه*های رایگان iOS مورد نفوذ قرار گرفته بودند.


برنامه**های کاربردی ویژه*ی تراکنش*های مالی در خطر هستند؛ ۵۳٪ از برنامه*های مالی اندروید و ۲۳٪ از برنامه*های مالی iOS مورد نفوذ قرار گرفته*اند.
با توجه به این یافته*ها مشخص است که نفوذگران به دلیل سادگی برنامه*های کاربردی تلفن*های هوشمند تمایل زیادی به نفوذ به این برنامه*ها دارند و حتی در مورد برنامه*های غیر رایگان، ماهیت متن*بسته بودن این برنامه*ها از انگیزه*ی نفوذگران کم نمی*کند. 

بالاخره پس از تلاش*های فراوان botmasterهای اصلیِ شبکه*ی ZeroAccess از کار افتادند. این خبر را Richard Boscovich از واحد جرائم دیجیتالی مایکروسافت اعلام کرده است.

بات*نت ZeroAccess که با نام Sirefef نیز شناخته می*شود، قادر است نتایج جستجو را به خدمت خود درمی*آورد و پرس*و*جوها را به وب*گاه*هایی هدایت می*کند که برای آلوده کردن رایانه*ها به کدهای مخرب، سرقت اطلاعات و کسب درآمد از راه جعل کلیک*های تبلیغاتی ایجاد شده*اند. طبق پیش*بینی مایکروسافت درآمد حاصل از تبلیغات جعلی و سرقت ترافیک برخط ماهانه*ی آن حدود ۳ میلیون دلار است.

مرکز مقابله با جرایم سایبری مایکروسافت در این باره گفت: «ZeroAccess تمامی موتورهای جستجو و مرورگرهای بزرگ را هدف قرار داده که گوگل، یاهو و بینگ از آن جمله*اند. ZeroAccess یکی از قوی*ترین و ماندگارترین بات*نت*های امروزی است که با تکیه بر شبکه*ی نظیر به نظیر به مجرمان سایبری اجازه می*دهد از راه دور آن را کنترل کنند.» شرکت مایکروسافت از دو هفته پیش عملیاتی را با همکاری مرکز جرایم سایبری اروپا و پلیس FBI علیه این بات*نت آغاز کرده بود و البته چندان به از کار انداختن کامل این بات*نت امید نداشت.

منتقدان امنیتی پس از این اظهارات این فعالیت مایکروسافت را به چالش کشیده*اند و عنوان کرده*اند که از آن*جایی که این بات*نت از امکانات شبکه*های نظیر به نظیر استفاده می*کند، می*تواند به راحتی حتی با در دست*رس نبودن botmasterها منتشر شود. Richard Boscovich

نیز در پاسخ به این سؤالات عنوان کرده است که تیم امنیتی مایکروسافت با همکاری مرکز جرائم سایبری اروپا و واحد امنیت سایبریِ آلمان موسوم بهBKA در یک بازه*ی زمانی اقدام به پایش و نظارت این بات*نت کرده است و در صورت مشاهده*ی هر IP جدید که به نظر می*رسید از روش جعل کلیک با پیکربندی جدید استفاده می*کرده است، به سرعت آن را شناسایی و مسدود کرده است و البته قبل از آن با از پاسخ سریع BKA در کم*تر از ۲۴ ساعت در مقابل این آدرس IP، مشاهده شده است که این بات یک به*روز*رسانی جدید حاوی پیامی با متن «پرچم سفید» دریافت کرده است که به عقیده آن*ها یعنی این بات دیگر از شبکه خارج شده است.

البته به عقیده*ی Yacin Nadji محقق Damballa، دریافت چنین پیامی به این معنی نیست که این رایانه دیگر یک بات در این شبکه*ی متشکل از بات*ها نیست و تا زمانی که شبکه*ی نظیر به نظیر فعال است، botmaster می*تواند دوباره این رایانه*ی قربانی را به یک بات در شبکه تبدیل کند.

اگر ادعای مایکروسافت صحیح باشد، ZeroAccess در*واقع اولین بات*نت نظیر به نظیری است که محققان امنیتی موفق شده*اند آن را از کار بیاندازند. مایکروسافت به کمک دولت آمریکا موفق شده بود بات*نت*های Kelihos و Nitol را با این روش*ها از کار بیاندازد، اما مسئله*ی متفاوت در مورد آن*ها این بود که این بات*نت*ها دارای کارگزاران کنترل و فرمان*دهی محدودی بودند که از کار انداختن آن*ها به این شیوه منطقی بود. ارتباطات در بات*نت*های نظیر به نظیر کاملاً متفاوت است،* معمولاً مهاجم یک پروتکل سفارشی ایجاد می*کند که وظیفه دارد ارتباط بین بات*ها را پشتیبانی کند و از طریق ای کانال، به*روز*رسانی*ها و تغییرات پیکربندی به اشتراک گذاشته می*شود و امکان مقابله با خطا برای بات*نت افزایش پیدا می*کند.

طبق پیش*بینی مایکروسافت درآمد حاصلاز تبلیغات جعلی و سرقت ترافیک برخط ماهانه*ی آن حدود ۳ میلیون دلار است و تا کنون ۲ میلیون رایانه در سراسر جهان به این شبکه*ی بدافزاری پیوسته*اند.

محصولات VMware ESXi نسخه*ی 4.0 تا 5.5 و VMware ESX نسخه*ی 4 و 4.1 که آسیب*پذیریِ غیر مجاز به پرونده*ها از طریق vCenter Server و ESX را فراهم می*کرد و با شماره شناسایی CVE-2013-5973 در توصیه*نامه*ی VMware با شناسه*ی VMSA-2013-0016 وصله شده است. 

این آسیب*پذیری به کاربران غیرمجاز vCenter امکان دست*رسی غیرمجاز به منظور خواندن و نوشتن پرونده*ها را می*دهد. حذف مجوز «Add Existing Disk» و یا کاهش کاربران vCenter می*تواند از خطرات این آسیب*پذیری تا زمان اعمال وصله*های جدید بکاهد. 

به منظور کشف اطلاعات دقیق*تر از این آسیب*پذیری و مشاهده*ی هشدارهای هنگام نصب این به*روز*رسانی*ها به وب*گاه اصلی VMware مراجعه کنید. 

وب سایت اصلی wmware : 

این خبر رو برای علاقه مندان به شرکت در مسابقه در زمینه exploit میذارم ، تا اونایی که دوست دارن خودشون رو مهک بزنن در این مسابقه شرکت کنن


یکار امنیتی شماره*ی یازدهم، نخستین پیکار امنیتی در حوزه*ی نفوذ (exploit) است. برای این پیکار، دو پرونده ضمیمه شده است. یکی از این پرونده*ها، برنامه*ای به زبان C و دیگری، پرونده*ی اجرایی آن برنامه برای سامانه*عامل لینوکس است. برنامه*ی C داده*شده، دارای یک تابع main و دو تابع دیگر است که یکی از آن توابع توسط تابع main فراخوانی می*شود. شما پیکارجویان عزیز باید از طریق روش*های نفوذ، تابع دوم را فراخوانی کنید. راه *حل خود را می*توانید بر روی پرونده*ی اجرایی داده*شده، آزمایش کنید. بهترین پاسخ، حائز دریافت جایزه بوده و در وب*گاه منتشر خواهد شد. منتظر راه*حل*های تشریحی شما هستیم.
مهلت ارسال پاسخ این پیکار تا ۲۱ دی*ماه ۱۳۹۲ است.

مهاجمین در سال*های اخیر تمایل زیادی به ایجاد پرونده*های RTF و گنجاندن بسته*های نفوذی که قادر به سوء*استفاده از آسیب*پذیری*های Microsoft Office و سایر محصولات مشابه می*باشند، داشته*اند. 

درست چند ماه پیش بود که آسیا و خاورمیانه با استفاده از همین روش و سوء*استفاده از آسیب*پذیریِ CVE-2012-0158 در محصولات آفیس، مورد تهدید یک حمله*ی سایبری قرار گرفته بود. 

یکی از روش*های استفاده از این آسیب*پذیری طبق گفته*ی مک*آفی، افزودن یک پرونده*ی OLE مخرب با تگ*های object و objocx است، هنگامی که این پرونده توسط برنامه**های آسیب*پذیر باز می*شوند، تروجان*های مخرب در رایانه*ی قربانی نصب خواهند شد. 

اما چه روش*هایی برای تحلیل این پرونده*های مشکوک وجود دارد؟ 

اگر شما عضو تیم تأمین امنیت فناوری* اطلاعات سازمان یا شرکت خود می*باشید و می*بایست قبل از این که پرونده*ای را توزیع کنید آن را بررسی کنید از چه روش*هایی استفاده می*کنید؟


ابزار OfficeMalScanner که توسط Frank Boldewin توسعه پیدا کرده است مجموعه ابزاری است که از طریق واسط خط* فرمان به شما امکان پویش پرونده*های آفیس را می*دهد.


پویش پرونده*های استاندارد آفیس و تشخیص پرونده*های مخرب و در نهایت نمایش هشداری که این پرونده مخرب هست یا خیر از جمله امکانات این نرم*افزار است. 

در ادامه ابزار RTFScan که در این بسته*ی نرم*افزاری قرار دارد مورد بررسی قرار گرفته است. 

همان*طور که مطرح شد پرونده*ای به نام «6TH WPCT Action Plan from Environment Group.doc» که برای سوء*استفاده از آسیب*پذیری CVE-2012-0158 به صورت پیوست به یک رایانامه به قربانیان ارسال می*شده است را در اختیار داریم، اگرچه این پرونده با پسوند .doc ارسال شده است اما در اصل یک پرونده*ی RTF است.

با ارسال این پرونده به عنوان پارامتر RTFScan، می*توان دریافت که این پرونده حاوی یک پرونده*ی مخرب دیگر است و این پرونده*های مخرب به صورت اجرایی در رایانه*ی قربانی نصب می*شوند و اقدام به ارسال بسته*هایی درون شبکه برای دریافت فرمان از کارگزار کنترل و فرمان*دهی می*کنند. 
عکس
http://ashiyane.org/forums/attachmen...4&d=1388002163
البته بیش از ۹۰ پرونده*ی آلوده برای سوء*استفاده از این آسیب*پذیری در حال حاضر در دست*رس است که می*توان به راحتی پویش*های لازم را روی آن*ها انجام داد و نتایج حاصل را تحلیل کرد. 

OfficeMalScanner یکی از ساده*ترین گزینه*های پویش این پرونده*هاست و خصوصاً با اضافه شدن قابلیت RTFScan از حدود یک ماه پیش، می*توان انواع بیش*تری از پرونده*های مخرب را شناسایی کرد. 

برای دریافت پرونده*های مخرب به منظور تحلیل آن*ها می*توانید به رایانامه*ی info{AT}ASIS{DOT}io درخواست خود را ارسال کنید. 

همان*طور که در اخبار اشاره شد، به تازگی افشا شده است که توسعه*دهندگان الگوریتم رمزنگاریِ RSA در قبال دریافت ۱۰ میلیون دلار اقدام به استفاده از مولد اعداد تصادفی**ای در الگوریتم خود داشته*اند که از سوی NSA تعبیه شده و دارای یک درپشتی برای جاسوسی*های NSA بوده است. علی*رغم این که کارشناسان امنیتی سال*ها به این مولد اعداد تصادفی انتقاداتی وارد می*کردند، توسعه*دهندگان RSA حاضر به تعویض آن نمی*شدند تا این که پس از علنی شدن وجود در پشتی در این مولد، بالاخره پس از سال*ها RSA این الگوریتم را کنار گذاشت.
اما این*که RSA در مقابل این کار مبلغ ۱۰ میلیون دلار نیز به عنوان حق*الزحمه از NSA دریافت کرده است خشم فعالان حوزه*ی امنیت فناوری اطلاعات را برانگیخته و آن*ها را وادار به واکنش کرده است.
Mikko Hypponen مدیر تحقیقات شرکت امنیتی F-Secure که به علت رفتار صریح و البته بیش*تر قدرت بالا در تحلیل مسائل امنیتی مشهور است در نامه*ای سرگشاده خطاب به مسئولان شرکت امنیتی RSA که وظیفه*ی برگزاری هرساله*ی کنفرانس رمزنگاری RSA را نیز برعهده دارند، اینطور نوشته است:
«من از سال ۱۹۹۱ در حوزه*ی امنیت مشغول به کار می*باشم. در سال*های اخیر البته سخرانی*های عمومی نیز ارائه می*دهم، در*واقع من ۸ بار در کنفرانس*های RSA در آمریکا، ژاپن و اروپا سخن*رانی کرده*ام و عکس من را به عنوان «خبره*ی صنایع» در دیوار سالن*های کنفرانس استفاده کرده*اید.
در تاریخ ۲۰ دسامبر، خبرگزاری رویترز، داستانی را در مورد این*که شما در قبال دریافت ۱۰ میلیون دلار اقدام به استفاده از مولد اعداد تصادفیِ NSA کرده*اید و این نکته که شما اقدام به نصب این مولد به صورت گزینه*ی پیش*فرض در یکی از محصولات خود داشته*اید را منتشر کرد. شرکت شما در مقابل این خبر واکنش نشان داد اما در* واقع شما این ادعا را از پایه بی*اساس نخوانده*اید و دریافت پول را تکذیب نکرده*اید.
در نهایت چندی پیش پس از آن که مشخص شد این مولد اعداد تصادفی دارای یک در پشتی تعبیه شده برای NSA است شما آن را کنار گذاشتید، علی*رغم این که کارشناسان امنیتی در طول سال*ها بارها تذکر داده بودند که این مولد دارای اشکالات اساسی است اما شما توجهی به این انتقادها نمی*کردید و از مولدی استفاده می*کردید که در* واقع یک راه جاسوسی برای NSA باز می*گذاشت.
در مقابل این عمل شما، سخرانی خود در کنفرانس RSA در فوریه*ی سال ۲۰۱۴ در سان*فرانسیسکو را لغو اعلام می*کنم.

سخرانی من با موضوع «دولت*ها به عنوان نویسندگان بدافزار» در این کنفرانس ارائه نخواهد شد.
من انتظاری ندارم که شرکتِ میلیاردر شما و یا کنفرانس میلیونیِ شما در نتیجه*ی رابطه*ای که با NSA دارد، ضرری را متحل شده باشد و البته انتظاری هم از سایر سخن*رانان ندارم که مقالات و سخن*رانی*های خود را لغو کنند. غالب سخن*رانان کنفرانس شما، آمریکایی*هایی هستند که مطمئناً مورد هدف جاسوسی*های NSA نیستند و سایر افراد خارجی هدف این عملیات جاسوسی می*باشند. به هر حال من هم یک خارجی هستم و از کنفرانس شما حمایت نخواهم کرد.»

قبل از اینکه این خبر رو بخونید اون دسته از دوستانی که با اسکادا اشنایی ندارند لینک زیر رو بخونن »

اسکادا چیــــــــــــست ؟
اسکادا هکینگــــــــ


------------------------------------------------

SCADA سرنامِ عبارت Supervisory Control And Data Acquisition به سامانه*های کنترل و اندازه*گیری در مقیاس بزرگ اطلاق می*شود. معمولاً منظور از اسکادا سامانه*ی مرکزی است که نظارت بر یک سایت یا سامانه*ی گسترده در فواصل زیاد را بر عهده دارد و شبکه*های اسکادا معمولاً وظایف بسیار حساسی را برای ارائه*ی سرویس*های حیاتی به عهده دارند. 

شبکه*های اسکادابه گفته*ی راهبران امنیت سایبری ستون فقرات یک کشور به حساب می*آیند و بنابراین چنین درجه*ای از حساسیت مستلزم توجه ویژه*ای به این شبکه*ها در مقابل حملات سایبری و نفوذگران می*باشد. 

اسکادا در اصل از ابتدا فقط برای محیط*هایی ساخته شد که حتی تصور نمی*شد روزی بتوانند انگیزه*ی نفوذگران برای حمله را جلب کنند، محیط*هایی که چندین فرآیند در حال اجرا داشتند و برخی پارامتر*های کلیدی این فرآیندها توسط اسکادا کنترل می*شد.

غالب سامانه*های اسکادا چندین دهه قدمت دارند و سامانه*های با چنین قدمتی محال است که نیازمندی*های امنیت سایبری را در چرخه*ی تولید خود پشت سر گذاشته باشند، بنابراین این سامانه*ها هم*اینک در محیط*هایی فعال هستند که به هیچ وجه برای آن*ها طراحی نشده*اند و به شدت در مقابل حملات سایبریِ ناشی از اتصال این شبکه*ها به اینترنت، آسیب*پذیر هستند. 

درنتیجه تقریباً تمامی* سامانه*های اسکادا به خوبی برای وظیفه*ای که برای آن طراحی شده*اند کار می*کنند و قابل اعتماد و انعطاف*پذیر هستند، اما در عین حال تقریباً بیش*تر این سامانه*ها دارای فاقد امنیت لازم هستند. اختلال در شبکه*های اسکادا می*تواند برای خدمات مهم و حیاتی که این سامانه*ها آن*ها را مدیریت می*کنند، وقفه ایجاد کند و یا روند این فرآیندها را دچار تغییر کند و یا حتی با تغییر داده*های عملیاتی منجر به حوادث جدی شوند. 

اما بهترین شیوه برای بهبود امنیت این سامانه*ها چیست؟ چه گام*هایی برای ایمن کردن این سامانه*ها باید طی شود؟ در ادامه به ارائه*ی چند راه*کار به منظور بهبود امنیت سامانه*های اسکادا پرداخته شده است. 

سناریوی فعلی
پس از وقایع اخیر، بسیاری از شرکت*های امنیتی، طراحی راه*حل*های رفع مشکلات امنیتی اسکادا را آغاز کرده*اند، اما چالش عمده در رفع این مشکلات، گنجاندن روش*های حفاظت از این اجزای حیاتی در راه*بردهای سایبری می*باشد. 

بدافزار استاکس*نت و همچنین حمله به تأسیسات آب کشور ایلیونز نشان داد که می*توان به راحتی از آسیب*پذیری محصولات اسکادا به منظور ایجاد خسارات جدی و در*واقع حملات سایبری علیه کشورها استفاده کرد. این مسائل باید هوشیاری در مورد تهدیدات پیش روی اسکادا را به صورت چشم*گیری افزایش داده باشد و دولت*ها را به افزایش امنیت این سامانه*ها و پیاده*سازی اقدام*های متقابل مناسب برای کاهش خطرات حمله*ی سایبری به این سامانه*ها تشویق کند. هنوز سازوکارهای دفاعی مناسب برای اسکادا وجود ندارد، سامانه*های اسکادا معمولاً متعلق به دولت*هاست که حاضر نیستند بودجه*ی کافی را صرف امنیت سامانه*های اسکادا کنند و همان*طور که بارها مطرح شده است، درصد احتمال حملات سایبری به اسکادا تا قبل از استاکس*نت نزدیک به صفر بود و همین*اینک این درصد فقط اندکی افزایش یافته است، اما خساراتی که این حملات سایبری به بار می*آورند به*قدری بالاست که احتمالات نزدیک به صفر نیز برای مدیران باهوش مهم می*باشد. 

خوشبختانه پس از حملات استاکس*نت، توجه بسیار بیش*تری به سمت سامانه*های اسکادا شد و تعداد آسیب*پذیری*هایی که توسط تولید*کنندگان نرم*افزار*های سامانه*های اسکادا وصله شدند، هر ساله بیش*تر و بیش*ترمی*شود.

در یک سامانه*ی اسکادا، کنترل*کننده*های منطقیِ برنامه*پذیر یا PLC ها مستقیماً به حس*گرهایی متصل هستند که اجزای حیاتی مانند توربین*ها و سانتریفیوژ*ها کنترل می*کنند. اغلب گذرواژه*های پیش*فرض این دستگاه*ها به صورت حک*شده درون کارت*های تعبیه شده درون دستگاه*ها می*باشد. دانستن گذرواژه*ها اغلب مساوی با نفوذ به یک سامانه است. 

گذرواژه*های حک*شده یک آسیب*پذیری در بسیاری از سامانه*های کنترلی صنعتی از جمله PLC های سری S7 شرکت زیمنس هستند و دست*رسی غیرمجاز به این PLC ها به این علت که در مراکز حساس کشور مورد استفاده قرار می*گیرند به معنی رخ*داد یک فاجعه می*باشد. 

یک جست*وجوی نسبتاً ساده در موتور جست*و*جوی 1Shodan نشان می*دهد که هم*اینک یک آسیب*پذیری خطرناک که به نظر می*رسد مربوط به مدل*های شرکت Schneider می*باشند وجود دارد که بسیار نگران*کننده است و همچنین باید نتیجه گرفت که نیاز به یک تغییر سریع وجود دارد. 

آژانس ENSIA2به تازگی توصیه*نامه*ای را برای فعالان صنعتی به منظور بالا بردن امنیت در سامانه*های کنترل صنعتی یا ICS منتشر کرده است. 

این توصیه*نامه ابتدا به بررسی وضعیت فعلیِ امنیت سامانه*های کنترل صنعتی می*پردازد و ۷ توصیه را به منظور بهبود این وضعیت پیش*نهاد می*کند.

پس از استاکس*نت، اغلب دولت*ها به ارزیابی تمامیِ تجهیزات دفاعی خود را در مقابل اسکادا و سامانه*های کنترل صنعتی پرداختند و البته نگاه به نرم*افزارها به عنوان یک وسیله برای راه*اندازی جنگ سایبری افزایش یافت و تمامی کشورها به تقویت نیروی دفاعی و همزمان نیروی لازم برای راه*اندازی جنگ سایبری پرداختند و این مسأله بسیار قابل تأمل است که دفاع فعال در مقابل حملات سایبری فقط شامل دفاع نیست و برخورد متقابلی را نیز به همراه دارد. 

با این همه زیرساخت*های حیاتی اغلب کشورها خصوصاً کشورهای در حال توسعه، بسیار آسیب*پذیر است و اکثر کارشناسان معتقد هستند که به زودی یک حادثه*ی سایبری با خسارات فراوان در راه است. 

به*تازگی یوجین کسپراسکی، مدیر عامل آزمایشگاه امنیتی کسپراسکی، اعلام کرده است که یکی از کارکنان در یک نیروگاه هسته*ای روسیه*ای، وی را از وجود یک آلودگی بدافزاری در این نیروگاه با*خبر کرده است. 

«این کارمند اذعان داشته است که شبکه*ی این سایت هسته*ای که ارتباطی با اینترنت نداشته بود، به شدت آلوده به بدافزار استاکس*نت شده است. و متأسفانه کسانی که مسئول راه*اندازی جنگ*های سایبری هستند از سلاح*های سایبری به خوبی استفاده می*کنند.»

بدافزار استاکس*نت درست از همان*روشی که سایت غنی*سازی نطنز را آلوده کرده است، به شکبه*ی سایت هسته*ای روسیه نیز حمله کرده است و این در حالی است که این حمله به خوبی تحلیل شده و راه*کارهای مقابله با آن خصوصاً وصله* برای آسیب*پذیری*های محصولات مورد هدف، ارائه شده است. 

حمله*ی استاکس*نت به سایت هسته*ای روسیه هم از آن*جایی که این سایت به اینترنت متصل نبوده است، از طریق دستگاه*های USB و یا قابل* حمل صورت گرفته است. این شبکه*ها که به شبکه*های «air-gapped » مشهور هستند، قبلاً هم دچار آلودگی به بدافزار از همین طریق شده بودند و آژانس امنیت اطلاعات روسیه چنین نوع تهدیدی را گزارش داده بود. 

مطابق گزارش کسپراسکی، چنین بدافزاری و این نوع آلودگی از طریق دستگاه*های USB و همراه قبلاً در ایستگاه* فضایی روسیه هم گزارش شده بوده است. 

«ناسا تأیید کرده است که رایانه*های قابل حملی که در جولای سال جاری (تیر ماه ۱۳۹۲) به ایستگاه ISS فرستاده شده*اند آلوده به بدافزار Gammima.AG بوده*اند. این بدافزار برای اولین*بار در سال آگوست ۲۰۰۷ کشف شد و در رایانه*های قربانی به انتظار سرقت اطلاعات ورودی برای بازی*های برخط محبوب می*ماند. ناسا اذعان داشته است که این اولین بار نیست که یک رایانه*ی آلوده به ایستگاه*های فضایی سفر کرده است و آن*ها در حال بررسی این مسأله هستند که این رایانه*ها چگونه قبل از سفر آلوده می*شوند.»

اشاره به بدافزار استاکس*نت در*واقع به این علت است که یک مطالعه*ی موردی را بررسی کنیم. این بدافزار بسیار در دنیای امنیت سایبری بدنام است و هنوز هم قادر است به آلوده*کردن و در دست گرفتن کنترل شبکه*های زیرساخت*های حساس بپردازد. این مسأله اصلاً بعید نیست که همین امروز حملات سایبری علیه سامانه*های اسکادا شروع شود که عامل اصلی آن یک سلاح سایبری یا بدافزار است که توسط دولت*ها شکل گرفته است. 

مطابق آخرین نظرسنجی موسسه*ی SANS پیرامون امنیت اسکادا و سامانه*های کنترل صنعتی، هوشیاری در مقابل خطرات و تهدیدات حملات سایبری بسیار بالاست و البته به همین میزان هم گزارش*هایی که از مراکز پاسخ*گویی به حملات رخ*دادهای سایبری در مورد میزان خطرات حوادث امنیت سایبری می*رسد، خصوصاً در مورد بخش انرژی، بالاست. 
http://ashiyane.org/forums/attachmen...0&d=1388076875
علاوه بر این به*تازگی، مرکز پاسخ*گویی به رخدادهای سایبری آمریکا، US-CERT اعلام کرده است که کمپین حملات اسپر-فیشینگ علیه بخش انرژی به منظور در دست* گرفتن کنترل از راه دور سامانه*های کنترلی به شدت افزایش پیدا کرده است. این بدین معنی است که مقابله با حملات سایبری در بخش سامانه*های کنترل صنعتی و اسکادا باید در سطوح مختلفی و با رویکردهای مختلفی صورت بگیرد. آموزش نیز به همین شکل باید در بخش مقابله با حملات اسپر-فیشینگ، حملات روز-صفرم، و حتی در مورد تهدیدات داخلی نیز فعالانه صورت بگیرد.

اسکادا از زیرسیستم*های زیر تشکیل شده است

سیستم نظارت که وظیفه*ی جمع**آوری و یادگیری داده به منظور کنترل فعالیت*های فرآیند. 
کنترل*کننده*های منطقی برنامه*پذیر یا PLC که آخرین فعال*کننده*ها هستند و به دستگاه*ها متصل می*شوند.
واحدهای دست*رسی از راه دور یا RTU دستگاه*های الکترونیکی کوچک که واسط بین اسکادا و حس*گرها می*باشند و داده*ها را بین این دو انتقال می*دهند. 
زیرساخت*های ارتباطی که اسکادا و RTU را به یکدیگر متصل می*کند. 
سایر تجهیزات تحلیل و انجام فرآیند. 

عکــــــــــــســـ
مهاجمین می*توانند هر کدام از این زیرسیستم*ها را مورد حمله قرار دهند و فرآیند کنترل را از وضعیتی که انتظار می*رود تغییر داده و خراب*کاری ایجاد کنند. 

به طور مثال، هر سامانه*ی نظارتی، یک رایانه با یک سامانه*عامل تجاری است که به احتمال زیادی تعداد زیادی کد سوء*استفاده از آسیب*پذیری برای آسیب*پذیری*های روز-صفرم آن*ها وجود دارد و این یعنی برای مهاجم این امکان را وجود دارد که به راحتی با آلوده کردن رایانه به وسیله*ی USB و یا حتی از طریق شبکه به کد سوء*استفاده، آسیب*پذیری موجود را مورد بهره*برداری قرار دهد. 

ایجاد و پایبندی به یک چارچوب مدیریت خطر، به نظر مقرون**به*صرفه*ترین رویکرد به منظور تأمین امنیت سایبریِ زیرساخت*های حیاتی می*باشد. 

موسسه*ی استاندارهای سایبری NERC تمامی واحدهای مرتبط با تأمین امنیت سایبری را به پیروی از فرآیند زیر دعوت می*کند: 

شناسایی خطرات
پیاده*سازی کنترل و کاهش خطرات
حفظ سطوح مختلف خطر، از طریق ارزیابی و نظارت 

عکســــــــــــــــــــ
شناسایی و نظارت به ارتباطات شبکه*های اسکادا

به منظور محافظت از اسکادا، ضروری است که تمامی ارتباطات به شبکه*های اسکادا شناسایی شوند، ارزیابی میزان خسارت و نحوه*ی حمله به هر بخش انجام شود و تمامی اقدام*ها لازم به منظور کاهش خطر صورت بگیرد. 

شناسایی و شمارش ارتباطات کلی، نقاط پایانی ارتباطات (به طور مثال مدیریت سیستم، شرکای تجاری و ارائه*دهندگان محصولات تجاری) می*تواند مفید باشد. همچنین به منظور تأمین امنیت، احراز هویت سازوکارهایی که تعبیه شده، پروتکل*هایی که از سایر صنایع و یا به طور کلی از بیرون از مقر اصلی دریافت شده، عمل*کردی که به عنوان سرویس ارائه می*شود، سازوکارهای رمزنگاری که باز هم از بیرون دریافت شده، انواع روش*های ارتباطی(اترنت، شبکه*های بی*سیم و … ) و مهم*تر از همه سامانه*ی دفاعی که به منظور محافظت و دفاع از همه*ی این موارد فراهم شده است نیز باید در دستور کار قرار بگیرد. 

هرگونه ارتباط با یک شبکه*ی بیرونی دیگر به معنی وجود خطر است، به*خصوص در مورد ارتباط شبکه*های درونی با اینترنت باید بسیار محتاط بود و باید امنیت این ارتباطات را تا حد ممکن بهبود بخشید. 

استفاده از «مناظق امن غیر نظامی» یا demilitarized zones که به DMZ*ها مشهور هستند ضروری به نظر می*رسد، و همچنین انبار داده*ها به منظور تأمین راهی مطمئن برای انتقال آن**ها باید مد نظر قرار داده شود. 

وجود یک نقشه*ی بسیار دقیق از شبکه که بتوان نقاط حساس و ارتباطات خطرناک را شناسایی کرد بسیار حائز اهمیت است و نتایج ممیزی اتصالات شبکه به صورت مستند با در نظر گرفتن همه تجهیزات شبکه به منظور بررسی اینکه همه نقاط در نقشه منظور شده*اند یا خیر نیز به نوبه*ی خود مهم است. اجزای زیر در نقشه می*بایست مستند شوند: 

شناسه منحصر به فرد (شماره سریال یا یک شماره*ی منتسب*شده*ی منحصر به فرد برای هر جزء)
شرح عمل*کرد هر نقطه
مکان فیزیکی
تجهیزات امنیتی هر نقطه که چگونه از یک بخش ویژه محافظت می*شود
ارتباطات شبکه به/از این نقطه
آدرس*های شبکه (مک، آی*پی، اسکادا و …)
و سایر واسط*های فیزیکی در دست*رس
نکته*ی بسیار مهم تغییر وضعیت پیش*فرض در دستگاه*ها است، از آن*جایی که غالب آسیب*پذیری*های روز-صفرم مبتنی بر تنظیمات پیش*فرض می*باشد، هر دستگاهی که وارد شبکه می*شود باید پیکربندی آن را از حالت پیش*فرض تغییر داد. 

همچنین بررسی وضعیت دیواره*ی آتش، سامانه*های تشخیص نفوذ، به روز کردن سامانه*های تشخیص نفوذ، و تمامی سامانه*های دفاعی شبکه در هر نقطه اهمیت دارد. 

محافظت در مقابل تهدیدات بلادرنگ 

حملات سایبری اخیر علیه زیرساخت*های حیاتی، به شدت از نظر پیچیدگی پیش*رفته*تر شده*اند. چنین حجم انبوهی از حملات سایبری برنامه*ریزی شده فقط با اعمال به*موقع وصله*های امنیتی برای رفع آسیب*پذیری*ها قابل مقابله نیست.

این تهدیدات نیازمند این هستند که به خوبی و بلادرنگ با آن*ها مقابله شود و سامانه*های پیش*گیری از نفوذ نیز تقویت شوند. یعنی قبل از رخداد حمله نیز باید سامانه*های دفاعی فعالیت*های تاثیرگذار داشته باشند. به منظور پیش*گیری از نفوذ نیز مانند وضعیت تشخیص و مقابله با نفوذ، لایه*بندی*هایی وجود دارد که متخصصین امنیتی پیش*نهاد داده*اند و مطابق زیرساخت شبکه باید نسبت به راه*اندازی و به روز کردن آن*ها هوشیار بود. 

اوایل سال جاری کایل ویلهویت1، یکی از پژوشگران ترندمیکرو، از افزایش استفاده از AutoIT2 در چندین ابزار نفوذ و بدافزار خبر داد. به گفته ی وی به دلیل زبان ساده و آسان این ابزار، انتظار می رود عوامل تهدید این زبان اسکریپت نویسی را بیشتر در طرح های خود به کار ببندند. اکنون گفته ی وی به حقیقت پیوسته است.
ترند میکرو خبر داد که اخیراً با گونه ای از بدافزار زئوس مواجه شده که با پرونده های بیهوده و یک پرونده ی مخرب AutoIT همراه است. این بدافزار از طریق هرزنامه منتشر می شود و با عنوان TSPY_ZBOT.SMIG شناسایی شده است؛ همانند سایر انواع زئوس، این گونه نیز پرونده ی پیکربندی را در سامانه ی فرد رها می سازد که حاوی فهرستی از بانک های هدف و سایر وب گاه های مالی است. همچنین این بدافزار اقدام به سرقت اطلاعات از وب گاه های مختلف FTP کرده و گواهی های شخصی را از سامانه های آلوده می رباید.

همچنین ترندمیکرو دو بدافزار دیگر را با نام های TSPY_CHISBURG.A و TSPY_EUPUDS.A شناسایی کرده که از همین ابزار بسته بندی3 استفاده می کنند. زمانی که TSPY_CHISBURG.A در حافظه بار می شود، نام های کاربری و گذرواژه ها را از یاهو، هات میل، پیدگین، فایل زیلا و ***/ISP سرقت می کند. TSPY_EUPUDS.A نیز اطلاعاتی چون شناسه ی کاربر، نسخه ی سامانه عامل، نوع مرورگر و نسخه ی آن را از سامانه های آلوده سرقت می کند؛ نام های کاربری و گذرواژه های ذخیره شده در مرورگرها نیز در جمع این اطلاعات سرقتی قرار دارند. احتمالاً مجرمان سایبری این اطلاعات را در بازارهای زیرزمینی برای راه اندازی سایر حملات به فروش می رسانند.

با توجه به کد ابزار بسته بندی جدید AutoIT که در اینترنت یافت می شود، قابلیت انتشار از طریق درایوهای قابل جابه جایی نیز به ویژگی های آن اضافه شده و ضدبدافزار نصب شده در سامانه را نیز بررسی می کند. همچنین این کد دارای قسمت های بیهوده و توابع مبهمی است که تجزیه و تحلیل آن را دشوارتر ساخته است. در حالی که این بدافزارها (TSPY_CHISBURG.A و TSPY_EUPUDS.A) قدیمی هستند اما به نظر می رسد که ابزار مؤثر و مفیدی برای سرقت اطلاعات باشند به ویژه با توجه به قابلیت های جدید AutoIT!

با تلفیق این بدافزار و یک زبان اسکریپت نویسی مانند AutoIT تجزیه و تحلیل بسیار دشوار می شود؛ به ویژه اگر هیچ دی کامپایلری وجود نداشته باشد که در تجزیه و تحلیل بدافزار به کمک پژوهش گران بیاید. از طرفی AutoIT توسط برنامه های کاربردی معمول نیز استفاده می شود؛ بنابراین این بدافزار که در حالت فشرده است، باید غیرفشرده شود تا بتواند روال ها و رفتارهای مخرب خود را به اجرا بگذارد.

برای مقابله با این گونه از بدافزارها، همانند همیشه، توصیه می شود که از گشودن رایانامه های ناخواسته پرهیز کنید و پرونده های ضمیمه شده در آن ها را باز نکنید. علاوه بر این، کاربران باید سامانه ها و ضدبدافزار خود را به طور منظم به روزرسانی کنند.

در چند ماه گذشته پیشرفت*هایی که در CryptoLocker ایجاد شده، توجه عموم مردم را به این باج*افزار جلب کرده است.

ظاهراً این پیشرفت*ها در روزهای پایانی سال ۲۰۱۳ نیز ادامه دارد. به گفته*ی پژوهش*گران ترندمیکرو گونه*ی جدیدی از این باج*افزار قادر است از طریق رسانه*های قابل جابه*جایی انتشار یابد. این به*روز*رسانی بسیار قابل توجه است؛ زیرا در هیچ یک از گونه*های قبلی کریپتولاکر شاهد آن نبودیم و بدین وسیله این باج*افزار می*تواند به آسانی انتشار یابد.

علاوه بر شیوه*ی انتشار، به نظر می*رسد که تغییرات دیگری نیز در این گونه*ی جدید رخ داده است. در نمونه*های قبلی، این بدافزار برای آلودگی یک سامانه بر بارگیری*کننده*ها تکیه داشت اما این گونه*ی جدید ظاهرِ یک فعال*ساز را برای نرم*افزارهای مختلف مانند فوتوشاپ و آفیس در وب*گاه*های به*اشتراک*گذاری همتا به همتای پرونده به خود می*گیرد. به این ترتیب بارگذاری بدافزار در وب*گاه*های P2P به افراد خراب*کار این امکان را می*دهد که به آسانی و بدون نیاز به ایجاد هرزنامه*ها، اقدام به آلوده*سازی رایانه*ها کنند.

پژوهش*گران ترندمیکرو این گونه*ی جدید را که از الگوریتم تولید دامنه استفاده می*کند، WORM_CRILOCK.A نامیده*اند. استفاده از الگوریتم تولید دامنه امکان فرار از شناسایی توسط پژوهش*گران را برای این افراد مهیا می*کند.

ظاهراً تفاوت*های زیاد بین این گونه*ی جدید و گونه*های قبلی برخی پژوهش*گران را دچار تردید کرده که اساساً نوعی از باج*افزار کریپتولاکر به شمار می*آید یا خیر! به عنوان مثال پژوهش*گران ESET اشاره داشتند که این بدافزار که خود را CryptoLocker 2.0 می*خواند، مدعی استفاده از RSA-4096 است؛ در حالی که در*واقع از RSA-1024 استفاده می*کند و برخلاف نسخه*های قبلی تایمری با شمارش معکوس را به نمایش نمی*گذارد؛ همچنین باج درخواستی خود را صرفاً از طریق بیت*کوین قبول می*کند که با گونه*های قبلی متفاوت است.

به گزارش شرکت Dell SecureWorks میزان خسارت و خرابی این باج*افزار زیاد بوده و در ۱۰۰ روز اول کمپین خود که از ۵ سپتامبر آغاز شده، توانسته ۲۰۰۰۰۰ تا ۲۵۰۰۰۰۰ رایانه را آلوده کند.
ظاهراً این باج افزار کاربران انگلیسی زبان و به طور ویژه آمریکا را هدف قرار داده است.

به توصیه*ی کارشناسان برای پیشگیری از آلودگی به این بدافزار کاربران باید هنگام مواجهه با وب*گاه*های همتا به همتا نهایت هوشیاری خود را در دریافت نسخه*های نرم*افزار به کار گیرند و سعی کنند از نسخه*های اصلی و معتبر نرم*افزارها استفاده نمایند. همچنین از آن*جایی که این باج*افزار از طریق دستگاه*های حمل*پذیر و قابل جابه*جایی منتشر می*شود، کاربران هنگام استفاده از حافظه*های فلش باید مراقب باشند و این رسانه*ها را به سامانه*های آلوده و ناشناس متصل نکنند.

Target امروز صبح تأیید کرد که در شکاف بزرگ داده ای که چند روز پیش رخ داده است، گذرواژه های رمز شده ی کارت های اعتباری نیز به سرقت رفته است. 

سخنگوی این بانک، Molly Snyder، امروز به خبرنگاران اعلام کرد که همزمان با ادامه داشتن جرم شناسی های این سرقت، کشف شده که داده های PIN نیز به سرقت رفته است. اگر چه وی سپس تصریح کرده است که این داده ها در امان هستند و به صورت رمز شده نگه داری می شده اند. 

این سرقت بزرگ داده در روز ۱۵ دسامبر اتفاق افتاده بود و سه روز بعد در خبرگزاری ها خبر این نفوذ منتشر شد، اما خبر نفوذ به گذرواژه ها امروز توسط این بانک تأیید شده است. 

در اخبار اعلام شد که داده های به سرقت رفته در انجمن های زیرزمینی با رقمی در حدود میلیون دلار به فروش گذاشته شده است. نکته این جاست که با داشتن شماره کارت و رمز این کارت ها بدون داشتن کارت می توان به استفاده از آن و سرقت های مالی پرداخت. 

اینطور که به نظر می رسد اصلاً بعید نیست که به راحتی بسیاری از این رمز های به سرقت رفته رمزگشایی و قابل استفاده شوند. البته Target اعلام کرده است که کلید لازم برای رمزگشایی این داده ها در سامانه ای که به آن نفوذ شده است وجود نداشته و نفوذگران نمی توانند از این رمزها استفاده کنند. 

باید منتظر ماند و دید عواقب این نفوذ بزرگ در دنیای مالی چه تأثیری خواهد گذاشت؟