ايتنا - آخرين عناوين امنيت :: نسخه کامل http://www.itna.ir/security Thu, 23 Nov 2017 14:30:14 GMT استوديو خبر (سيستم جامع انتشار خبر و اتوماسيون هيئت تحريريه) نسخه 3.0 /skins/default/fa/normal/ch01_newsfeed_logo.gif تهيه شده توسط سايت خبری فناوری اطلاعات (ايتنا) http://www.itna.ir/ 100 70 fa نقل و نشر مطالب با ذکر نام سايت خبری فناوری اطلاعات (ايتنا) آزاد است. Thu, 23 Nov 2017 14:30:14 GMT امنيت 60 دریافت گواهینامه معتبر دوره CCISO از مرجع اعتباردهی امریکا ANSI http://www.itna.ir/news/51020/دریافت-گواهینامه-معتبر-دوره-cciso-مرجع-اعتباردهی-امریکا-ansi بنا بر پیش‌بینیها  و همین طور تجربیات کسب شده شرکت کاریار ارقام، پس از دریافت گواهینامه ANSI، میزان درخواست گذراندن دورههای CCISO رشد قابل ملاحظهای پیدا خواهد کرد و استقبال داوطلبان دوره CCISO بیش از پیش خواهد بود زیرا بنا به اهمیت مرجع اعتباردهی ANSI، این دوره به عنوان پیشنیاز شغلی افراد داوطلب شغل مدیریت امنیت اطلاعات یا برنامه بازآموزی مدیریتی امنیت اطلاعات خواهد شد. براساس اخبار منتشره از سوی هیئت علمی EC.Council ، این شرکت موفق شده  تا از مرجع اعتباردهی امریکا ANSI ،گواهینامه معتبر دوره CCISO را دریافت نماید. لذا این دوره به همراه CEH ، از جمله دو دوره اعتبارداده شده  توسط ANSI می باشند. لازم به ذکر است کسب این گواهینامه برای این دوره  به مثابه برآورده سازی استانداردها و الزامات لازم در بحث مدیریت امنیت اطلاعات در بازار کار امنیت اطلاعات تلقی میگردد. لذا از شما دوستان دعوت میکنیم تا در این مسیر در کنار ما باشید زیرا با کسب گواهینامه این دوره، آینده شغلی و مدیریتی خود را تضمین خواهید نمود و همچنین به کسانی که در این دوره ثبت نام نمودهاند و CCISO  را به عنوان پایه ای در پیشرفت کسب و کار حرفه ای خود در نظر گرفته اند، تبریک می گوییم. خواهشمند است متقاضیان دوره جهت ثبت نام یا مشاهده شناسنامه دوره  به سایت شرکت کاریارارقام  نماینده رسمی ایسیکانسیل  مراجعه نمایند.   منبع خبر : کاریار ارقام ( cdigit.com) تماس : 02188612979 کانال تلگرام https://t.me/cdigit   ]]> امنيت Thu, 23 Nov 2017 10:56:09 GMT http://www.itna.ir/news/51020/دریافت-گواهینامه-معتبر-دوره-cciso-مرجع-اعتباردهی-امریکا-ansi افشای اطلاعات میلیون‌ها کاربر اوبر http://www.itna.ir/news/51040/افشای-اطلاعات-میلیون-ها-کاربر-اوبر   سال گذشته هکرها اطلاعات ۵۷ میلیون مشتری و راننده شرکت تاکسی اینترنتی اوبر را دزدیدند. این درحالی است که شرکت ۱۰۰ هزار دلار باج به آنان داده بود تا اطلاعات را حذف کنند. این اطلاعات در اکتبر ۲۰۱۶ میلادی هک شده بود و اوبر یکسال این اتفاق را مخفی نگه داشته بود. به گزارش ایتنا از مهر،  اوبر ادعا می کند اطلاعات زمانی فاش شده که این شرکت  مشغول مذاکره با قانونگذاران آمریکایی درباره زیرپا گذاشتن قوانین حفظ حریم خصوصی بوده است. به هرحال شرکت اعتراف کرده از لحاظ قانونی ملزم به گزارش هک به قانونگذاران و رانندگانی بوده که شماره پلاک خودروهایشان فاش شده است. اما در عوض ۱۰۰ هزار دلار به هکرها پرداخت کرده تا اطلاعات را حذف کنند. در همین راستا جو سالیوان مدیر ارشد امنیت وقت اوبر به همراه یکی از کارمندان ارشد او به دلیل پنهان کردن هک اخراج شدند. تراویس کالانیک مدیر ارشد سابق شرکت نیز یک ماه بعد از این هک خبردار شد. درهمین راستا دارا خسروی مدیر ارشد جدید اوبر در یک بیانیه اعلام کرد: هیچ یک از این رویدادها نباید اتفاق می افتاده است.  هیچ عذر و بهانه ای در این باره ندارم، اما ما مشغول تغییر روند کسب وکار خود هستیم. در این هک، اطلاعات ۷ میلیون راننده فاش شده است. اما اوبر ادعا می کند اطلاعات مربوط به کارت های اعتباری، شماره تامین اجتماعی یا مکان سفرهای افراد محفوظ مانده است. ]]> امنيت Wed, 22 Nov 2017 12:14:02 GMT http://www.itna.ir/news/51040/افشای-اطلاعات-میلیون-ها-کاربر-اوبر تحلیل نفوذ با استفاده از Windows PowerShell http://www.itna.ir/article/51031/تحلیل-نفوذ-استفاده-windows-powershell چکیده شرکت مایکروسافت به طور پیوسته فناوری خود را تکامل داده است و ابزارهایی که برای تحلیل  نفوذ قابل استفاده میباشد ، معرفی کرده است. ابزارهایی مانند فایروال پیشرفته ویندوز و لاگ  رویدادهای مثال هایی از این دست هستند لیکن تمرکز این مقاله بر روی جهشی سریع و روبه جلو است: PowerShell به گزارش ایتنا، بسیاری از تحلیلگران می بایست از ویندوز به عنوان پلتفرم اصلی برای تحلیل استفاده کنند، و تنها با PowerShell ، میتوانند بسیاری از وظایف روزمره خود را انجام دهند. PowerShell تنها زبانی برای راهبری نیست: میتواند تطبیق الگوی عبارات منظم را انجام دهد، یکپارچگی یا تمامیت نظارت بر شبکه را بررسی کند، رویدادهای امنیتی را تجزیه و تحلیل کند، و تقریباً ابزاری با توانایی نامحدود در سایر کاربردها می باشد. در این مقاله، تعدادی از این تکنیک ها و قابلیت ها را دقیقتر بررسی می کنیم.    گواهینامه طلایی GIAC   پذیرفته شده در 29 may 2014 1- مقدمه مایکروسافت در اواخر سال  90 در موقعیتی بود که میلنیوم از منظر امنیت مورد توجه نبود.مایکروسافت در سال 2002 تمامی توسعه هایش را بر روی این پلتفرم متوقف نمود، و بیل گیتس طلیعه دوران جدیدی که “محاسبات ایمن و قابل اعتماد”  نامگذاری کرد داد.(کالاهان، 2014)   او محاسبات ایمن را اینگونه تعریف نمود: “ محاسباتی دسترس پذیر، قابل اطمینان و امن به همان میزان که سایر خدماتی چون برق ، آب و تلفن می باشند.” این تلاشها مسیری را طی نموده است که مایکروسافت را بزرگترین  سیستم عامل در حال استفاده سمت کاربر بر روی کره زمین ساخته است. به گونه ای که احتمال دارد یک تحلیلگر تشخیص نفوذ از یکی از انواع سیستم های عامل ویندوز استفاده می کند در حالی که سیستم های ویندوز را نیز بررسی می نماید. در گذشته ، ابزارهای مختلفی با تمرکز بر ابزارهای لینوکس برای انجام تحلیل مناسب  دانلود می شدند. مایکروسافت در حال حاضر ابزارهایی مانند      Microsoft Event Viewer  و فایروال ویندوز را فراهم آورده که نیاز به سایر ابزارها را حذف کرده است. از این روست  که تحلیل نفوذ بدون دانلود بسیاری ابزارها امکان پذیر است. یکی از بهترین ابزارهایی که مایکروسافت ایجاد نموده PowerShell است.  PowerShell زبانی با امکان پشتیبانی از اسکریپت و مملو از ویژگی است که توسط مایکروسافت به عنوان زبان راهبری سیتم بر روی   .NET Frameworkساخته شد.   (تک نت، 2013) PowerShell قابلیتهای بسیار بیشتری نسبت به پیشینیان خود ارائه می دهد: قابلیت اجرای دستورات   کلاسیک cmd.exe مانند net.exe و netsh.exe و تمام اشیاء درون ساختی کام ، به گونه ای که تمامی اسکریپت های VB به PowerShell ارتقا یابند. PowerShell به عنوان زبان تحلیل می تواند از قابلیت های راهبری استفاده نماید تا وظایف نظارتی سایر فناوریهای امنیتی مایکروسافت از قبیل فایروال ویندوز مایکروسافت، اکتیو دایرکتوری، و ثبت رویداد ویندوز را اجرایی نماید. به منظور برخورداری از امتیازات قابلیت نظارت PowerShell ، یک تحلیلگر نیاز به یادگیری اسکریپت نویسی و استفاده از منطق برنامه دارد که در پاورشل  سخت نیست ، اگرچه نکات ظریفی وجود دارد که می تواند پیچیده باشد.   2-1 PowerShell: کار کردن در محیط Shell اولین چیزی که در مورد یک نرم افزار جدید باید یاد گرفت این است که چطور با آن آشنا شویم. در صورتی که سیستم شما حداقل ویندوز 7 حرفه ای باشد (در زمان نوشتن این مقاله، ویندوز 7 یک سیستم حداقلی است)، برنامه PowerShell به صورت پیش فرض بر روی سیستم نصب شده است و از طریق خط فرمان در محیط cmd با تایپ کردن کلمه PowerShell قابل دسترسی است. این موضوع در شکل 1 نشان داده شده است. شکل 1: محیط برنامه PowerShell با زدن دستور فوق، پنجره آبی رنگ برنامه PowerShell (مطابق شکل 1) نمایش داده می شود. این محیط بهبود یافته ای است که میکروسافت برای PowerShell تهیه کرده است. شکل 2: دستور dir در محیط PowerShell با وارد کردن دستور dir فهرستی بر روی صفحه نمایش داده می شود که با آنچه در محیط قدیمی cmd.exe نشان داده می شود، متفاوت است (شکل 2). شکل 3: دستور ls در محیط PowerShell دستور ls نیز خروجی مشابهی دارد. این دستور در واقع نام مستعاری برای دستور cmdlet در Get-ChildUtem در PowerShell است (شکل های 3 و 4). شکل 4: دستور Get-Alias ls 2-2 تحلیل log با استفاده از PowerShell راهنمای برنامه PowerShell همانند راهنمای رسمی برنامه PowerShell از میکروسافت  (Windows PowerShell First Steps, Windows 2013) یا راهنمای PowerShell deep Drive نشان می‌دهد که دستور get-alias cmdlet می‌تواند یک نام مستعار برای هر cmdlet در محیط PowerShell ایجاد کند. برنامه PowerShell برای نامگذاری دستورات مبتنی بر .net خودش از اسامی دوتایی با ترکیب اسم-فعل استفاده می‌کند. دستور Get-Command نشان می‌دهد که چه cmdlet هایی قابل دسترسی اند. دستور Get-Help می‌تواند با انتخاب‌های بیشماری، با دستور cmdlet به کار رود. پس از مروری بر روی cmdlet ها، دستور Select-String بسیار جالب به نظر می‌رسد، خط اول در بخش Description چنین خوانده می‌شود: دستور Select-String متون و الگوهای متنی را در یک رشته حرفی یا در فایل ها جستجو می‌کند. شما می‌توانید از این دستور همانند دستور Grep در یونیکس و یا دستور Findstr در ویندوز استفاده کنید. برای تست این دستور، آن را بر روی فایل های syslog و یک رشته حرفی مشخص، امتحان کنید. به منظور ارزیابی توانایی های PowerShell در مورد تحلیل log ها می توانید چند مثال از syslog های سیسکو را در نشانی زیر دانلود کنید: https://www.cisco.com/c/en/us/about/security-center/identify-incidents-via-syslog.html یکی از نشانی های IP در فایل، 192.168.208.63 است و می توان دستور را به صورت زیر به کار برد: Select-String 192.168.208.63.\CiscoLogFileExample.txt با وارد کردن دستور بالا، نتایج زیر نمایش داده می‌شود (شکل 5): شکل 5: دستور Select-String در شکل 5، خروجی دستور فوق، مشابه خروجی دستور grep در یونیکس است؛ البته با اطلاعات بیشتر. این داده ها در برخی موارد جالب هستند، اما برای یافتن دقیق داده در خط مورد نظر، خروجی فوق باید به دستوری برای یافتن خط مورد نظر هدایت شود (شکل 6). شکل 6: انتخاب خط توسط دستور Select-String این دستور نشان می‌دهد که خط شناسایی شده در Select-String Cmdlet با خط مورد نظر برای جستجو مطابقت می‌نماید. برای اینکه ببینیم چطور با تحلیل یک host تعداد زیادی اتصالات ایجاد می شوند، خروجی یک دستور می‌تواند به دستور دیگری مثل Measure-Object هدایت شود (شکل 7). شکل 7: دستور Select-String برای بررسی line این دستور می‌تواند شماره داده ها و نیز میانگین، تعداد، حداکثر، حداقل و دیگر مشخصات را به دست آورد. دستور زیر (شکل 8) از دستور خط فرمان Kung-Fu گرفته شده است (ویلیامز 2011). این دستور کلیه آدرس های IP که مشخصاتشان مطابقت دارد را یافته، مقدار آنها را انتخاب کرده، مقادیر منحصر به فرد را یافته و به خروجی می‌فرستد. شکل 8: دستور Select-String خروجی را sort کرده و تعداد اقلام را می‌دهد. حذف Measure-object موجب می‌شود کلیه IP  ها به جای نمایش تعداد آنها، نمایش داده شوند (شکل 9). دستور Measure-object باعث می‌شود تعداد IP ها نمایش شمرده شود.  به جای تعیین اینکه کدام آدرس IP بیشترین ارتباط را داشته، آخرین دستور انتقال یافته به مقدار نظیر شکل 9 تعیین می شود. سپس گروه دستور بر روی یک ریدف به گروهی از همه آدرسهای IP خارج شده مرتب می شود و این اشیاء با استفاده از آرایه ها مرتب می شوند. شکل9- انتخاب آرایه مرتب سازی واحد این مرتب سازی آدرسهای IP در یک الگوی نزولی از نظر تعداد به shell ارسال می شود. (شکل 10) شکل 10- انتخاب آرایه شماره IP ها با این نوع از تجزیه و تحلیل در یک فایل گزارش، top talkers مشخص می شود. در این قسمت دستور مورد نیاز جهت سهولت دسترسی آورده شده است.    2-3 آنالیز دیواره آتش با PowerShell یک مخرب برای تحلیل سیستم های ویندوز به سختی گزارش های دیوار آتش ویندوز را درون یک  مخزن مرکزی متمرکز می کند. برای دیواره آتش پیشرفته یک محل ذخیره سازی گزارش مرکزی می تواند توسط دستور فرمان .net.exe  ، که دستور منطقی PowerShell است، بخشی در .Net و بخشی در مدیریت ویندوز ، تنظیم گردد. اولین گام برای این هدف یافتن محل ذخیره شدن گزارش ها در سیستم ویندوز است. این دستور می تواند تنظیمات گزارش ها در دیواره آتش ویندوز که در قسمت سیاست گذاری GPO باید فعال شود را جهت تجزیه و تحلیل دریافت نماید. این دستور نشان می دهد که گزارش دیواره آتش در مسیر %systemroot%\system32\LogFiles\Firewall\pfirewall.log قرار دارد و جهت بازکردن فایل PowerShell نیازمند داشتن سطح دسترسی مدیریتی خواهد بود. اولین گام دریافت دستور فوق درون یک متغییر با استفاده از منطق Script است. خوشبختانه PowerShell یک محیط Script نویسی یکپارچه به نام PowerShell.ise در خود دارد. شکل 11- گزارش گیر دیواره آتش سپس دستور بالا را مطابق شکل شماره 11 اجرا نمائید و شماره ارتباط را بدست آورید. اطلاعات زیر مطابق شکل شماره 12 نمایش داده خواهد شد. شکل 12- تجزیه و تحلیل دیواره آتش از طریق این اطلاعات، سطح ارتباطها، default gateway و همه ارتباطهای داخلی و خارجی سیستم استخراج می گردد. اکنون برای حل مسئله گزارش­گیری مرکزی لازم است محل ارسال داده بر روی شبکه تشخیص داده شود. با فرض اینکه او آدرس \\secureshare\logs\ را برگزیده است، تغییر این دستور کار ساده ای می باشد. جهت ارسال log های این سیستم به share drive  با فرمت زیر : (Data)- (Hostname)-FWLogs.log، شناسه ی log – name یکسانی اجرا می شود. شکل13- گرفتن log های فایروال شکل14- ارسال به log file مرکزی با log file پاک شده (شکل14) انتخاب دیگری از آنچه که می خواستیم و به log file فرستادیم به آسانی صورت می گیرد. یا یک جدول کاری در میان حوزه GPO (دستور cmdlet خواسته شده ) استفاده شده یا جدول کاری بر روی سیستم های بحرانی اجرا شود. 2-4- ماژول های power shell PowerShell از لحاظ عملکردی بسیار کاراست، اما زمانی که قابلیت اضافه ای لازم باشد ماژول PowerShell و توسعه های عمومی power shell وجود دارند.این ماژول ها نوشته شده اند که قابلیتی را به power shell اضافه کنند و یکQuest  اکتیو دایرکتوری cmdlet توسط نرم افزار Quest(Dell) یک ماژول خیلی مفید است. Cmdlet می تواند در http://www.quest.com/powershell/activeroles-server.aspx دانلود شود. بعد از نصب، Quest اکتیو دایرکتوری shell می تواند از منوی start شروع شود و یا از طریق کد زیر اجرا شود: Add-PSSnapin quest.activeroles.admanagement. این PowerShell snapin اجرا خواهد شد اگر قبلا اضافه نشده باشد(اگر این را دارا باشد، کنسول فقط خروجی یک خطا را دارد)، این بویژه برای یک scripting خوب می باشد. Scriptهای استفاده شده ی این ماژول بسیار خوب میباشند برای مانیتورینگ گروه های امنیتی بحرانی مانند "مدیر ادمین". برای مانیتورینگ یک گروه امنیتی کد زیر را (شکل 15) در بالای script بعد از نصب Quest اکتیو دایرکتوری cmdlets اضافه کنید. شکل 15- ماژول import نظارت بر حساب های کاربری "ادمین‌های دامنه" اکنون باید ساده شده باشد. با ساخت متغیرهایی برای هر دو فایل و پایپ کردن دستور Get-QADGroupMember در متغیر $current از طریق فایل خروجی cmdlets برای نیل به حالت عضویت در گروه در مورد حساب کاربری تحت نظارت (شکل 16). شکل 16 – مقایسه کاربران ادمین در مرحله بعد، منطقی باید برای فایلها ایجاد شود. چنین منطقی وجود مسیر مقایسه را می آزماید: تفاوت بین فایل‌های فعلی و مقایسه، اگر در شکلی از آن وجود داشت، یک پیام از طریق ایمیل بایست ارسال گردد. سپس فایل فعلی بایست با فایل مقایسه بمنظور اجرا در مرحله بعد جابجا گردد. اگر فایل مقایسه وجود نداشت، فایل فعلی باید به فایل مقایسه انتقال داده شود و پیامی حاوی اینکه نظارت شروع شده است ارسال خواهد شد. شکل 17 – اخطار برای تغییرات ادمین مرحله بعد تبدیل این اقدام به حالت بازگشتی است. راه‌های زیادی برای این کار وجود دارد، از جمله ساخت برنامه زمان بندی برای وظایف در ویندوز و کد کردن آن در قالب اسکریپت. این کار را میتوان در یک حلقه دنباله دار که یک حلقه while دارد انجام داد (شکل 18). دستور Sleep در پایان می‌گوید 100 ثانیه صبر کن و البته می‌توان بیش از این نیز در فرآیند دخالت نمود (شکل 18).   شکل 18 – افزودن دستور sleep   اگر گروه‌های بیشتری نیاز به تحلیل داشتند، اسکریپت باید بدان منظور پارامتربندی و کاربردی شود.     2.4.1 نظارت بر دیگر گروه‌های امنیت از راه کاربردی کردن دستورات، کد اسکریپت نظارت می‌تواند به شکل‌های مختلفی بکار گرفته شود (شکل 19)   شکل 19 – نظارت گروههای امنیت   حالا این کد را در خط فرمان اجرا کنید (شکل 19) و با توجه به نیاز , نظارت را شروع کنید     اسکریپت به صورت سرویس اجرا می شود و نظارت بر روی چندین مورد را ممکن می سازد. چارچوب موجود همچنین با استفاده از سوییچ get-qaduser –locked می تواند برای بررسی اکانتهای قفل شده (Lock Accounts) اجرا شود. با اضافه شدن یک اسکریپت دیگر به دستورات Startup یک برنامه سرویس دهنده  هم کنشی با تمام قابلیت ها ساخته می شود که می تواند برای نظارت استفاده شود.   4.2.4 استفاده از PowerShell به عنوان سرویس دهنده ثبت وقایع   دانستن اینکه یک دسترسی بسته شده باشد به اندازه ای که چرا این دسترسی بسته شده است مهم نیست. این امر فقط به واسطه بررسی رخدادهای امنیتی میسر می شود و بهترین کد PowerShell برای یررسی این رخدادها از محل مرکزی توسط Rober Sheldon ارائه شده است ( Windows IT Pro Article, 2008). اسکریپت به راستی آنچنان خوب طراحی شده است که به غیر از تغییر اطلاعات SMTP برای ارسال ایمیل نیاز به تغییر دیگری نمی باشد (کد ضمیمه می باشد). محتوای فایلهای مرجع .txt و .csv برای اینکه چه سیستمهایی نیاز است بر روی آنها نظارت انجام شود و اینکه چه رخدادهای امنیتی از سیستم مورد نیاز است باید تغییر کنند. اگر مسیر به صورت صحیح در “logmonitor” داده شود و ایمیل صحیحی وارد شود هر بار که یک دسترسی بسته شود ایمیلی که شامل اظلاعات سیستمی و دلیل بسته شدن دسترسی می باشد ارسال می شود.   2.4.3  نظارت بر اکتیو دایرکتوری اکنون این توانایی وجود دارد که بفهمیم چه زمانی گروههای امنیتی تغییر می کنند و چرا حسابهای امنیتی قفل شده اند .لاگهای مربوط به اتصال شبکه را در سراسر دامین بدست آورید و آنها را بوسیله چند فرایند پرداش کنید ، از جمله تطبیق الگوی عبارت های منظم امکان پذیر است .نظارت بر حسابهای کاربری در یک دامین مهم است ولی مهمتر از آن نظارت بر حسابهای لوکال ادمین میتواند بیشتر در معرض تهاجم قرار بگیرد  و این عمل یکی از کارهایی است که یک مهاجم بعد از اینکه از ماشین سوء استفاده کرد انجام می دهد. تکنیک های مشابه در مثال های قبلی می تواند برای شناسایی این فعالیت استفاده شود. باید یک لیست به روز ا ز سیستمهایی که نیاز دارد تهیه کند که این کار را میتواند بوسیله ابزار the quest active directory cmdlets   در پاورشل ویندوز انجام دهد .که لیستی از سرویسها را در دامین ایجاد میکند و همچنین هشدارها را تنظیم می نماید . (شکل 20) شکل 20 – کسب سرورها     این یک سیستم لیست در یک دامنه ایجاد می کند و نیز هشدار را تنظیم می کند شکل 21 – مانیتور کردن سیستمهای حدف و اضافه AD      2.5 نظارت بر گروههای امنیتی محلی وظیفه بعدی این است که از طریق یک سیستم از راه دور لیستی از مدیران شبکه ها محلی گرفته شود . روش های متعددی وجود دارد، اما یک تکنیک مفید با استفاده از ماژول Active Directory Service Inquiry Object که در سال 2008 در  Microsoft Blog Scripting Guys معرفی شد .تابع زیر با استفاده از Active Directory Service Inquiry Object لیست عضوهایی که در گروه های امنیتی محلی قرار دارند نشان میدهد .   شکل 22: بدست آوردن مشخصات کاربران محلی ADSI ( Local User) با اجرای دستور زیر: لیستی از کاربران ادمین (Admin) محلی به صورت از راه دور قابل جمع آوری می باشد. بدین ترتیب مشابه منطق قبلی با استفاده از مقایسه خروجی فایل های قدیم و جدید تغییرات حاصل قابل کشف خواهد بود. (شکل23( شکل23: دستورات(Script)  دریافت و مقایسه شناسه های کاربری ادمین (admin) محلی زمانی که گروه کاربران ادمین (admin) محلی بر روی سیستمی تحت دامین تغییر می کند, لیست کامل دستورات به شکل ضمیمه شده به Appendix A در قالب نامه مشخص اطلاع رسانی می گردد.  ضمنا سرویس های آغازگر می توانند باعث ایجاد برنامه هایی قابل اجرا در هنگام لود سیستم عامل و یا برنامه های آماده اجرا جهت حفظ وضعیت اجرایی دستورات مانیتورینگ گردد. این قابلیت اطمینان لازم در خصوص اطلاع رسانی اعمال تغییرات بر روی تنظیمات امنیتی گروه ادمین را حاصل نموده و امکان رهگیری زمان و علت اعمال این تغییرات را میسر می سازد. 3.نتیجه گیری پیش تر از این محیط ویندوز به دلیل نداشتن دستورات و ابزارهای زبانی جامع از دنیای اتوماسیون عقب مانده بود. اما اکنون با ظهور Power Shell این عقب ماندگی تا حدی جبران شده است. PowerShell به عنوان یک زبان مدیریتی دارای قابلیت های فوق العاده به منظور مانیتورینگ و امنیت دستورات اجرایی طراحی شده است. تنها محدودیت موجود در آن دید تحلیلی می باشد. در این مقاله، نشان داده شده است که چگونه می توان از دستورات پوسته PowerShellبرای تجزیه و تحلیل log ها و سیستم های ویندوز با استفاده از چند cmdlets استفاده کرد و همچنین نحوه ایجاد برخی از monitoring ها که به طور سنتی سیستم های ویندوز فاقد آن هستند بیان گردید. ماژول ها برای گسترش توانایی خود مانند Quest Active Directory cmdlets و برخی از تکنیک های دیگر برای مقایسه تغییرات از یک لحظه به لحظه دیگر نشان داده شد. مانیتورینگ وظیفه بحرانی از میان مانیتورینگ حساب های کاربری domain  امکان پذیر بود. روش متمرکز سازی لاگ های دامنه از فایروال ویندوز به منظور دریافت لاگ های مرتبط  در یک محل جهت تجزیه و تحلیل ارتباطات شبکه می باشد. این جفت شدن با مانیتورینگ سایر لاگ های برای تجزیه و تحلیل و تشخیص حیاتی است. از لحاظ تاریخی، تحلیلگران نفوذ وابسته به ابزارهای شناسایی و تفسیر این نوع اطلاعات هستند، و ابزارهای بسیاری وجود دارد که این نوع مانیتورینگ / تجزیه و تحلیل را انجام دهد. همه آنها گران هستند و برای یک فروشگاه کوچک و متوسط که نیاز به مانیتورینگ این اطلاعات دارد، مایکروسافت ابزارهایی را برای نظارت و استخراج این نوع اطلاعات فراهم کرده است. تنها کار اضافی، تعهد و اراده برای انجام این کار است. منبع :‌شرکت کاریار ارقام ]]> امنيت Wed, 22 Nov 2017 09:29:56 GMT http://www.itna.ir/article/51031/تحلیل-نفوذ-استفاده-windows-powershell چگونه سفری امن داشته باشیم http://www.itna.ir/article/51030/چگونه-سفری-امن-داشته-باشیم هدف ما این است که به شما کمک کنیم تا بتوانید حداکثر استفاده را از تکنولوژی حتی در مسافرت ببرید. در این مقاله به شما خواهیم گفت که چگونه ابزار خود را در طول مسافرت بصورت امن به اینترنت وصل کنید و از آن استفاده کنید. بررسی قبل از سفر با فرض اینکه شبکه شما در خانه و یا محل کار ممکن است امن باشد باید توجه داشته باشید شبکه‌هایی که در طول مسافرت به آن وصل می‌شوید به هیچ عنوان قابل اعتماد نیستند. شاید شما ندانید که آیا شخص دیگری در آن شبکه هست و یا در حال انجام چه کاری است. به گزارش ایتنا قدمهای ساده‌ای که لازم است قبل از مسافرت و به منظور حفاطت از خود و داده‌های خود بردارید به  شرح ذیل است: • به نظر کاریار ارقام؛ اطلاعات زمانی امنیت خواهند داشت که شما آنها را بهمراه نداشته باشید. برای این منظور بهتر است داده‌هایی را که نیاز نیست بهمراه تجهیزات خود داشته باشید را شناسایی و سپس آنها را حذف کنید. با این کار می‌توانید تا حد قابل توجهی اثرات مخرب ناشی از گم کردن تجهیزات، دزدی و یا توقیف آنها در گمرکات و یا مرزهای امنیتی بکاهید. درصورتیکه به مسافرت کاری می‌روید از سرپرست خود بپرسید که آیا شرکت برای مسافرت های کاری تجهیزات مختص مسافرت ارائه میدهد یا خیر • موبایل و لب‌تاپ خود را با استفاده از پسوردهای سخت قفل کنید. بدین ترتیب در صورت دزدیده و یا گم شدن تجهیزات امکان دسترسی به اطلاعات موجود در آنها وجود نخواهد داشت. علاوه بر این رمزگذاری کامل حافظه را بر روی موبایل و یا لب تاپ خود فعال نمایید. در بسیاری از تجهیزات موبایلی وقتی قفل دسترسی روی دستگاه می‌گذارید، رمزگذاری بصورت خودکار فعال میشود. • نرم افزاری بر روی دستگاه نصب کنید که در صورت گم شدن و یا دزدیده شدن آن بتوانید از راه دور آن را ردیابی کنید و یا حتی اطلاعات آن را از راه دور پاک کنید. • قبل از سفر، دستگاه‌ها ، برنامه‌ها و آنتی ویروس خود را بروز کنید و مطمئن شوید که آخرین ویرایش در حال اجراست. بسیاری از حملات بر روی دستگاه‌هایی رخ میدهند که نرم‌افزار های بروز ندارند. • از کلیه دستگاه های خود پشتیبان بگیرید. بدین ترتیب اگر در طول مسافرت اتفاقی برای آن بیافتد شما همچنان اطلاعات اصلی خود را در جای امن نگه داشته اید .  • قبل از مسافرت خارجی میبایست بررسی کنید که چه طرح خدماتی از طرف شرکت ارائه دهنده خدمات موبایایل بر روی گوشی شما فعال است. اغلب سرویس دهندگان موبایل برای استفاده از داده فرامرزی هزینه بالاتری را مطالبه می‌کنند لذا شما ممکن است بخواهید در زمان مسافرتهای برون مرزی خدمات داده را برای تلفن خود غیر فعال نمایید و یا سیم کارت محلی پیش پرداخت شده تهیه نمایید. گم شدن / دزدیده شدن دستگاه ها به محض اینکه مسافرت خود را شروع کردید از امنیت دستگاه‌های خود اطمینان حاصل کنید. بعنوان مثال ، به هیچ عنوان تجهیزات خود را در داخل ماشینی که به راحتی قابل دیدن است نگذارید در این صورت ممکن است افراد بزهکار پس از شکستن شیشه خودرو هر چیز با ارزشی که میبینند را بدزدند. گرچه دزدیدن وسایل شما محتمل است ولی بر اساس تحقیقات اخیر Verizon ، احتمال اینکه مردم وسایل خود را گم کنند صد برابر بیش تر از دزدیده شدن آن است. بنابراین همیشه در طول مسافرت با بررسی مجدد مطمئن شوید که وسایل خود را فراموش نکرده‌اید .بعنوان مثال زمانیکه در فرودگاه در حال عبور از بخش امنیتی هستید و یا در حال پیاده شدن از تاکسی و یا خروج از رستوران هستید و یا در حال تحویل اتاق هتل خود هستید و یا قبل از پیاده شدن از هواپیما هستید بررسی کنید که وسایل خود را فراموش نکرده‌اید. دسترسی به شبکه‌های بیسیم دسترسی به اینترنت در طول مسافرت به معنی استفاده از اکسس پوینت های عمومی نظیر هتل ، کافی‌شاپ و یا فرودگاه است. استفاده از این شبکه های بیسیم عمومی دارای دو اشکال اساسی است. اولا شما نمیدانید که چه کسی آنها را راه اندازی کرده و ثانیا چه کسانی به آنها وصل هستند. به این دلیل میبایست آنها را نامطمئن دانست و حقیقت این مسئله که چرا باید قبل از مسافرت تجهیزات خود را امن کنید همین است. علاوه بر این، در شبکه بیسیم از امواج رادیویی استفاده میشود و این به این مفهوم است که افرادی در نزدیی شما بطور بالقوه قابلیت ترجمه و نظارت بر ارتباطات شما را دارند. به همین دلیل در صورتیکه از شبکه های بیسیم عمومی استفاده میکنید، میبایست حتما کلیه فعالیت های برخط شما رمزگذاری شود. بعنوان مثال زمانیکه با مرورگر خود و بصورت برخط به سای ت وصل می‌شوید مطمئن شوید که ارتباط شما رمزگزاری شده است. در این صورت می‌توانید با پیدا کردن کلمه «HTTPS://xxx» و یا شکل یک قفل بسته را کنار آدرس URL خود از رمزگذاری شدن آن ارتباط مطمئن شوید.علاوه بر این شما ممکن است از (VPN) Virtual Private Network استفاده کنید که قادر است کلیه فعالیت های برخط شما را رمزگذاری کند. VPN ممکن است از طرف شرکت برای شما فعال شود و یا ممکن است شما برای استفاده شخصی آن را خریداری کنید. اگر نگران هستید که نتوانید شبکه بیسیم مطمئنی را بیابید میتوانید از اینترنت گوشی هوشمند خود استقاده کنید. هشدار: همانگونه که قبلا گفته شد استفاده از اینترنت همراه در مسافرت های فرامرزی میتواند گران باشد. لازم است هزینه ها را باشرکت ارائه دهنده خدمات بررسی کنید. کامپیوترهای همگانی . هرکز از کامپیوتر های همگانی  نظیر کامپیوتر های موجود در لابی هتل ها و یا کافی‌نت‌ها برای ورود به حساب ها و دسترسی به اطلاعات حساس استفاده نکنید. شما نمی دانید چه کسانی قبلا از آن کامپیوترها استفاده کردند و ممکن است عمدی و یا سهوی آنها را آلوده کرده باشند. در صورت امکان تنها از دستگاههایی استفاده کنید که مطمئن و قابل کنترل هستند. در بهترین حالت، کامپیوتر های عمومی تجهیزا ت مناسب برای دریافت اطلاع از وضعیت آب و هوا و یا خواندن اخبار هستند. ورود به هر نوع حساب شخصی نظ یر حساب گوگل میتواند چراغ سبزی برای هکرها باشد که ممکن است شما را تحت نظر گرفته باشند . (منبع: کاریار ارقام) ]]> امنيت Tue, 21 Nov 2017 12:12:54 GMT http://www.itna.ir/article/51030/چگونه-سفری-امن-داشته-باشیم کسپرسکی مورد سوءاستفاده قرار نگرفته است http://www.itna.ir/news/51028/کسپرسکی-مورد-سوءاستفاده-قرار-نگرفته بر اساس صحبت‌های Panel: اکثرآژانس‌ها با دستورالعمل متوقف کردن استفاده از دستگاه‌هایی که از نرم‌افزارهای امنیتی کسپرسکی استفاده می‌کنند، موافقت کرده‌اند.   به گزارش ایتنا از کسپرسکی آنلاین، Jeanette Manfra معاون وزیر امور خارجه DHS برای امنیت سایبری و ارتباطات، روز سه شنبه در پنجمین جلسه مجلس نمایندگان گفت: " ما در حال حاضر در رابطه با سوء استفاده از محصولات امنیتی کسپرسکی برای اهداف خبیثانه هیچ شواهدی نیافته‌ایم و تمامی شواهد قطعی نقض شده اند". من قصد دارم تا یک بررسی جامع قبل از رسیدن به نتیجه نهایی انجام دهم. کمیته فرعی نظارت بر تکنولوژی، علم و فضا جلسه‌ای قانونی در رابطه با اینکه آژانس های فدرال با دستورالعمل DHS 13 سپتامبر موافقت می‌کنند، برگزار نمود. در این جلسه مشخص شد که کدام یک از آژانس‌های فدرال از راهکارهای امنیتی لابراتوار کسپرسکی استفاده می‌نمایند و در صورت استفاده، این راهکارها را از سیستم‌های خود حذف نمایند. یوجین کسپرسکی، بنیانگذار و مدیر عامل کمپانی کسپرسکی در روسیه در کشور روسیه آموزش دیده است و قبلا برای اطلاعات این دولت فعالیت کرده است. یک بیانیه DHS در مورد انتشار این دستورالعمل بیان شده است که جاسوسان روسیه می توانند از محصولات ارائه شده توسط لابراتوار کسپرسکی برای به خطر انداختن اطلاعات فدرال استفاده کنند و امنیت ملی ایالات متحده را به خطر اندازند. لابراتوار کسپرسکی در این باره تمام اتهامات را انکار می‎کند و مدعی شده است که این کمپانی هیچ ارتباطی با دولت روسیه ندارد. پیدایش مشکلات امنیتی گمان در این رابطه زمانی رخ داد که رسانه‌ها در مورد سرقت فایل‌های مهم و محرمانه ی NSA  صحبت کردند. فایل‌های محرمانه‌ سازمان اطلاعات آمریکا توسط یکی از کارمندان NSA که بر روی سیستم خانگی وی راهکارهای امنیتی لابراتوار کسپرسکی نصب شده بود، توسط هکرهای روسی به سرقت رفته بود و برخی از هکرهای دولت روسیه، بدون ارائه جزئیات، مدعی شدند که تمامی فایل‌های NSA را بدست آوردند و مالک آنها شده‌اند. اکنون روزنامه نیویورک تایمز در گزارش خود می‌نویسد، هکرهای اسرائیلی دو سال گذشته به مدارکی دست یافته ‌اند که این اتهام را اثبات می‌‌کند. بر اساس این گزارش، هکرهای اسرائیلی موفق شده‌‌اند به کامپیوترهای لابراتوار کسپرسکی راه یابند و اطلاعات طبقه‌ بندی شده و محرمانه‌ای را بیابند که قبل از آن به صورت غیر ایمن در کامپیوتر شخصی یک کارمند آژانس امنیت ملی آمریکا نگاه داشته شده است. Manfra می‌گوید حدود 15 درصد از آژانس ها گزارش داده‌اند که اگرچه برنامه‌های کاربردی در اکثر رایانه‌های آنها نصب نشده بود اما نرم‌افزارهای امنیتی کسپرسکی بر روی سیستم‌های آنها وجود داشته است. او در بسیاری از موارد اظهار دارد که این سازمان‌ها مستقیما نرم‌افزارها را خریداری نمی‌کردند و آنها راهکارها را با نرم‌افزارهای دیگری که بر روی رایانه‌های شخصی خود نصب کرده بودند، دریافت کرده اند. در مورد NASA ،تعداد کمی از دستگاه‌ها وجود داشت_ ایستگاه‌های کاری و دستگاه‌های تلفن همراه_ که نرم‌افزارهای امنیتی کسپرسکی بر روی آن ها نصب شده بود. Reneé Wynn به این کمیته گفت که آژانس فضایی همچنین نرم‌افزارهای امنیتی کسپرسکی که به کامپیوترهای شرکای بین المللی شخص ثالث و نیز دستگاه‌های کاربرانی که به شبکه داخلی NASA متصل  نیستند را کشف نموده است. Wynn در این باره شهادت داد: " نرم افزارهای امنیتی لابراتوار کسپرسکی بخشی از نرم افزارهای هسته‌ای سازمانی نیستند".  وی افزود که از سال 2010، NASA به منظور حفاظت خود با آنتی ویروس Symantec  قراردادی منعقد نموده‌اند. "وجود هرگونه نرم افزار امنیتی مشکوک در سخت افزار سازمان به عنوان نقض استانداردهای آژانس IT محسوب می‌شود و بلافاصله حذف و یا استفاده از آن مسدود خواهد شد، مگر اینکه یک پرونده خاص به منظور خطرات پیش رو مورد ارزیابی قرار بگیرد". یکی دیگر از شاهدان، Essye Miller معاون CIO وزارت دفاع امنیت سایبری گفت: وزارت دفاع از محصولات آنتی ویروس McAfee و Symantec استفاده می کند. وی شهادت می‌دهد لابراتوار کسپرسکی بخشی از راهکارهای DoD نیست. Manfra گفت: بجز نیمی از ده موسسه کوچک که منابع را ندارند و از وزارت امور خارجه آمریکا (DHS) دریافت کمک می‌کنند، باقی مانده آنها از 102 اداره‌ فدرال، اولین مهلت را برای شناسایی و حذف نرم‌افزارهای امنیتی لابراتوار کسپرسکی برآورد کرده‌اند. دموکرات‌ها به دنبال تحقیقات گسترده‌تر هستند اینطور که نمایان شده است اعضای دموکراتیک کمیته، تمرکز کمتری بر این موضوع که آژانس ها با چنین دستورالعمل‌هایی موافق هستند گذاشته‌اند و علاقمندند تا تحقیقات وسیع‌تری درباره استفاده روسیه از اینترنت و شبکه‌های اجتماعی به منظور ایجاد اختلال در ایالات متحده آمریکا انجام دهند. Rep. Don Beyer  و D-Va اعضای گروه کمیته فرعی میگویند: "در برگزاری جلسه ی دوم در مورد محصولات لابراتوار کسپرسکی چنین به نظر می رسد که ما جنگل را برای درختان از بین برده ایم". محصولات لابراتوار کسپرسکی بزرگترین خطر امنیتی نیست که ما از روسیه با آن مواجه هستیم. به جای تمرکز بر روی محصولات امنیتی کسپرسکی ما بایستی بررسی کنیم که دشمنان چگونه قادرند تا از فناوری های جدید، دقیق و قدرتمند برای از بین بردن نهادهای دموکراتیک و تاثیرگذاری بر مردم آمریکا استفاده کنند". کمیته فرعی تقریبا سه هفته گذشته در دادگاه لابراتوار کسپرسکی برگزار شد.   ]]> امنيت Tue, 21 Nov 2017 08:57:17 GMT http://www.itna.ir/news/51028/کسپرسکی-مورد-سوءاستفاده-قرار-نگرفته مخابرات انگلیس، هدف هکرهای روس http://www.itna.ir/news/51026/مخابرات-انگلیس-هدف-هکرهای-روس   سیاران مارتین - مدیر ارشد اجرایی سازمان ملی امنیت سایبری انگلستان - روز چهارشنبه در لندن اظهار کرده است که شماری از هکرهای روسی در طول سال گذشته به بخش‌های مخابراتی، رسانه و انرژی کشور انگلستان حمله کرده‌اند. البته این مقام امنیت سایبری از انتشار و بیان اطلاعات و جزییات دقیق‌تر در این باره خودداری کرده است. به گزارش ایتنا از ایسنا، این بیانات در ادامه و تایید سخنان ترزا می - نخست وزیر انگلستان - بود که روز دوشنبه هفته گذشته روسیه را به مداخله در امور سیاسی دیگر کشورها و حمله سایبری و دستکاری سیستم‌های رای‌گیری در جریان انتخابات ریاست جمهوری آمریکا ۲۰۱۶ متهم کرده بود. این در حالیست که روسیه هرگونه اتهام مداخله در امور سیاسی کشورها و همچنین انجام حملات سایبری را رد می‌کند. سازمان امنیت سایبری انگلستان (NCSC) که زیرمجموعه ای از آژانس اطلاعات (intelligence agency) این کشور است، از سال گذشته تاکنون مسئولیت بررسی و پیگیری حملات سایبری و حفاظت از اطلاعات و امنیت سایبری کشور انگلستان را بر عهده دارد. مارتین در ادامه اظهارات خود افزود:" بنده با اطمینان کامل می‌گویم که رد پای روسیه در حملات سایبری اخیر یک سال گذشته مشاهده شده است و این حملات بخش های مختلفی از کشور مثل رسانه، زیرساخت‌های مخابراتی و ارتباطات، فناوری و همچنین انرژی انگلستان را تحت تاثیر قرار داده است". این آژانس از همکاری با شرکای بین المللی خود در زمینه صنعت و جامعه شهری و مدرن نیز برای جلوگیری از حملات سایبری روسیه خبر داده است. اخبار و گزارش‌های بسیاری درباره حملات سایبری هرروزه از گوشه و کنار جهان به گوش می رسد و این امر برای امنیت سایبری کشورهای جهان زنگ هشدار بزرگی محسوب می‌شود. طبق گزارش‌های منتشر شده، آمار حملات سایبری و هک در سال ۲۰۱۷ به اوج خود رسیده است و برآوردها نیز حاکی است که رکورد حملات سایبری در سال آینده میلادی ۲۰۱۸ شکسته خواهد شد. در سال گذشته میلادی سازمان‌ها و شرکت‌های کوچک و بزرگ دولتی و خصوصی بسیاری در سراسر جهان تحت تاثیر حملات سایبری متحمل خسارات و هزینه‌های جبران ناپذیر بسیاری شده اند و اطلاعات محرمانه و خصوصی بسیاری از شهروندان و سازمان‌ها نیز به سرقت رفته و افشا شده است. ]]> امنيت Tue, 21 Nov 2017 06:37:43 GMT http://www.itna.ir/news/51026/مخابرات-انگلیس-هدف-هکرهای-روس در باره دوره SANS FOR 500 بیشتر بدانید http://www.itna.ir/news/51018/باره-دوره-sans-for-500-بیشتر-بدانید 📚 شما نمی‌توانید چیزی را که نمی‌شناسید محافظت کنید. لذا قابلیت‌ها و دانش فارنزیک کامپوننت اصلی امنیت اطلاعات محسوب می‌شود. 🔴 Windows Forensic Analysis 🔸SANS FOR 500 (Formerly 408) 💻 در این دوره مهارت‌های لازم  جهت فارنزیک سیستم عامل ویندوز ارائه خواهد شد. روش‌های بازیابی، تحلیل و تصدیق اصالت داده‌های فارنزیک در سیستم عامل ویندوز در این دوره به دانشجویان آموزش داده خواهد شد. 🎯 همچنین در این دوره روش مانیتور کردن رفتار کاربران در شبکه و روش سازمان‌دهی یافته‌ها برای استفاده در پاسخ به حوادث و شیوه ارائه آن‌ها در دعاوی قانونی شرح داده خواهد شد. ⭕️اهداف دوره : 🔸آشنایی با Windows Registry و روش‌های فارنزیک آن 🔹تمرکز بر توانایی و قالبیت تحلیل به جای شیوه استفاده از یک ابزار خاص 🔸آشنایی با روش‌های فارنزیک مرورگرهای پرکاربرد وب مانند Firefox، Chrome و Internet Exlporer 🔹آشنایی با روش‌های فارنزیک در سیستم عامل‌های Windows 7/8/8.1/10 و Windows Server 2008/2012 🔸روش‌های شناسایی شواهد حادثه و پاسخ به سوالات حیاتی مانند برنامه‌های اجرا شده، دسترسی به فایل ها، داده‌های دزیده شده، فایل‌های دانلود شده و ... ⭕️امتیازات دوره: 📕 ارائه جزوه Customize دوره ⚙️ ارائه ابزار های مورد استفاده در طول دوره 👤 به اشتراک گذاری تجربیات بومی مدرسان دوره به منظور کاربردی نمودن هرچه بیشتر دوره ⭕️مخاطبین دوره: 🔸مدیران شبکه 🔹کارشناسان جرائم رایانه‌ای 🔸کارشناسان تیم امداد رایانه‌ای 🔹کارشناسان مرکز عملیات امنیت 📸 https://goo.gl/TKRHK2 🌐 http://www.cdigit.com/course/1090 ☎️ 02188612979 کانال تلگرام https://t.me/cdigit ]]> امنيت Mon, 20 Nov 2017 11:56:38 GMT http://www.itna.ir/news/51018/باره-دوره-sans-for-500-بیشتر-بدانید هکرها در کمین هواپیماها! http://www.itna.ir/news/51010/هکرها-کمین-هواپیماها هواپیمایی را با بال‌های بزرگ و پر از مسافر را، همانطور که در تصویر بالا مشاهده می‌کنید، تصور کنید که قابل هک شدن باشد. چنین تئوری‌ای پیش از این چندین بار توسط افراد مختلف مطرح شده است. به گزارش ایتنا از کسپرسکی آنلاین، یک هواپیما هم همانند هر وسیله مدرن دیگری، متشکل از چندین کامپیوتر می‌باشد که به اینترنت متصل است. اینطور که به نظر می‌رسد در حال حاضر چنین احتمال نظری در عمل ثابت شده است. این ادعا توسط یکی از نمایندگان وزارت امنیت ملی ایالات متحده مطرح شده است.    Robert Hickey، در فاصله‌ دو روز توانست به سیستم داخلی یک هواپیمای قرار داده شده (به اصطلاح پارک شده) در فرودگاه بدون دسترسی فیزیکی به آن یا هر گونه همکاری از داخل آن، دست یابد. جالب توجه این است که تمام ابزارهای مورد استفاده‎ی Hickey همگی وسایل ساده ای بودند که در داخل فرودگاه وجود داشت.   هواپیمای هک شده توسط Hickey یک بوئینگ 757 بود. این مدل از هواپیما در سال 2004 از خط تولید خارج و تولید آن متوقف شده است اما هنوز هم در بسیاری از خطوط هوایی همانند سه فرودگاه بزرگ در آمریکا و دیگر نقاط جهان (هواپیمایی دلتا، یوتایند ایرلاینز، امریکن ایرلاینز) مورد استفاده قرار می‌گیرند. جزئیات مربوط به هکی است که حدود یک سال پیش رخ داده و به تازگی به اطلاع عموم رسیده و هنوز افشا نشده است. تنها مطلبی که از سوی Hickey تایید شده، استفاده از ارتباطات فرکانس رادیویی در این هک بوده است. بوئینگ در رابطه با سخنان Hickey گزارشی را ارائه داده است که در آن اعلام نموده؛بوئینگ 757 دارای آسیب‌پذیری سایبری نیست. با این حال وقت آن فرا رسیده است که صنعت هوانوردی به فکر امنیت سایبری باشد. تنها چند سال گذشته، هک ماشین‌ ها امری کاملا تئوریک بود اما پس از اینکه Charlie Miller  وChris Valasekتوانستند یک جیپ را هک کنند، همه چیز تغییر کرد. از آن زمان تاکنون هک خودروها توسط تیم‌های امنیتی به صورت متعدد گزارش می شود. شاید صنعت هواپیمایی نیز در حال حاضر با چنین واقعیتی مواجه باشد. حائز اهمیت است که در دستگاه‌هایی که بوسیله تکنولوژی high-tech ساخته شده‌اند مانند ماشین یا هواپیما، به هیچ شخصی اجازه انجام کاری که سازندگان آنها نمی‌توانند آن را پیش‌بینی نمایند، داده نشود. در چنین مواردی تنها یک سیستم عامل حفاظت شده با امنیت سایبری می‌تواند چنین ضمانتی را ایجاد نماید. چنین اقدامی در همکاری شرکت AVL با لابراتوار کسپرسکی اتفاق افتاده است. بر اساس این همکاری سیستم عامل کسپرسکی بر روی اتومبیل‌های این مجموعه راه‌اندازی می‌شوند. ]]> امنيت Mon, 20 Nov 2017 07:41:37 GMT http://www.itna.ir/news/51010/هکرها-کمین-هواپیماها سرویس ضدهک مک‌آفی کاربران را در معرض بدافزار بانکی قرار می‌دهد http://www.itna.ir/news/50984/سرویس-ضدهک-مک-آفی-کاربران-معرض-بدافزار-بانکی-قرار-می-دهد شرکت امنیتی مک‌آفی دسترسی به نرم‌افزار مخربی را که ظاهراً از شبکه خود این شرکت ارسال می‎شد، مسدود نمود. این بدافزار بر روی وب‌سایت شخص ثالث میزبانی شده بود، اما از طریق یک دامنه مشترک با مک‌آفی و سرویس "حفاظت از ایمیل" به اشتراک گذاشته می‌شد. به گزارش ایتنا از رایورز مأموریت سرویس "حفاظت از ایمیل" شرکت مک‌آفی، در حقیقت مقابله با حملات فیشینگ و نیز نرم‌افزارهای مخرب حاصل از لینک‌های موجود در ایمیل‌هاست، و از این طریق، از کسب‌‌وکار مشتریان خود در برابر هک و دیگر حملات محافظت می‌کند؛ اما این لینک مخرب تنها زمانی کشف شد که پژوهشگر امنیتی مستقر در پاریس (که از نام مستعار Benkow استفاده می‌کرد) گزارش تجزیه‌ و تحلیل خود از این بدافزار را توییت کرده و سپس لینک آن را نیز منتشر نمود.   این لینک، پژوهشگران را به دامنه “cp.mcafee.com” راهنمایی می‌نمود که سند Word مخربی در آن وجود داشت. هر فردی که این سند را دانلود و باز می‌کرد، در معرض نرم‌افزار مخرب بانکی اِموتیت قرار می‌گرفت. عملکرد این نرم‌افزار مخرب یا بدافزار، بدین‌ترتیب بود که از یک سند Word سنتی استفاده نموده و اغلب آن را از طریق یک لینک مستقیم یا در ایمیل ارائه می‌کرد که در زمان باز و فعال شدن، فایل‌های اضافی را دانلود می‌نمود که از جمله آنها می‌توان به باینری بدافزار اِموتنت اشاره کرد. به گفته کارشناسان امنیتی، توانایی بدافزار مزبور، از جمله این است که می‌تواند به اطلاعات و داده‌های حساس مانند رمز عبور ایمیل و مرورگر دسترسی یافته و از آن طریق، وارد منابع و حساب‌های مالی کاربر شود. مارکوس هاچینز -پژوهشگر امنیتی- در گزارش اخیر خود نوشت که این بدافزار وارد بخش فرمان شده و سرور را با استفاده از آدرس‌های IP کنترل می‌کند، اما از پروکسی برای فرار از شناسایی استفاده می‌نماید. در توجیه این آسیب‌پذیری، مک‌آفی اعلام کرده که حتی تا روزهای اخیر نیز به نظر نمی‌رسیده که نشانی دامنه موردنظر، منبع این حملات باشد، اما با این وجود تأکید کرده که قطعاً با این حملات و نیز منشأ آن مقابله خواهد نمود.   ]]> امنيت Sun, 19 Nov 2017 16:39:16 GMT http://www.itna.ir/news/50984/سرویس-ضدهک-مک-آفی-کاربران-معرض-بدافزار-بانکی-قرار-می-دهد مشکلات امنیتی در زیرساخت ابری زامبی http://www.itna.ir/article/50978/مشکلات-امنیتی-زیرساخت-ابری-زامبی یکی از مزیت‌های مهم استفاده از نمونه‌های ابر به جای پیکربندی‌های شبکه سنتی این است که هر کس با چند کلیک می‌تواند زیرساخت خود را راه‌اندازی کند. این قابلیت زمان آزمایش، مدل‌سازی و سیستم‌های تولیدی را بسیار کاهش می‌دهد. همچنین انعطاف پذیری بسیار خوبی برای جفت زمینه‌های عملی و مالی مهیا می‌کند. اگر چه استقرار سیستمهای جدید در این روش بسیار سریع و راحت است، حذف سیستمهای فعلی به این راحتی نیست. در سازمان‌های بزرگ با ریسکپذیری بسیار زیاد، قبل از ورود به حوزه مجازی باید یک ضمانتی وجود داشته باشد که سیستم در حال حاضر و آینده دیگر کاربردی نباشد. برای رسیدن به این ضمانت تلاش بسیار زیادی باید صورت بگیرد. هیچ کسی نمی‌خواهد از این که سیستم به خوبی کار می‌کند دست بکشد و به طور مثال مسئولیت گزارش یا اجرای ماهانه سیستم‌ها بحرانی را بر عهده بگیرد. بنابراین مسائل جدیدی رخ می‌دهد که مشکلات امنیتی مهمی را با خود همراه می‌کند: زیرساخت ابری زامبی. سیستم‌هایی که فقط وجود دارند برای این که رها کردن آنها در حالی که روشن هستند، بسیار راحتتر است. چرا مشکل امنیتی وجود دارد؟ ممکن است که نگهداری این سیستمها متوقف شود چرا که دیگر به آنها نیازی وجود نداشته باشد. به آرامی به دست "فراموشی" سپرده میشوند و اگر برای یک دوره کوتاهی استفاده شوند، ممکن است مواردی باشد که به خوبی مستند سازی نشده باشد. این بدترین کابوس حرفه امنیتی است. این سیستمها میتوانند سرور باشند یا حتی دیواره آتش‌های مجازی، سوییچ ها و هر چیزی از این دست که بتوانیم به حساب بیاوریم. پچ‌ها و به‌روز رسانی‌ها اگر این سیستمها طی مدتی نگهداری نشوند، در برابر حملات امنیتی اخیر مصون نیستند. برای نمونه نوع دیگری از آسیبپذیری شل شاک یافته شده و نفوذ یابد. چه کسی میتواند از آخرین پچ‌های نصب شده در برابر حملات جدید اطمینان یابد؟ آیا امکان رویت سیستم‌های غیر پچ شده در صورت نگهداری نکردن آنها وجود دارد؟ اسکن آسیب پذیری منظم در این جا به کمک می‌آید. جست و جو کردن در کل رنج IP این امکان را می دهد که سیستم های غیر مستند و غیر پچ شده یافته شوند. می توان این سیستم ها را حذف کرد یا آن ها را پچ کرد تا برای هدف دیگری قابل استفاده باشند. نظارت نشده همه این سیستم ها وقایع امنیتی در پلتفرم نظارت کننده وجود ندارند. مخصوصا آن دست از سیستم هایی برای یک دوره کوتاهی جهت تست و ارزیابی و مدل سازی استفاده می‌شوند. متاسفانه معمولا آنتی ویروس یا سیستم مبتنی بر میزبان IDS جزو اولین نیازها برای نصب در محیط تست نیست. کاستی وجود امنیتی در این مورد منجر به ایجاد درب پشتی یا استفاده از آن هاست ها برای هکر می شود که در آینده شبکه در معرض خطر قرار می گیرد. اگر احتمال ریسک بالا برود، نبود پچ امنیتی که توضیح داده شده بود، بیش تر احساس می‌شود. دستگاه های مبتنی بر شبکه باید برخی از مشکلات مرتبط با حمله به این دستگاه ها را رفع کنند. برای نمونه دیواره آتش نسل جدید یا IDS های مبتنی بر شبکه بدون در نظر گرفتن مشکل امنیتی‌هاست، ترافیک های شبکه مشکوک را بردارد. توضیح ارائه شده راهکار کاملی را بیان نمی کند. فقط بخشی از حوزه امنیت دفاع در عمق مطرح شده است. داده های فراموش شده یکی دیگر از مشکلات که این سیستم ها دست و پنجه نرم می کنند، استفاده نکردن از داده های محرمانه است. کدام داده ها در این سیستم ها وجود دارند و چه کسانی دسترسی به آن ها دارند و هنوز در حال استفاده اند؟ این دست از سوالات نه تنها از جنبه های حیاتی به قدرت تصمیم گیری در حذف سیستم های افزونه کمک می کند، بلکه تاثیر مضر بر خطرات امنیتی نخواهد گذاشت. به طور مثال، ممکن است که اطلاعات شناسایی شخصی (PII) وجود داشته باشد. در محیط امن، همه داده ها و دسترسی به آن ها باید مورد توجه قرار بگیرند. مثال دیگر به انتقال فایل سرور می توان اشاره کرد که داده های کاربر از سرور قدیمی به جدید منتقل می شود. اگر هیچ وقت سرور قدیمی حذف نشود، ممکن است مجوز دسترسی میان داده های سرور قدیمی با جدید نا همگام شود؛ که اگر داده های قدیمی همچنان در دسترس باشند به معضلی امنیتی تبدیل می شود. هزینه ها به دلیل این که هزینه های نصب و راه اندازی زیرساخت ابری بسیار پایین است، مالکان سیستم با تصمیمی اشتباه برای از کار انداختن همه چیز مواجه می‌شوند. دسترس پذیری معمولا برای یک سازمان حیاتی است اگر که مسائل امنیتی در نظر گرفته شده باشد. اگر سیستمی با 99% اطمینان داده شود که از بین می‌رود، پس هنوز کنترل ریسک از چرخه خارج شدن سیستم حل نشده است. به دلیل این که کسب درآمد از محیطی پیچیده و ریسک امنیتی گسترده بسیار سخت است، اما قبول کردن هزینه های زیرساخت ابری راحت است. نتیجه همان طور که نشان داده‌ شد، گزینه های کمی جهت محدود کردن تاثیر زیرساخت ابری زامبی در سازمان وجود دارد. یک رویکرد این است که شبکه داخلی برای سیستم ها و سرویس های ناشناخته پالایش شود. این بهترین روش است و باید به عادت تبدیل شود؛ چرا که منجر به شناسایی سرویس های گم شده و سیستم های پچ نشده می‌شود. روش دیگر جهت جلوگیری از زیرساخت ابری زامبی این است که مجموعه پیچیده ای از فرآیندها و دستورالعمل ها که استقرار، تغییر مدیریت، مستند سازی و حذف کردن به کار گرفته شود. در آخر، ترکیب ابزارهای تحلیل گر ترافیک درونی و بیرونی مانند دستگاه های IDS و NGFW بدون در نظر گرفتن مبدأ و مقصد، ترافیک مشکوک را شناسایی کند. در تکمیل این مقاله، راه حل ها در حوزه ابری جدید نیستند. همانند 20 سال پیش است که کل زیرساخت فیزیکی بود. اگرچه کاهش هزینه های استقرار و عملیات و حذف سخت افزار کهنه و قرارداد سرویس ها از نتایج زیرساخت مجازی است، نیاز به پایبندی به راه حل های امنیتی فعلی همچنان افزایش می یابد. منبع : کاریار ارقام ]]> امنيت Thu, 16 Nov 2017 19:26:50 GMT http://www.itna.ir/article/50978/مشکلات-امنیتی-زیرساخت-ابری-زامبی