حساب Twitter مدیر عامل گوگل هک شد

به گزارش شرکت شید افزار رایانه ، روز دوشنبه پیام زیر در Twitter مدیر عامل شرکت گوگل، Sundar Pichai، منتشر شد:

“سلام، این OurMine است، ما فقط در حال بررسی امنیت شما هستیم، برای بهبود امنیت لطفاً به سایت ما مراجعه کنید.”

sundar-pichai

پیام مشابهی نیز بر روی حساب Quora آقای Pichai ارسال شد.

به نظر می رسد که انگیزه OurMine از این کار فروش خدماتی موسوم به “بررسی امنیت” به افراد و سازمان ها باشد.

به گزارش شرکت شید افراز رایانه به نقل از سایت The Next Web، گروه OurMine اعلام کرده که فقط امنیت مردم را بررسی می کند، گذرواژه آنها را هیچ گاه تغییر نمی دهد و هدفش از انجام این کار اطلاع رسانی است؛ قبل از آن که مهاجمان واقعی نفوذ کنند و همه چیز را تغییر دهند.

مدیر عامل گوگل اولین فرد سرشناسی نیست که توسط گروه OurMine هک می شود. در هفته های اخیر اتفاقات مشابهی برای حساب های بسیاری از افراد معروف رخ داده است. برای نمونه در اواسط خرداد نیز حساب های Twitter،وLinkedIn و Pinterest مدیر عامل Facebook تحت کنترل این گروه در آمده بود.

مشخص نیست گروه OurMine چگونه توانسته این نفوذها را انجام دهد. اما این گروه ادعا می کند از طریق یک ضعف امنیتی در Quora به حساب آقای Pichai راه پیدا کرده است.

در مورد وجود ضعف امنیتی در Bitly و نقش آن در این حملات نیز این موضوع مطرح شده است. Bitly یک کوچک کننده نشانی URL است که در بسیاری از حساب های هک شده – نه همه آنها – مورد استفاده قرار می گرفته است. اما Bitly این موضوع را رد کرده و گفته مشکل ناشی از استفاده از یک گذرواژه در چندین حساب کاربری است. برای مثال گذرواژه هر سه حساب شبکه اجتماعی مدیر عامل Facebook یکسان بوده است.

صرف نظر از وجود ضعف های امنیتی در شبکه های اجتماعی، استفاده از گذرواژه های پیچیده، اختصاص گذرواژه ای یکتا به هر حساب کاربری و بکارگیری اصالت سنجی دو مرحله ای نقشی بسیار پررنگ در حفاظت از حساب های کاربری دارند.

مطالعه این مطلب به تمامی کاربران توصیه می شود.

دوربین های مدار بسته ابزاری برای اجرای حملات DDoS

به گزارش شرکت شید افزار رایانه ، شرکت Sucuri از سوءاستفاده مهاجمان از بیش از ۲۵ هزار دوربین مدار بسته و دستگاه ضبط تصویر دیجیتال به منظور ایجاد شبکه ای مخرب (Botnet) از آنها و اجرای حمله توزیع شده برای از کاراندازی سرویس (DDoS) بر ضد سایت یکی از مشتریانش خبر داده است.

در اوج این حمله، حدود ۵۰ هزار درخواست بر ثانیه به سایت ارسال می شده است. چنین حملاتی می توانند براحتی می تواند یک سایت کوچک را که توان خدمات دهی به این تعداد درخواست را ندارد از کار بیندازد.

به گفته محققان Sucuri، ترافیک از سمت دستگاه های مدار بسته و بخصوص دستگاه های ضبط تصویر دیجیتال ارسال می شده است.

تایوان با ۲۴ درصد، آمریکا با ۱۶ درصد، اندونزی با ۹ درصد، مکزیک با ۸ درصد، مالزی با ۶ درصد، اسرائیل با ۵ درصد و ایتالیا با ۵ درصد کشورهای تشکیل دهنده این شبکه مخرب گزارش شده اند.

مشخص نسیت که دست درازی به این دوربین های مدار بسته چطور انجام شده است اما وجود ضعف های امنیتی در این تجهیزات بر کسی پوشیده نیست.

در ماه مارس یک محقق امنیتی وجود یک ضعف امنیتی اجرای از راه دور کد را در دستگاه های ضبط تصویر دیجیتال ساخت بیش از ۷۰ شرکت گزارش کرد. در ماه فوریه نیز محققان Risk Based Security اعلام کردند که نزدیک ۴۶ هزار دستگاه ضبط تصویر دیجیتال ساخت سازندگان مختلف از گذرواژه تزریق شده در کد یکسانی استفاده می کنند.

در آبان سال گذشته نیز شرکت Incapsula اعلام کرد که نفوذگران از شبکه ای مخرب، متشکل از ۹۰۰ دوربین مدار بسته که در کشورهای مختلف پراکنده اند، برای اجرای حملات DDoS بر ضد سایت های اینترنتی استفاده کرده اند.

متاسفانه سازندگان دوربین های مدار بسته بندرت اقدام به عرضه اصلاحیه برای ترمیم ضعف های امنیتی دستگاه های ساخت خود بخصوص دستگاه های قدیمی تر می کنند. راهکار اصلی برای جلوگیری از سوءاستفاده مهاجمان از دوربین های مدار بسته برای اجرای حملات DDoS عدم اتصال مستقیم آنها به اینترنت است. ضمن اینکه در صورتی که دسترسی به دستگاه ها بر روی بستر اینترنت ضروری باشد می توان از ارتباطات VPN برای این منظور بهره برد.

Bart: باج افزار مخربی که رمزنگاری نمی کند

به گزارش شرکت شید افزار رایانه به نقل از شرکت PhishMe، گونه جدیدی از بدافزارهای باج افزار (Ransomware) با ساختاری بسیار ساده اما عملکردی مشابه باج افزارهای رمزنگار پیشرفته ای همچون Locky، دسترسی کاربر به فایل ها را مسدود می کند.

باج افزار جدید با عنوان Bart از طریق هرزنامه هایی منتشر می شود که پیوست آنها یک فایل ZIP حاوی فایل های JavaScript است. این فایل ها می توانند در سیستم عامل Windows بدون نیاز به هر گونه برنامه اضافی اجرا شده و دستگاه کاربر را آلوده کنند.

email

در صورت اجرا شدن فایل JavaScript، بدافزاری با عنوان RocketLoader دانلود شده و بر روی دستگاه کاربر اجرا می شود. وظیفه RocketLoader دانلود و نصب بدافزارهای دیگر است؛ در این نمونه مورد بحث، باج افزار Bart توسط RocketLoader دانلود و اجرا می شود.

بسیاری از باج افزارهای مخرب فایل ها را با استفاده از الگوریتم های رمزنگاری نظیر AES رمزگذاری می کنند. حال آنکه Bart با جستجوی دستگاه کاربر برای یافتن فایل های با پسوند زیر هر یک از آنها را در قالب یک فایل ZIP حفاظت شده با گذرواژه قفل می کند.

.n64, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sq, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mm, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xm, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key

نام و پسوند فایل های فشرده شده نیز به قالب original_name.extension.bart.zip تغیر داده می شود.

Figure-1-8

Figure-2-7

برای دریافت فایل رمزگشا، قربانی باید مبلغ ۳ بیت کوین (معادل ۶،۸۴۶،۶۴۰ تومان در زمان نگارش این خبر) به گردانندگان این باج افزار پرداخت کند.

هر چند فایل ZIP در عمل با بهره گیری از الگوریتم رمزنگاری، دسترسی کاربر به فایل ها را محدود می کند اما نویسنده یا نویسندگان این باج افزار، دیگر زحمتی برای پیاده سازی ساختار رمزنگاری نکشیده اند.

از نکات قابل توجه در خصوص Bart اینکه در صورتی که باج افزار تشخیص دهد که زبان دستگاه، روسی، بلاروسی یا اوکراینی است از دست درازی به فایل ها صرف نظر می کند.

همه چیز درباره بدافزار IronGate

در اواخر سال ۲۰۱۵، شرکت FireEye به نمونه هایی دست پیدا می کند که هدف آنها دست درازی به تجهیزات SCADA بوده است.

نمونه های مذکور که شرکت FireEye آنها را IronGate (دروازه آهنی) نامگذاری کرده از همان روشی استفاده می کنند که سال ها قبل بدافزار معروف Stuxnet از آن برای از کار انداختن سانتریفیوژهای استفاده شده در تأسیسات هسته ای ایران بهره برده بود.

به گزارش شرکت شید افزار رایانه ، محققان شرکت FireEye در حین بررسی بانک داده های سایت VirusTotal برای یافتن نمونه های Compile شده با PyInstaller متوجه وجود این نمونه ها می شوند.

نمونه های مذکور توسط چندین منبع در سال ۲۰۱۴ به این سایت ارسال شده بودند. این در حالی است که در آن زمان هیچکدام از ضدویروس ها قادر به شناسایی این نمونه ها نبودند.

نکته ای که سبب جلب توجه محققان FireEye به این نمونه ها شده بود، وجود کدهای مرتبط با سیستم های SCADA در آنها بوده است.

این نمونه ها یک فایل DLL استفاده شده در نرم افزاری که وظیفه آن مدیریت دستگاه های PLC است را با یک فایل DLL مخرب جایگزین می کنند. دستگاه های PLC برای کنترل ماشین های صنعتی در سیستم های SCADA به کار گرفته می شوند. در حقیقت این دستگاه ها رابط بین نرم افزار اجرا شده بر روی دستگاه کاربر و سیستم های SCADA هستند.

همانند Stuxnet، هدف IronGate نیز تزریق خود به پروسه رصدکننده SCADA، دست درازی به داده های دریافت شده از PLC و احتمالاً مخفی کردن خرابکاری رخ داده شده است.

Stuxnet این کار را با متوقف کردن PLC انجام می داد که در نتیجه آن نرم افزار سرعت سانتریفیوژها را ثابت نشان می داد. اما IronGate داده های معتبر PLC را ضبط کرده و سپس آنها را بصورت پیوسته به نرم افزار ارسال می کند. کاری مشابه چسباندن تصویری بر روی دوربین مدار بسته که وقوع اتفاقات واقعی را از دید فرد رصدکننده مخفی می کند.

با وجود تشابه کدهای استفاده شده با کدهای برنامه های محصولات شرکت Siemens، فایل DLL جایگزین شده توسط IronGate متعلق به هیچکدام از محصولات استاندارد این شرکت نبوده است. این موضوع و عدم ارتباط با آن با حملات فعال سبب شده که محققان FireEye نمونه ها را صرفاً یک بررسی آزمایشی توسط سازنده یا سازندگان آنها بدانند.

ضمن اینکه شرکت Siemens نیز عدم توانایی دست درازی IronGate به تجهیزات SCADA ساخت این شرکت را تایید کرده است.

هر چند پیچیدگی Stuxnet با این بدافزار قابل مقایسه نیست، اما با این فرض که در سال ۲۰۱۴ گروهی موفق به ساخت بدافزاری مشابه Stuxnet شده اند زنگ خطری است برای شرکت ها و سازمان هایی که در آنها تجهیزات SCADA وظایف حساسی را برعهده دارند.

متاسفانه با وجودی که روش های مبتکرانه استفاده شده در Stuxnet سالهاست که در دسترس همگان قرار گرفته اما راهکارهای دفاعی و پیشگیرانه در برابر این نوع بدافزارها، تکامل محسوسی نداشته است.

توضیح اینکه بدافزار مذکور توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های Artemis!957581FB38A4 و Trojan.IronGate.A شناسایی می گردد.

چقدر طول می کشد تا بدانید هک شده اید !؟

برای شرکتها و سازمانهای مستقر در منطقه خاورمیانه و آفریقا در مقایسه با آمار جهانی، سه برابر زمان بیشتری طول می کشد تا متوجه حمله و نفوذ به شبکه های سازمانی خود شوند.

به گزارش شرکت شید افزار رایانه و به نقل از Mandiant واحد مشاوره شرکت امنیتی FireEye، موسسات فعال در خاورمیانه بطور متوسط بعد از ۴۶۹ روز متوجه حمله و نفوذ به سیستم ها و شبکه های سازمانی خود می شوند. متوسط آمار جهانی ۱۴۶ روز است.

همچنین شرکتها و سازمانهای خاورمیانه و آفریقایی اغلب خودشان حمله و عملیات نفوذی را کشف می کنند و متوجه می شوند. تنها ۱۲ درصد از نفوذها و سرقت اطلاعات در منطقه خاورمیانه و آفریقا توسط شرکتهای متخصص مشاور و پیمانکار شناسایی می شوند. در حالیکه آمار جهانی ۵۵ درصد است.

با توجه به افزایش مجرمان و تبهکاران سایبری که اهداف مختلفی را، از سرقت اسرار سازمانی تا کسب شهرت رسانه ای، دنبال می کنند، امروزه روش های سنتی برای واکنش به این حملات پاسخگو نبوده و فاقد سرعت عمل لازم هستند. از طرف دیگر بسیاری از دولت های خاورمیانه و آفریقا همچنان در راه اندازی مراکز “واکنش رخدادهای سایبری” یا CERT به مرحله اجرایی و بلوغ کامل نرسیده اند و موسسات به تنهایی باید در مقابل این تهدیدات جدید سایبری عکس العمل نشان دهند.

آمارهای شرکت FireEye نشان می دهد در مواردی که شناسایی و پاکسازی اثرات حمله توسط کارشناسان خود سازمان صورت گرفته است، جمع آوری آثار جرم و بررسی آنها جهت رفع کامل تهدید، بطور اصولی و کامل انجام نمی شود و باعث می گردد تا راه برای حملات مجدد باز بماند.

فرصت ۱۵ ماهه که طول می کشد تا شرکتها متوجه نفوذ و هک شدن سیستم ها و شبکه خود شوند، زمان کافی برای هر تبهکار و مجرم رایانه ای است تا به اهداف خود دسترسی پیدا کند. آمارها نشان می دهد که اهداف مهم در این نوع حملات نفوذی، سرقت بانک های اطلاعات سازمانی (۱۹%)، شناسایی ساختار شبکه سازمانی (۱۸%) و سرقت اسرار سازمانی و مالکیت های معنوی (۱۸%) بوده است.

اصلی ترین راههای نفوذ به شبکه های سازمانی در منطقه خاورمیانه و آفریقا، از طریق سوء استفاده از نقاط ضعف سرورهای تحت وب (۳۸%)، ایمیل های جعلی و مخرب (۲۵%) و فریب کاربران با استفاده از سوژه های روز اجتماعی (۱۳%) هستند.

در کشور ایران نیز در همین یک هفته گذشته، اخباری که همین آمار و رفتارها را ثابت می کند، در رسانه ها منتشر شد.

ابتدا خبر شناسایی ۷۱۸ سرور آلوده ایرانی تنها در ۱۲ ساعت منتشر گردید. این عدد بر اساس گزارش منتشر شده از سوی شرکت ضدویروس Kaspersky است که خبر از شناسایی یک مرکز خرید و فروش سرورهای هک شده به قیمت هر سرور ۶ دلار داده.

پس از آن نیز خبر دستگیری هکر سایت های دولتی منتشر شد. اطلاعات به دست آمده نشان می دهد که فرد نفوذگر توانسته بود تا با سوء استفاده از نقاط ضعف مختلف به اطلاعات مهم و زیادی دسترسی داشته باشد ولی به دلایلی، از سرقت و افشای این اطلاعات خودداری کرده است.

ترمیم دو ضعف امنیتی بحرانی در Lenovo Solution Center

به گزارش شرکت شید افزار رایانه ، شرکت Lenovo دو آسیب پذیری بحرانی را در نرم افزار Lenovo Solution Center که بصورت پیش فرض بر روی تعداد زیادی از دستگاه های ساخت این شرکت نصب شده است ترمیم کرد. این ضعف های امنیتی مهاجم را قادر به در دست گرفتن دستگاه و متوقف کردن پروسه نرم افزارهای امنیتی می کند.

نرم افزار Lenovo Solution Center به کاربران امکان می دهد وضعیت ضدویروس و دیواره آتش سیستم را مشاهده کنند، نرم افزار Lenovo را به روز کنند، نسخه پشتیبان (Backup) تهیه کنند، سلامت باتری دستگاه را بررسی کنند، اطلاعات ثبت نام و ضمانتنامه را دریافت کنند و آزمون های سخت افزاری را انجام دهند.

این ضعف های امنیتی با شناسه های CVE-2016-5249 و CVE-2016-5248 که توسط محققان Trustwave شناسایی شده اند نسخه های ۳٫۳٫۰۰۲ و پایین تر نرم افزار Lenovo Solution Center را تهدید می کنند.

ضعف امنیتی CVE-2016-5249 ضعفی از نوع ترفیع امتیازی (Privilege Escalation) است که مهاجمی را که دارای نام کاربری با حق دسترسی محدود است قادر به اجرای کد بر روی دستگاه، با حق دسترسی کاربر LocalSystem می کند.

ترفیع امتیازی خود به تنهایی نمی تواند منجر به موفقیت یک حمله از راه دور شود. اما با توجه به بهبودهای صورت گرفته در سیستم های عامل جدید، آسیب پذیری های حق دسترسی از راه دور، همیشه منجر به دسترسی کامل به سیستم نمی شوند. اینجاست که نقش ترفیع امتیازی پررنگ می شود.

ضعف امنیتی CVE-2016-5248 نیز به مهاجم با نام کاربری محلی با حق دسترسی حتی محدود امکان می دهد که با ارسال فرمانی به LSC.Services.SystemService هر پروسه ای را از جمله پروسه های ضدویروس متوقف کند.

شرکت Lenovo به کاربران توصیه کرده که Lenovo Solution Center نصب شده بر روی دستگاه خود را به نسخه ۳٫۳٫۰۰۳ ارتقا دهند.

ترفندهای ضدشناسایی بدافزار ماکرویی

به گزارش شرکت شید افزار رایانه ، شرکت امنیتی McAfee از انتشار گونه جدیدی از بدافزارهای ماکرویی خبر داده که از روش های جدیدی برای جلوگیری از اجرا شدن در آزمایشگاه های شرکت های ضدبدافزار استفاده می کند.

ماکرو (Macro) نوعی برنامه است که حاوی فرامینی برای خودکارسازی برخی عملیات در نرم افزارهای کاربردی می باشد. نرم افزارهایی همچون Word و Excel در مجموعه نرم افزارهای Office با فرامین ماکرو که با استفاده از VBA یا Visual Basic for Applications تهیه شده باشند، سازگار هستند. بدین روش و با استفاده از قابلیت های ماکرو، می توان اقدامات مخربی، نظیر نصب بدافزار، را به اجرا در آورد.

در گونه جدید زمانی که فایل با پسوند DOC توسط کاربر باز می شود با ظاهر شدن محتوایی بی معنی، در صوت غیرفعال بودن بخش ماکرو، از کاربر خواسته می شود که بخش ماکرو را فعال کند. با کلیک کاربر بر روی Enable Content، بخش ماکرو فعال شده و بدافزار از اینترنت دریافت می شود.

warning-1

بدافزار مورد بحث از روش های مبهم سازی (Obfuscation) برای دشوار نمودن تحلیل کدهای بدافزار توسط مهندسان بدافزار استفاده می کند.

در نگاه اول فهمیدن عملکرد این بدافزار ماکرویی دشوار است:

strings-1

بدافزار تمامی عباراتی را که می توانند سرنخی از عملکرد آن بدهند مخفی می کند. ضمن اینکه پارامترها و توابع نامرتبطی نیز با همین هدف به کد اضافه شده اند. برای مثال، در تابع زیر دو پارامتر دریافت می شوند. پارامتر اول رشته ای گمراه کننده و دومی رشته ای بدون کاربرد است که لازم است در همان ابتدا حذف شود.

۱-۴

اسکریپت Python زیر کد فوق را رمزگشایی می کند.

python

برخی بدافزارها برای جلوگیری از شناسایی شدن از روش هایی همچون عدم اجرا شدن در بسترهای مجازی سازی و قرنطینه امن (Sandbox) استفاده می کنند. اما این بدافزار ماکرویی از روش های نوینی برای این منظور بهره گرفته است.

بدافزار، تعداد فایل هایی که اخیراً باز شده اند را بررسی می کند. در صورتی که این تعداد کمتر از ۳ باشد اجرای خود را متوقف می کند. این روش آسان از آن جهت اهمیت دارد که محققان بدافزار معمولاً از یک نسخه تازه ماشین مجازی که هیچ فایلی در آن باز نشده است استفاده می کنند.

recentfiles

همچنین ماکرو از سایت مجاز MaxMind برای اهداف مخرب خود بهره می گیرد. این سایت مشخصات و موقعیت جغرافیایی دستگاه کاربر را بر اساس نشانی IP آن مشخص می کند.

maxmind

در کد فوق، ResponseText1 شامل موقعیت، نشانی IP، نام سازمان و برخی اطلاعات دیگر است.

check1
در صورت وجود هر یک از نام های نشان داده شده در شکل بالا در ResponseText1، بدافزار از ادامه کار صرف نظر می کند. در حقیقت با این کار بدافزار از اجرا شدنش در شرکت های امنیتی و میزبانی سایت و کشورهایی نظیر روسیه و مناطقی همچون آمریکای شمالی جلوگیری می کند.

با اجرای موفقیت آمیز این بدافزار ماکرویی، بدافزارهای دیگری نظیر بدافزار بانکی Ursnif از اینترنت دریافت بر روی دستگاه قربانی اجرا می شوند.

برای مقابله با بدافزارهای ماکرویی رعایت موارد زیر توصیه می شود:

از ضدویروس قدرتمند و به روز استفاده کنید.
بخش Macro را در نرم افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون تجهیزات Sophos بهره بگیرید.
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار آلوده نمی شود.

تبلیغات HTML5 چندان امن‌تر از فلش نیستند

تحقیقات اخیر نشان می‌دهند که استفاده از بنرهای HTML5 نمی‌تواند مانع حملات هکرها به کاربران شود. البته مشکل اصلی در این بین، فناوری HTML5 نیست و به نظر می‌رسد بسترهای نمایش تبلیغات و جاوا اسکریپت مقصر هستند.

فلش (Flash) بستری برای ساخت و نمایش انیمیشن‌های تحت وب و تبلیغات متحرک در وب‌سایت‌ها است که توسط ادوبی توسعه داده می‌شد. شواهد و تحقیقات نشان دادند که فلش نفوذپذیرترین و غیرامن‌ترین اپلیکیشن است و بیشترین میزان حملات سایبری نیز از طریق حفره‌های امنیتی این نرم‌افزار انجام شده است. از طرفی برای نمایش بنرها و محتوای ساخته شده با فلش، کاربران باید افزونه مربوط به آن را بر روی مرورگر خود نصب کنند. با پشتیبانی گسترده و طبیعی مرورگرها از فناوری HTML5، استفاده از بنرهای فلش روز به روز کمتر شد تا HTML5 جایگزین آن شود. این روند آنقدر دنبال شد تا مرورگرها رسما مرگ فلش را اعلام و پشتیبانی از آن را قطع کردند و گوگل نیز استفاده از بنرهای فلش در پلتفرم‌های تبلیغاتی خود را ممنوع کرد.

هرچند HTML5 تا اینجای کار بسیار بهتر از فلش عمل کرده و نه تنها در مصرف منابع سیستمی برای نمایش انیمیشن‌ها بهتر است بلکه نفوذ پذیری کمتری نیز داشته است؛ اما براساس گزارشی که GeoEdge منتشر کرده، هکرها از تبلیغات HTML5 برای نفوذ به اطلاعات کاربران استفاده کرده‌اند. البته این حملات کمتر مربوط به خود بنرهای تبلیغاتی بوده‌اند و در عوض پلتفرم‌های تبلیغاتی را هدف قرار داده‌اند. در این نوع از حمله‌ها تفاوتی نمی‌کند که بنر فلش باشد یا HTML5، ایجادکننده‌ی بنر از طریق دستکاری در کدهای جاوا اسکریپت، بستر لازم برای نفوذ را فراهم می‌کند تا رفتار کاربران را تحت نظر بگیرد.

حقیقت امر این است که HTML5 به خودی خود نفوذپذیر نیست و این جاوا اسکریپت است که مشکلات امنیتی را موجب شده است. ایجادکننده‌ی تبلیغات، می‌تواند به جای ارسال کدهای جاوا اکسریپتِ نمایش بنرها، کدهای مخرب جاوا اسکریپت را در کامپیوتر کاربران اجرا کند.

با همه‌ی اینها HTML5 و Flash مزایا و معایب خود را دارند. برای نمایش تبلیغات فلش، کاربر باید افزونه‌ی مخصوص آن را بر روی مرورگر خود نصب کند، اما HTML5 بصورت طبیعی توسط مرورگرها پشتیبانی می‌شود و نیازی به نصف افزونه نیست. تبلیغات HTML5 از نظر سایز، حجیم‌تر از بنرهای فلش هستند. بنرهای HTML5 به راحتی ریسپانسیو می‌شوند و در موبایل و گجت‌های مختلف با سایزهای متفاوت به درستی نمایش داده می‌شوند. HTML5 به مراتب ایمن‌تر از فلش است. با توجه به این موارد بدون شک، HTML5 برنده‌ی این رقابت است، اما سرویس‌های نمایش تبلیغات باید موارد امنیتی بیشتری را مد نظر قرار دهند تا کدهای مخرب به راحتی در قالب بنرهای تبلیغاتی به نمایش در نیایند.

بدافزار موبایلی Godless

به گزارش شرکت شید افزار رایانه به نقل از شرکت ضدویروس Trend Micro، بدافزاری با عنوان Godless که موفق به ورود به بازار توزیع دیجیتال Google Play شده دستگاه های همراه با سیستم عامل Android 5.1 و پایین تر را که ۹۰ درصد دستگاه های تحت این سیستم عامل را تشکیل می دهند هدف قرار داده است.

Godless با مخفی ساختن خود در برنامک های مجاز و استفاده از چندین بهره جو (Exploit) دستگاه را ریشه یابی (Rooting) می کند. در ادامه بدافزار با برقراری ارتباط با سرور فرماندهی اقدام به دریافت برنامک آلوده کرده و آن را با بالاترین حق دسترسی به عنوان یک برنامک سیستمی بر روی دستگاه قربانی نصب می کند. حذف برنامک مخرب نصب شده نیز کار چندان ساده ای نیست.

با توجه به اینکه، برنامک مخرب، از طریق ارتباط از راه دور برقرار شده با سرور فرماندهی دریافت و اجرا می شود، گردانندگان Godless توانسته اند با عبور از سد کنترل های امنیتی Google Play برنامک های مجاز آلوده شده را در این بازار توزیع دیجیتال به اشتراک بگذارند.

godless-app

بر اساس بررسی های انجام شده توسط Trend Micro، گردانندگان Godless نسخه هایی از برخی از برنامک های مجاز را آلوده کرده و با گواهینامه دیجیتال یکسان با برنامک اصلی در بازارهای توزیع دیجیتال غیر Google Play به اشتراک گذاشته اند. با این کار این احتمال وجود خواهد داشت که نسخه مجاز فاقد هر گونه آلودگی بر روی دستگاه قربانی در این بازارها به نسخه آلوده شده ارتقا داده شود.

بر طبق اعلام Trend Micro تا کنون ۸۵۰ هزار دستگاه آلوده به این بدافزار شناسایی شده که تقریباً نیمی از آنها در هند هستند. سهم ایران از این آلودگی ها نزدیک به ۱ درصد اعلام شده است.

godless

به کاربران توصیه می شود که برنامک های مورد نیاز خود را از بازارهای معتبر دریافت کنند؛ از ضدویروس بر روی دستگاه خود استفاده کنند و از نصب برنامک های ناآشنا خودداری کنند.

درز اطلاعات بیش از ۳۴ هزار نفر از خریداران محصولات Acer

به گزارش شرکت شید افزار رایانه ، شرکت Acer اعلام کرده که مهاجمانی به فروشگاه آنلاین این شرکت نفوذ کرده و داده های حساس متعلق به مشتریان Acer را سرقت کرده اند.

داده های درز شده شامل نام مشتریان، نشانی های پستی و جزییات کارت های اعتباری (تاریخ اعتبار و کد امنیتی) است.

مشخص نیست نفوذگران چگونه به سرورهای Acer دست یافته اند. در بیانیه این شرکت تنها اعلام شده که درز اطلاعات در نتیجه یک اشکال امنیتی بوده است. اما سایت PC World به نقل از Acer گزارش داده که داده های مشتریان در قالب غیرامنی ذخیره شده بودند.

در این نفوذ، اطلاعات ۳۴،۵۰۰ مشتری Acer که در فاصله ۲۲ اردیبهشت سال گذشته تا ۹ اردیبهشت امسال از فروشگاه آنلاین این شرکت خرید کرده بودند سرقت شده است. این قربانیان در یکی از کشورهای آمریکا، کانادا و پورتوریکو خرید آنلاین خود را انجام داده اند.

مهاجمان می توانند از اطلاعات سرقت شده در حملات فیشینگ و کلاهبرداری استفاده کنند.

چنین حملاتی بیانگر این واقعیت است که بسیاری از موارد امنیتی در دنیای سایبری خارج از کنترل کاربران، حتی کاربران با دقت و محتاط است.