https://www.certcc.ir/news/entry/12338
گزارش تحلیل نسخه جعلی تلگرام اندرویدی منتشر شده در اوایل بهمن ماه ۱۳۹۶
اوایل بهمنماه ۱۳۹۶، نسخهای از نرمافزار اندرویدی تلگرام از طریق پیامهای تلگرامی ناخواسته در همین نرم افزار در مقیاس گسترده در کشور انتشار یافت. در پیامهای دریافت شده، لینکی به یک وبسایت فیشینگ با دامنه و ظاهری شبیه دامنه و وبسایت تلگرام قرار داده شده بود و کاربر را تشویق به دریافت و نصب نسخهای جدید از نرمافزار با قابلیتهای بیشتر مینمود. با توجه به انتشار وسیع این اپلیکیشن، بررسی فنی دقیقی بر روی آن صورت گرفت و جزییات فعالیت آن مشخص شد. برمبنای این گزارش می توان دریافت خوشبختانه این بدافزار اقدامات مخرب محدودی انجام داده و قابلیتهای سرقت و یا از بینبردن اطلاعات در آن پیادهسازی نشده است. با این وجود گستردگی انتشار آن نشان میدهد کاربران تا چه حد در برابر حملات مشابه آسیبپذیر هستند و لازم است به هیچ عنوان از منابع غیر از بازارهای رسمی اپلیکیشن، نرم افزاری دانلود نکنند. در این مستند نتایج فنی تحلیل صورت گرفته ارایه شده است.
@ircert
گزارش تحلیل نسخه جعلی تلگرام اندرویدی منتشر شده در اوایل بهمن ماه ۱۳۹۶
اوایل بهمنماه ۱۳۹۶، نسخهای از نرمافزار اندرویدی تلگرام از طریق پیامهای تلگرامی ناخواسته در همین نرم افزار در مقیاس گسترده در کشور انتشار یافت. در پیامهای دریافت شده، لینکی به یک وبسایت فیشینگ با دامنه و ظاهری شبیه دامنه و وبسایت تلگرام قرار داده شده بود و کاربر را تشویق به دریافت و نصب نسخهای جدید از نرمافزار با قابلیتهای بیشتر مینمود. با توجه به انتشار وسیع این اپلیکیشن، بررسی فنی دقیقی بر روی آن صورت گرفت و جزییات فعالیت آن مشخص شد. برمبنای این گزارش می توان دریافت خوشبختانه این بدافزار اقدامات مخرب محدودی انجام داده و قابلیتهای سرقت و یا از بینبردن اطلاعات در آن پیادهسازی نشده است. با این وجود گستردگی انتشار آن نشان میدهد کاربران تا چه حد در برابر حملات مشابه آسیبپذیر هستند و لازم است به هیچ عنوان از منابع غیر از بازارهای رسمی اپلیکیشن، نرم افزاری دانلود نکنند. در این مستند نتایج فنی تحلیل صورت گرفته ارایه شده است.
@ircert
www.certcc.ir
گزارش تحلیل نسخه جعلی تلگرام اندرویدی منتشر شده در اوایل بهمن ماه ۱۳۹۶ | مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای
اوایل بهمن ماه ۱۳۹۶، نسخه ای از نرم افزار اندرویدی تلگرام از طریق پیام های تلگرامی ناخواسته در همین نرم افزا... برچسب: اخبار, گزارشات تحلیلی.
▪️اطلاعیه مرکز ماهر در خصوص ادعای سوءاستفادهی اپلیکیشن پیامرسان ((بله)) از اطلاعات کاربران
در پی انتشار وسیع ادعایی درخصوص سوءاستفاده اپلیکیشن پیامرسان ((بله)) از اطلاعات کاربران که صرفا با استناد به مجوزهای دسترسی اپلیکیشن اندرویدی صورت گرفته است، به اطلاع میرساند اینگونه اظهارنظر نسبت به امنیت اپلیکیشنها فاقد هرگونه اعتبار است. مجوزهای برنامههای اندرویدی تابع قابلیتهای پیادهسازی شده و تنظیمات برنامه نویس هستند. درواقع برای ارائه هر قابلیتی ممکن است نیاز به فعال سازی مجوزهایی در برنامه باشد. یک بررسی ساده در خصوص سایر اپلیکیشنهای داخلی و خارجی نیز نشان خواهد داد هر یک دارای مجوزهای گوناگون هستند. همچنین لازم به توضیح است که در ویدئوی منتشر شده حتی تعریف و توضیح برخی از مجوزها نیز کاملا اشتباه است. بطور کلی اظهار نظر در خصوص امنیت هر اپلیکیشنی نیازمند بررسی در فضای فنی و تخصصی است.
@ircert
در پی انتشار وسیع ادعایی درخصوص سوءاستفاده اپلیکیشن پیامرسان ((بله)) از اطلاعات کاربران که صرفا با استناد به مجوزهای دسترسی اپلیکیشن اندرویدی صورت گرفته است، به اطلاع میرساند اینگونه اظهارنظر نسبت به امنیت اپلیکیشنها فاقد هرگونه اعتبار است. مجوزهای برنامههای اندرویدی تابع قابلیتهای پیادهسازی شده و تنظیمات برنامه نویس هستند. درواقع برای ارائه هر قابلیتی ممکن است نیاز به فعال سازی مجوزهایی در برنامه باشد. یک بررسی ساده در خصوص سایر اپلیکیشنهای داخلی و خارجی نیز نشان خواهد داد هر یک دارای مجوزهای گوناگون هستند. همچنین لازم به توضیح است که در ویدئوی منتشر شده حتی تعریف و توضیح برخی از مجوزها نیز کاملا اشتباه است. بطور کلی اظهار نظر در خصوص امنیت هر اپلیکیشنی نیازمند بررسی در فضای فنی و تخصصی است.
@ircert
استفاده از پردازنده رایانه مردم برای ارزکاوی مجازی، کاری غیراخلاقی است و مدیران وب سایتها باید نسبت به حقوق شهروندان توجه نمایند. بررسیها حاکی از "هک نشدن" برخی وبسایتهای پرمراجعهی آلوده به دزد_کدها است. سازمان فناوری اطلاعات مسئول جمع آوری ادله برای پیگیری حقوقی شده است.
https://twitter.com/azarijahromi/status/967017618606567424
@ircert
https://twitter.com/azarijahromi/status/967017618606567424
@ircert
Twitter
MJ Azari Jahromi
استفاده از پردازنده رایانه مردم برای ارزکاوی مجازی، کاری غیراخلاقی است و مدیران وب سایتها باید نسبت به حقوق شهروندان توجه نمایند. بررسیها حاکی از "هک نشدن" برخی وبسایتهای پرمراجعهی آلوده به دزد_کدها است. سازمان فناوری اطلاعات مسئول جمع آوری ادله برای پیگیری…
🔳گزارشی خلاصه از هشتمین دوره رقابتهای فتح پرچم (CTF)
هشتمین دوره از مجموعه رقابتهای فتح پرچم (CTF)، از ۱۳ لغایت ۱۸ بهمن ماه سال جاری توسط مرکز آپا دانشگاه صنعتی شریف در دانشکدهی مهندسی کامپیوتر این دانشگاه برگزار گردید. این دوره از رقابتها، در سه محور اصلی به همراه یک مجموعه کارگاه تخصصی برگزار گردید.
▪️در این مسایقات 1266 تیم از ۱۲۰ کشور رقابت پرداختند که در این میان 243 تیم ایرانی بودند.
▪️تعداد ۳۳ چالش در ۶ زمینه زیر در اختیار شرکتکنندگان قرار گرفت:
▫️نفوذگری در وِب (web hacking)
▫️رمزنگاری (cryptography)
▫️جرمیابی (forensics)
▫️مهندسی معکوس (reverse engineering)
▫️اکسپلویت نویسی (exploiting)
▫️سوالات ترکیبی (misc)
برای استفاده عموم از چالشهای این دوره از رقابتها، پرتال مسابقه در آدرس http://ctf.sharif.edu در دسترس است. گزارش نتایج در ادامه ارائه شده است.
هشتمین دوره از مجموعه رقابتهای فتح پرچم (CTF)، از ۱۳ لغایت ۱۸ بهمن ماه سال جاری توسط مرکز آپا دانشگاه صنعتی شریف در دانشکدهی مهندسی کامپیوتر این دانشگاه برگزار گردید. این دوره از رقابتها، در سه محور اصلی به همراه یک مجموعه کارگاه تخصصی برگزار گردید.
▪️در این مسایقات 1266 تیم از ۱۲۰ کشور رقابت پرداختند که در این میان 243 تیم ایرانی بودند.
▪️تعداد ۳۳ چالش در ۶ زمینه زیر در اختیار شرکتکنندگان قرار گرفت:
▫️نفوذگری در وِب (web hacking)
▫️رمزنگاری (cryptography)
▫️جرمیابی (forensics)
▫️مهندسی معکوس (reverse engineering)
▫️اکسپلویت نویسی (exploiting)
▫️سوالات ترکیبی (misc)
برای استفاده عموم از چالشهای این دوره از رقابتها، پرتال مسابقه در آدرس http://ctf.sharif.edu در دسترس است. گزارش نتایج در ادامه ارائه شده است.
◼️هشدار مرکز ماهر در خصوص اقدامات پیشگیرانه برای حوادث احتمالی فضای مجازی در ایام تعطیلات نوروزی
به اطلاع مدیران محترم فناوری اطلاعات کلیه سازمان ها و شرکت ها می رساند که در ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمین جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از اینرو پیشنهاد میگردد تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار قرار گیرد:
▪️تعیین نفرات مسول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر
▪️سرکشی به سامانه ها بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز
▪️بررسی کامل رخدادنماها(فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمان از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف
▪️غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارایه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار می باشد.
▪️غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi
▪️محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp ,ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن
▪️بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور
▪️به روزرسانی سیستم های عامل،نرم افزارها و سخت افزارهای امنیتی
▪️تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات
▪️هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات
▪️گزارش نمودن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به ادرس www.certcc.ir و نیز مراکز تخصصی آپا که در این ایام آماده به کشیک می باشند.
https://www.certcc.ir/news/12352
@ircert
به اطلاع مدیران محترم فناوری اطلاعات کلیه سازمان ها و شرکت ها می رساند که در ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمین جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از اینرو پیشنهاد میگردد تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار قرار گیرد:
▪️تعیین نفرات مسول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر
▪️سرکشی به سامانه ها بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز
▪️بررسی کامل رخدادنماها(فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمان از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف
▪️غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارایه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار می باشد.
▪️غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi
▪️محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp ,ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن
▪️بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور
▪️به روزرسانی سیستم های عامل،نرم افزارها و سخت افزارهای امنیتی
▪️تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات
▪️هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات
▪️گزارش نمودن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به ادرس www.certcc.ir و نیز مراکز تخصصی آپا که در این ایام آماده به کشیک می باشند.
https://www.certcc.ir/news/12352
@ircert
cert.ir
هشدار مرکز ماهر در خصوص اقدامات پیشگیرانه برای حوادث احتمالی فضای مجازی در ایام تعطیلات نوروزی | مرکز مدیریت امداد و هماهنگی…
به اطلاع مدیران محترم فناوری اطلاعات کلیه سازمان ها و شرکت ها می رساند که در ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمین جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از اینرو پیشنهاد میگردد تا اقداماتی…
◼️هشدار در خصوص آسیبپذیری پروتکل CredSSP و تهدید سرویسدهندههای RDP
پروتکل CredSSP یک ارائه دهنده احراز هویت است که درخواستهای احراز هویت برای سایر برنامهها همچون Remote Desktop در سیستمهای عامل خانوادهی ویندوز را پردازش میکند. آسیبپذیری بحرانی جدید کشف شده با کد CVE-2018-0886 مربوط به این پروتکل، امکان اجرای دستورات از راه دور در سیستمهای هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم میکند. برنامههایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیبپذیر باشند. مهاجم جهت سوء استفاده از این آسیبپذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویسدهنده پروتکل RDP و کلاینت است. با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامههای مورد نظر خود را اجرا کند، دادهها را تغییر داده و یا حذف کند و یا حسابهای کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد نماید. حملات فرد میانی میتواند در زمان استفاده از شبکههای بیسیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیافتد.
آسیبپذیری مذکور در تمامی نسخههای ویندوز وجود دارد اما خوشبختانه وصلههای امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ ۱۳ مارچ ارائه شده است.
بنا بر توصیه ی مایکروسافت، برای پیشگیری از حملات با استفاده از آسیبپذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینتها، نسبت به تنظیم Group Policy در همه سیستمها جهت جلوگیری از برقراری ارتباط با سیستمهای وصله نشده اقدام نمود.
جزییات بیشتر در خصوص این آسیبپذیری و نحوه تنظیم Group Policy در لینکهای زیر در دسترس است:
https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886
@ircert
پروتکل CredSSP یک ارائه دهنده احراز هویت است که درخواستهای احراز هویت برای سایر برنامهها همچون Remote Desktop در سیستمهای عامل خانوادهی ویندوز را پردازش میکند. آسیبپذیری بحرانی جدید کشف شده با کد CVE-2018-0886 مربوط به این پروتکل، امکان اجرای دستورات از راه دور در سیستمهای هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم میکند. برنامههایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیبپذیر باشند. مهاجم جهت سوء استفاده از این آسیبپذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویسدهنده پروتکل RDP و کلاینت است. با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامههای مورد نظر خود را اجرا کند، دادهها را تغییر داده و یا حذف کند و یا حسابهای کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد نماید. حملات فرد میانی میتواند در زمان استفاده از شبکههای بیسیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیافتد.
آسیبپذیری مذکور در تمامی نسخههای ویندوز وجود دارد اما خوشبختانه وصلههای امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ ۱۳ مارچ ارائه شده است.
بنا بر توصیه ی مایکروسافت، برای پیشگیری از حملات با استفاده از آسیبپذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینتها، نسبت به تنظیم Group Policy در همه سیستمها جهت جلوگیری از برقراری ارتباط با سیستمهای وصله نشده اقدام نمود.
جزییات بیشتر در خصوص این آسیبپذیری و نحوه تنظیم Group Policy در لینکهای زیر در دسترس است:
https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886
@ircert
Microsoft
CredSSP updates for CVE-2018-0886 - Microsoft Support
Describes details for the CredSSP updates for CVE-2018-0886.
🔳هشدار به سازمان ها و شرکتها در خصوص تهدید جدی سرویس دهندههای RDP بر بستر شبکه اینترنت
با توجه به تهدیدات گسترده اخیر درخصوص سوءاستفاده و نفوذ از طریق پروتکل RDP ازجمله شناسایی آسیبپذیری CredSSP و انتشار باجافزارهای مختلف از طریق این پروتکل، تمرکز بیشتری در رصد فعالیتها و حملات بر این بستر از طریق شبکه هانینت مرکز ماهر صورت گرفته است. در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرسهای IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیبرسانی و ورود به سامانه ها از طریق این پروتکل هستند.
اطلاعرسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکین آدرسهای داخلی توسط مرکز ماهر درحال انجام است. همچنین مکاتبه با CERT های ملی کشورهای خارجی جهت مقابله در جریان است. بار دیگر تاکید میگردد بمنظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکلهای دسترسی راهدور نظیر telnet و SSH بر روی شبکه اینترنت اکیدا خودداری نمایید و درصورت نیاز، دسترسی به این سرویسها را تنها بر بستر VPN و یا برای آدرسهای مبداء مشخص و محدود برقرار نمایید.
@ircert
با توجه به تهدیدات گسترده اخیر درخصوص سوءاستفاده و نفوذ از طریق پروتکل RDP ازجمله شناسایی آسیبپذیری CredSSP و انتشار باجافزارهای مختلف از طریق این پروتکل، تمرکز بیشتری در رصد فعالیتها و حملات بر این بستر از طریق شبکه هانینت مرکز ماهر صورت گرفته است. در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرسهای IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیبرسانی و ورود به سامانه ها از طریق این پروتکل هستند.
اطلاعرسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکین آدرسهای داخلی توسط مرکز ماهر درحال انجام است. همچنین مکاتبه با CERT های ملی کشورهای خارجی جهت مقابله در جریان است. بار دیگر تاکید میگردد بمنظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکلهای دسترسی راهدور نظیر telnet و SSH بر روی شبکه اینترنت اکیدا خودداری نمایید و درصورت نیاز، دسترسی به این سرویسها را تنها بر بستر VPN و یا برای آدرسهای مبداء مشخص و محدود برقرار نمایید.
@ircert
مرکز ماهر
طرح کودک و اینترنت (کوا) سازمان فناوری اطلاعات ایران، جایزه اجلاس wsis سال 2018 را به خود اختصاص داد
🔳طرح کودک و اینترنت (کوا) سازمان فناوری اطلاعات ایران، جایزه اجلاس wsis سال 2018 را به خود اختصاص داد.
طرح کودک و اینترنت با محوریت معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات و با همکاری وزارت آموزش و پرورش و نیروی انتظامی در یکسال گذشته اجرا شده و با برگزاری کارگاههای متعدد در بیش از هفتصد مدرسه و تولید و انتشار محتوای آموزشی نسبت به آگاهی بخشی به کودکان و خانوادههای آنها از تهدیدات و خطرات سایبری اقدام نموده است.
@ircert
طرح کودک و اینترنت با محوریت معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات و با همکاری وزارت آموزش و پرورش و نیروی انتظامی در یکسال گذشته اجرا شده و با برگزاری کارگاههای متعدد در بیش از هفتصد مدرسه و تولید و انتشار محتوای آموزشی نسبت به آگاهی بخشی به کودکان و خانوادههای آنها از تهدیدات و خطرات سایبری اقدام نموده است.
@ircert
🔳اطلاعیه مرکز ماهر درخصوص حواشی مطرح شده در فضای مجازی در مورد اپلیکیشن ((روبیکا))
در پی طرح سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرمافزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت.
در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است.
در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که:
▪️این نرم افزار حریم خصوصی کاربران را نقض نمی کند.
▪️این نرم افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند)
▪️کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند.
▪️نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند.
▪️درخصوص استفاده از نرم افزارهای متن باز با لایسنس GPL و عدم رعایت تعهدات حقوقی مربوط به آن، متاسفانه این موضوع در محصولات داخلی امری رایج بوده و در این محصول نیز مورد توجه واقع نشده است.
▪️درخصوص استفاده از مجوز (certificate) امضای دیجیتال با نام شرکت گوگل لازم به توضیح است که این مجوز بصورت خودامضا (self signed ) بوده و جزییات آن در محیط توسعه اندروید بطور پیش فرض به نام شرکت گوگل ثبت شده است و لازم بود شرکت توسعه دهنده نرم افزار این مشخصات را پیش از انتشار عمومی تغییر می داد.
▪️درخصوص لوگوی اپلیکیشن، اظهارنظر در این مورد در صلاحیت این مرکز نیست.
https://www.certcc.ir/news/12356
@ircert
در پی طرح سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرمافزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت.
در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است.
در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که:
▪️این نرم افزار حریم خصوصی کاربران را نقض نمی کند.
▪️این نرم افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند)
▪️کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند.
▪️نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند.
▪️درخصوص استفاده از نرم افزارهای متن باز با لایسنس GPL و عدم رعایت تعهدات حقوقی مربوط به آن، متاسفانه این موضوع در محصولات داخلی امری رایج بوده و در این محصول نیز مورد توجه واقع نشده است.
▪️درخصوص استفاده از مجوز (certificate) امضای دیجیتال با نام شرکت گوگل لازم به توضیح است که این مجوز بصورت خودامضا (self signed ) بوده و جزییات آن در محیط توسعه اندروید بطور پیش فرض به نام شرکت گوگل ثبت شده است و لازم بود شرکت توسعه دهنده نرم افزار این مشخصات را پیش از انتشار عمومی تغییر می داد.
▪️درخصوص لوگوی اپلیکیشن، اظهارنظر در این مورد در صلاحیت این مرکز نیست.
https://www.certcc.ir/news/12356
@ircert
www.certcc.ir
اطلاعیه مرکز ماهر درخصوص حواشی مطرح شده در فضای مجازی در مورد اپلیکیشن ((روبیکا)) در مرکز مدیریت امداد و هماهنگی عملیات رخدادهای…
در پی طرح سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرم‏ افزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت. در…
پیرو اختلالات سراسری رخ داده در مراکز داده مهم کشور بر اثر آسیب پذیری روترهای سیسکو، به اطلاع میرساند در حال حاضر مقابله با این نقص امنیتی در سطوح مختلف در جریان است. آسیبپذیری موجود در قابلیت smart install client تجهیزات سری 3x و 4x شرکت سیسکو موجب شده مهاجمین بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر سوئیچها اقدام نموده و نسبت به خارج کردن این تجهیز از خدمات دهی اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعالسازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام نمایند.
مراکز داده اصلی و شرکتهای FCP در جریان موضوع بوده و عمدتا به مدار باز گشته اند. تا این لحظه سرویسدهی شرکتهای افرانت و آسیاتک بصورت کامل به حالت عادی بازگشته و سایر سرویسدهندههای عمده نیز در حال رفع مشکل میباشند.
لازم به توضیح است ارتباط دیتاسنتر میزبان وبسایت مرکز ماهر نیز دچار این مشکل شده و به همین دلیل وبسایت مرکز از دسترسی خارج است.
بزودی جزییات فنی از این موضوع در اختیار عموم قرار خواهد گرفت.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعالسازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام نمایند.
مراکز داده اصلی و شرکتهای FCP در جریان موضوع بوده و عمدتا به مدار باز گشته اند. تا این لحظه سرویسدهی شرکتهای افرانت و آسیاتک بصورت کامل به حالت عادی بازگشته و سایر سرویسدهندههای عمده نیز در حال رفع مشکل میباشند.
لازم به توضیح است ارتباط دیتاسنتر میزبان وبسایت مرکز ماهر نیز دچار این مشکل شده و به همین دلیل وبسایت مرکز از دسترسی خارج است.
بزودی جزییات فنی از این موضوع در اختیار عموم قرار خواهد گرفت.
▪️اطلاعیه مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی
در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبهی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
• با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
• قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد.
• رمز عبور قبلی تجهیز تغییر داده شود.
• توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.
متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.
@ircert
در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبهی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
• با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
• قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد.
• رمز عبور قبلی تجهیز تغییر داده شود.
• توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.
متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.
@ircert
▪️بنابر گزارشات واصله برخی کاربران در اعمال دستور no vstack به ویژه بر روی سوییچ های 3750 با مشکل مواجه شده اند. این دسته از کاربران می توانند به سادگی از قابلیت access list سوییچ جهت مسدود سازی ترافیک ورودی به پورت tcp/4786 استفاده نمایند.
🔳هشدار مرکز ماهر به کاربران بهرهبردار از روترهای Mikrotik
با توجه به اطلاعیه اخیر شرکت میکروتیک در خصوص روترهای میکروتیک با سیستم عامل RouterOS v6.38.5 به قبل، نسخه جدیدی از باتنت Hajime فعال شده و در مقیاس وسیع اقدام به نفوذ و سوءاستفاده از این روترها می نماید.
این بات با اسکن آی پی های عمومی در اینترنت و یافتن روترهای با پورت های باز 8291 (نرم افزار winbox) و 80 (وب)، از طریق سوءاستفاده از آسیبپذیری ملقب به "ChimayRed" اقدام به نفوذ و بهرهبرداری از منابع روترهای آسیبپذیر مینماید.
برای ایمن سازی روترها در برابر این آسیپ پذیری رعایت نکات زیر الزامی است:
▪️سیستم عامل روتر را بروزرسانی کنید.
▪️سرویس مدیریت تحت وب روتر را غیرفعال کرده یا دسترسی به آن را به شبکه داخلی خود محدود نمایید. توجه داشته باشید در صورت فعال بودن سرویس و وجود آلودگی در شبکه داخلی، همچنان امکان آلودگی روتر وجود دارد.
▪️جهت غیرفعال سازی سرویس وب در قسمت IP Service سرویس WWW را غیر فعال نمایید.
▪️اگر در شبکه خود هات اسپات دارید Webfig را غیرفعال کنید.
▪️در قسمت IP Service و Allowed-From دسترسی مدیریتی به روتر را فقط به شبکه ای خاص یا آی پی خاص بدهید.
منبع: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
@ircert
با توجه به اطلاعیه اخیر شرکت میکروتیک در خصوص روترهای میکروتیک با سیستم عامل RouterOS v6.38.5 به قبل، نسخه جدیدی از باتنت Hajime فعال شده و در مقیاس وسیع اقدام به نفوذ و سوءاستفاده از این روترها می نماید.
این بات با اسکن آی پی های عمومی در اینترنت و یافتن روترهای با پورت های باز 8291 (نرم افزار winbox) و 80 (وب)، از طریق سوءاستفاده از آسیبپذیری ملقب به "ChimayRed" اقدام به نفوذ و بهرهبرداری از منابع روترهای آسیبپذیر مینماید.
برای ایمن سازی روترها در برابر این آسیپ پذیری رعایت نکات زیر الزامی است:
▪️سیستم عامل روتر را بروزرسانی کنید.
▪️سرویس مدیریت تحت وب روتر را غیرفعال کرده یا دسترسی به آن را به شبکه داخلی خود محدود نمایید. توجه داشته باشید در صورت فعال بودن سرویس و وجود آلودگی در شبکه داخلی، همچنان امکان آلودگی روتر وجود دارد.
▪️جهت غیرفعال سازی سرویس وب در قسمت IP Service سرویس WWW را غیر فعال نمایید.
▪️اگر در شبکه خود هات اسپات دارید Webfig را غیرفعال کنید.
▪️در قسمت IP Service و Allowed-From دسترسی مدیریتی به روتر را فقط به شبکه ای خاص یا آی پی خاص بدهید.
منبع: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
@ircert
🔳هشدار مرکز ماهر درخصوص آسیب پذیری بحرانی در سیستم مدیریت محتوای دروپال
▪️يك آسیب پذیری بحرانی در هسته ی سیستم مدیریت محتوای دروپال با درجه اهمیت بسیار حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است. این آسیب پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و8 دروپال بدون نیاز به احراز هویت می دهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند. اين آسيب پذيري كه با شناسه CVE-2018-7600 شناخته مي شود بر روی نسخه های مختلف دروپال تاثیر می گذارد:
▫️7.x
▫️8.3.x
▫️8.4.x
▫️8.5.x
▪️راهکار مقابله بروزرسانی و یا نصب وصله امنیتی ارائه شده است. جزییات آسیبپذیری و نحوه رفع آن در فایل پیوست ارائه شده است.
@ircert
▪️يك آسیب پذیری بحرانی در هسته ی سیستم مدیریت محتوای دروپال با درجه اهمیت بسیار حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است. این آسیب پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و8 دروپال بدون نیاز به احراز هویت می دهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند. اين آسيب پذيري كه با شناسه CVE-2018-7600 شناخته مي شود بر روی نسخه های مختلف دروپال تاثیر می گذارد:
▫️7.x
▫️8.3.x
▫️8.4.x
▫️8.5.x
▪️راهکار مقابله بروزرسانی و یا نصب وصله امنیتی ارائه شده است. جزییات آسیبپذیری و نحوه رفع آن در فایل پیوست ارائه شده است.
@ircert