X
دعوت به همکاری - گوینده
انتشارات و موسسه فرهنگی نوین پندار از علاقه مندان به گویندگی دعوت به همکاری مینماید. جهت کسب اطلاعات بیشتر به صفحه همکاری با ما مراجعه نمایید.
:: :: :: :: :: اطلاعیه :: :: :: :: ::
 
 
 
width: px
height: px

زیرخط امنیت؛ اتفاقات مهم امنیتی هفته‌ی گذشته

12:31   |   شنبه 23 اسفند ماه 93   |   تعداد بازدید : 6466
زیرخط امنیت؛ اتفاقات مهم امنیتی هفته‌ی گذشته,Security , Android , Apps , Cisco , Government , Malaysia , Microsoft , Verizon , ماکروسافت , سیسکو , اپلیکیشن , Application , اندروید , امنیت , Stuxnet , FREAK , سافاری , Safari , پروتکل TSL , پروتکل SSL , ویندوز , SChannel , استاکس نت , باگ Reconnect , Cross site request forgery , DRAM , Rowhammer , بدافزار , Malware , IBM X Force , آی بی ام , SDK , Dropbox , دراپ باکس , کسپرسکی , Kaspersky , CAPTCHA , Podec , ویکتور چبیشف , Victor Chebyshev , ادوارد اسنودن , Edward Snowden , پروژه‌ی صفر گوگل , Google's Project Zero ,
Security , Android , Apps , Cisco , Government , Malaysia , Microsoft , Verizon , ماکروسافت , سیسکو , اپلیکیشن , Application , اندروید , امنیت , Stuxnet , FREAK , سافاری , Safari , پروتکل TSL , پروتکل SSL , ویندوز , SChannel , استاکس نت , باگ Reconnect , Cross site request forgery , DRAM , Rowhammer , بدافزار , Malware , IBM X Force , آی بی ام , SDK , Dropbox , دراپ باکس , کسپرسکی , Kaspersky , CAPTCHA , Podec , ویکتور چبیشف , Victor Chebyshev , ادوارد اسنودن , Edward Snowden , پروژه‌ی صفر گوگل , Google's Project Zero ,


به زیرخط امنیت آخرین شنبه‌ی سال 93 خوش‌آمدید. این هفته نیز قصد داریم طبق روال جاری هر هفته به بررسی مهم‌ترین عنوان خبری و رویدادهای امنیتی اعم از حملات سایبری، باگ‌ها، گزارش‌ها و مناقشات بپردازیم. در هفته‌ای که گذشت شاهد ارائه‌ی اصلاحاتی جدید از سوی مایکروسافت بودیم، پروژه‌ی صفر گوگل پرده از یک مشکل امنیتی بحرانی در DRAM های مدرن برداشت  و ... .  در ادامه با ما همراه باشید تا به تفسیر اخبار این هفته بپردازیم.

مایکروسافت اصلاحات موردنیاز برای آسیب‌پذیری‌های Stuxnet و  FREAK را ارائه می‌کند!
درحالی‌که به نظر می‌رسید حفره امنیتی FREAK تنها در سافاری و مرورگر پیش‌فرض اندروید قرار دارد، اما در هفته‌ای که گذشته این آسیب‌پذیری سیستم‌عامل ویندوز را هم تحت تأثیر خود قرارداد. حال مایکروسافت به‌روزرسانی جدیدی را برای برطرف کردن این آسیب‌پذیری موجود در بخشی از پروتکل SSL/TSL ویندوز که SChannel نام دارد، ارائه کرده است.
علاوه بر رفع آسیب‌پذیری موردبحث، مایکروسافت در وصله‌ی امنیتی یادشده یک باگ قدیمی دیگر یعنی استاکس نت را هم به‌صورت کامل مرتفع کرده است. ردموندی ها در سال 2010 یک پچ جهت برطرف شدن باگ مذکور ارائه کرده بودند، اما به نظر می‌آید حتی آن پچ نیز دارای اشکالاتی بوده و وظیفه‌ی خودش را به درستی انجام نمی‌داده است. 
شایان‌ذکر تلاش‌ها برای مقابله با آسیب‌پذیری Freak ادامه دارد به نظر می‌رسد بعد از گوگل و مایکروسافت، سیسکو و اپل نیز در حال انتشار وصله‌های امنیتی مرتبط هستند.

فیس‌بوک کوتاهی خود در مقابله با حملات ناشی از استفاده از ابزار Reconnect را رد کرد!
اگر به یاد داشته باشید مدتی قبل یک محقق امنیتی ابزاری را تولید کرد که در عین سادگی می‌تواند حساب‌هایی که از فیس‌بوک برای ورود در وب‌سایت استفاده می‌کنند را هک کرده و به اطلاعات آن‌ها نفوذ کند. این ابزار که Reconnect نام دارد از سه‌نقطه ضعف در اجرای ورود از طریق فیس‌بوک بهره می‌گیرد و به یک هکر امکان می‌دهد تا اطلاعات یک کاربر را از طریق فریب او و کلیک روی لینک مخرب را سرقت کند و امکان کنترل حساب کاربری شخص در آن وب‌سایت خاص را بدهد. 
این ابزار که از طریق ایجاد درخواست‌های جعلی ( Cross site request forgery ) امکان ورود به‌حساب کاربری افراد در فیس‌بوک را فراهم می‌کند و اگرچه این آسیب‌پذیری رمز عبور شما را در اختیار هکر قرار نمی‌دهد، اما می‌تواند با استفاده از اجازه‌هایی که شما به برنامه‌های شخص ثالث مانند Bit.ly،Vimeo  و یا بازی‌های مختلف برای دسترسی به‌حساب کاربری خود داده‌اید، به‌حساب کاربری شما دسترسی پیدا کند.
نکته‌ی جالب درباره‌ی این آسیب‌پذیری آن است که بهنگام کشف این آسیب‌پذیری فیس‌بوک از اصلاح این آسیب‌پذیری سرباز زد و حالا درحالی‌که این حملات به‌شدت گسترده شده فیس‌بوک در هفته‌ای که گذشت اعلام کرده عدم ارائه‌ی اصلاحیه برای این آسیب‌پذیری را رد کرده و قصور خود را به گردن توسعه‌دهندگان انداخته است. 

پروژه‌ی صفر گوگل پرده از یک مشکل امنیتی بحرانی در DRAM های مدرن برداشت
گوگل به‌تازگی پروژه‌ی جدید خود به نام Zero را معرفی کرده است. پروژه‌ی صفر تشکیل‌شده از ماهرترین هکرهای گوگلی است؛ این کمپانی قصد دارد علاوه بر نرم‌افزارهای خود، سایر برنامه‌های موجود در سطح اینترنت را نیز جهت یافتن حفره‌های امنیتی موردبررسی قرار دهد. به گفته‌ی گوگل، این پروژه از تیمی عالی تشکیل‌شده که هدفشان کاهش قابل‌توجه تعداد افرادی است که توسط حفره‌های امنیتی موردحمله قرار می‌گیرند.
و حالا تیم کارشناسان پروژه‌ی صفر موفق به کشف یک مشکل امنیتی جدی در دستگاه‌های DRAM مدرن شده‌اند که به‌عنوان باگ سخت‌افزاری Rowhammer شناخته‌شده است. این آسیب‌پذیری محققان را به این فکر انداخته که شاید این مشکل بتواند مقدمه‌ای برای کشف آسیب‌پذیری‌های بیشتر سخت‌افزاری باشد و سیستم‌های امن امروزی چندان هم امن نیستند. 
باگ rowhammer  که تاکنون چندین لپ‌تاپ 86 بیتی را موردحمله قرار داده و از کوچک‌تر شدن ابعاد حافظه‌ها  و درنتیجه‌ی آن نزدیک‌تر شدن سلول‌های حافظه به یکدیگر نشأت می‌گیرد. درواقع این مشکل یک نقص سخت‌افزاری است که باعث اختلال در آدرس‌دهی حافظه شده و منجر به نشت احتمالی اطلاعات می‌گردد.  
گوگل از سازندگان سخت‌افزاری خواسته تا هر چه سریع‌تر این مشکل را برطرف کنند.

وجود بیش از 2000 بدافزار و اپلیکیشن ناامن بر روی گجتهای کارکنان شرکت‌های تجاری میان رده
به گزارش Veracode، آمار ارائه‌شده درنتیجه‌ی انجام تحقیقات بر روی بیش از بیش از 14000 مورد اپلیکیشن های نصب‌شده‌ی شرکت‌های تجاری میان رده نشان می‌دهد بسیاری از برنامه‌های نصب‌شده بر روی گجتهای هوشمند کارکنان این شرکت‌ها ناامن هستند. در این میان 85 درصد از این بدافزارها امکان دسترسی به اطلاعات شخصی کاربران، موقعیت آن‌ها، تاریخچه‌ی تماس‌ها، و اطلاعات سیم‌کارت را فراهم آورده درحالی‌که 37 درصد از آن‌ها مستعد انجام اعمالی مشکوک نظیر ضبط اطلاعات کاربران، اجرای برنامه‌های ناخواسته و بسیاری اعمال مخرب دیگر هستند.

تیم تحقیقاتی سامانه‌ی امنیتی IBM X-Force از وجود یک نقص امنیتی خطرناک در Dropbox SDK خبر دادند
تیم تحقیقاتی اپلیکیشن  X-Force شرکت IBM  از وجود یک نقص امنیتی خطرناک در SDK سرویس Dropbox خبر داد که به مهاجمان اجازه می‌دهد بتوانند اپلیکیشن های نصب‌شده بر روی موبایل کاربران را به ک اکانت دراپ باکسی که خود کنترل آن را بر عهده‌دارند، متصل کنند. 
Dropbox ادعا می‌کند تاکنون هیچ سوءاستفاده‌ای از این نقص امنیتی صورت نگرفته، این در حالی است که IBM می‌گوید نخستین بار این مشکل امنیتی را در ماه دسامبر به دراپ باکس اطلاع داده و این شرکت موفق شده اصلاحیه‌ی امنیتی مرتبط را ظرف مدت‌زمان چهار روز ارائه کند.

آزمایشگاه کسپرسکی نخستین بدافزاری که می‌تواند تصاویر امنیتی CAPTCHA را دور بزند،  را فاش کرد!
در هفته‌ای که گذشت آزمایشگاه کسپرسکی جزئیاتی ازآنچه به گفته‌ی این شرکت نخستین بدافزاری است که می‌تواند تصویر امنیتی (CAPTCHA) را دور بزند، را فاش کرد. 
این بدافزار امنیتی که Podec  نام دارد می‌تواند سیستم تائید هویت تصاویر را از تصویر به متن تبدیل کند و بابت اصلاح آن اقدام به باج‌گیری از کاربران اندروید کند. به گفته دانشمندان کسپرسکی این تروجان در درجه اول در شبکه اجتماعی روسی VKontakte و سپس در Apk-downlad3.ru و minergamevip.com مشاهده‌شده است. 
ویکتور چبیشف (سرگروه پژوهشی لابراتوار کسپرسکی) معتقد است که Podec نشانه مرحله جدید، پیچیده  و خطرناکی در تکامل نرم‌افزارهای مخرب تلفن همراه است.

سازمان سیا به دنبال هک کردن آیفون و آیپد
وب‌سایت اینترسپت به نقل از اسناد فاش شده از سوی ادوارد اسنودن اعلام کرد که محققان سازمان سیا حدود 10 سال است که برای هک کردن سیستم امنیتی گوشی و تبلت‌های شرکت اپل تلاش می‌کنند. این وب‌سایت در گزارشی با استناد به مدارک فوق محرمانه‌ای که توسط ادوارد اسنودن فاش شده، اعلام کرده است که محققان دولت آمریکا نسخه‌ای از ایکس کد، ابزار اجرایی نرم‌افزار اپل، ایجاد کرده‌اند تا بتوانند به سیستم‌های امنیتی گوشی و تبلت‌های شرکت اپل، نفوذ کرده و تولیدات این شرکت را هک کنند.
این در حالی است که پیش‌ازاین نیز گزارش‌هایی را با استناد به مدارک و اطلاعات فاش شده از سوی اسنودن منتشر کرده است. تلاش محققان سیا برای نفوذ به سیستم امنیتی تولیدات اپل ظاهراً از اوایل سال 2006 میلادی آغازشده است یعنی یک سال پیش از آنکه شرکت اپل نخستین آیفون خود را تولید کند.
نفوذ به سیستم امنیتی اپل بخشی از یک برنامه فوق امنیتی از سوی دولت آمریکا و با همکاری محققان سازمان جاسوسی انگلیس است تا تولیدات مخابراتی ایمن را هک کنند. البته هنوز هک شدن گوشی‌های شرکت اپل اثبات نشده و فقط جدال بین سازمان امنیت ملی ایالات‌متحده و کمپانی‌های فعال در حوزه‌ی تکنولوژی این کشور مطرح است.



:: تبلیغات

Driver Pack Solution New Version - 17.6.13

سایر خبرهای این گروه ...
 
بحث ها و نظرها
0
نظر
برای شرکت در بحث و تبادل نظر در سایت Login نموده، یا ثبت نام کنید.


:: تبلیغات
Photoshop CC Collection 2016
آموزش جامع 2016 Microsoft Project



 
 
تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.
Copyright © 1998 - 2016 NovinPendar Co. Ltd. All rights reserved.