X
دعوت به همکاری - گوینده
انتشارات و موسسه فرهنگی نوین پندار از علاقه مندان به گویندگی دعوت به همکاری مینماید. جهت کسب اطلاعات بیشتر به صفحه همکاری با ما مراجعه نمایید.
:: :: :: :: :: اطلاعیه :: :: :: :: ::
 
 
 
width: px
height: px

زیرخط امنیت؛ اتفاقات مهم امنیتی هفته‌ی گذشته

12:00   |   شنبه 2 خرداد ماه 94   |   تعداد بازدید : 3310
زیرخط امنیت؛ اتفاقات مهم امنیتی هفته‌ی گذشته,Security , Cloud Priorities , Google , IT Priorities , Innovation , ابداع , اولویت های IT , گوگل , ابر اولویت , امنیت , اتفاقات امنیتی , توافقنامه‌ واسنار , امنیت سایبری , اداره‌ صنعت و امنیت , Bureau of Industry and Security , Wassenaar , نرم‌افزارهای جاسوسی , mSpy , هک پایگاه داده‌ , Apple ID , آژانس امنیت , سامسونگ , اینترسپت , ادوارد اسنودن , بوق عصبی کنند , فضای ابری , Logjam , حمله‌ FREAK , روتکل‌های اینترنت , SMTPS , Ipse , SSH , HTTPS , ارتباطات TLS , کریس رابرتز , Chris Roberts , کابل Ethernet ,
Security , Cloud Priorities , Google , IT Priorities , Innovation , ابداع , اولویت های IT , گوگل , ابر اولویت , امنیت , اتفاقات امنیتی , توافقنامه‌ واسنار , امنیت سایبری , اداره‌ صنعت و امنیت , Bureau of Industry and Security , Wassenaar , نرم‌افزارهای جاسوسی , mSpy , هک پایگاه داده‌ , Apple ID , آژانس امنیت , سامسونگ , اینترسپت , ادوارد اسنودن , بوق عصبی کنند , فضای ابری , Logjam , حمله‌ FREAK , روتکل‌های اینترنت , SMTPS , Ipse , SSH , HTTPS , ارتباطات TLS , کریس رابرتز , Chris Roberts , کابل Ethernet ,


به زیرخط امنیت این هفته خوش‌آمدید. در این مقاله قصد داریم تمامی اتفاقات و رویدادهای مهم امنیتی اعم از گزارش‌ها، قصورها و مشکلات امنیتی هفته‌ی گذشته را موردبررسی قرار دهیم. با ما همراه باشید.

تغییرات توافقنامه‌ی واسنار می‌تواند امنیت سایبری را به خطر بیندازد!
بی‌شک یکی از مهم‌ترین اخبار امنیتی در هفته‌ای که گذشت تصمیمات جدید اداره‌ی صنعت و امنیت (Bureau of Industry and Security) برای اعمال تغییرات جدید بر روی توافقنامه‌ی واسنار (Wassenaar) است، بطوریکه طبق اصلاحات جدید از این بر پس توسعه، تست، ارزیابی و تولید نرم‌افزارهای جاسوسی، روز صفر و آسیب‌پذیری‌ها مستقیماً نظارت خواهد شد. 
به این معنا که از این پس کسانیکه آسیب‌پذیری‌های روز صفر را بفروش می‌رساندند ملزم به داشتن یک مجوز قانونی خواهند بود. که البته این امر چندان به مذاق محققان امنیتی خوش نیامده است.

mSpy هک شدن پایگاه داده‌ی خود را نمی‌پذیرد!
در ابتدای هفته اخباری مبنی بر  نفوذ غیرقانونی که توسط یک هکر ناشناس به پایگاه داده‌ای mSpy و افشای اطلاعات حیاتی کاربران اعم از آدرس‌های ایمیل، پیام‌های متنی، جزئیات پرداخت، Apple ID ها، رمزهای عبور، عکس‌ها و موقعیت مکانی در فضای مجازی منتشر شد.
و حالا شرکت هک شدن پایگاه داده‌ی خود را شایعه دانسته و ادعا می‌کند که تمامی اخبار فاش شده شایعاتی بی‌اساس است.
mSpy در واقع سرویسی برای رهگیری نرم‌افزاری بر روی دستگاه‌های تلفن همراه است. این سرویس همواره به بدافزارها و جاسوس افزارهایی به‌منظور قانونی جلوه دادن اخذ اطلاعات مورد نیاز تجهیز شده است. این برنامه می‌تواند تاریخچه مخاطبین را در اختیار گیرد، محدودیت‌هایی بر روی برخی شماره تماس‌ها اعمال کند، پیامک‌ها را کنترل کند، به ایمیل‌ها دسترسی داشته باشد، تاریخچه مرورگر را مشاهده کند و برنامه‌های پیام‌رسان را در اختیار گیرد. حدود 40% از کاربران این نرم‌افزار والدینی هستند که تمایل دارند روی عملکرد فرزندان خود نظارت داشته باشند.

گجتی ارزان قیمت که به هکرها کمک می‌کند خودروی مدرن و گران‌قیمت شما را ظرف چند ثانیه سرقت کنند
هکرهای انگلستانی موفق به کشف روشی جدید شده‌اند که به آن اجازه می‌دهد خودروهای مدرن را در مدت زمانی کوتاه  سرقت کنند. در حقیقت حالا هکرها می‌توانند تنها با استفاده از گجت های مسدود کننده‌ی سیگنال که قیمتی در حدود 30 تا 40 پوند دارند به درون خودروی شما وارد شوند.

آژانس امنیت ملی از گوگل و سامسونگ خواست بر روی دستگاه‌های اندرویدی کاربران نرم‌افزار جاسوسی نصب کنند!
پایگاه خبررسانی اینترسپت آمریکا و شبکه رادیویی دولتی کانادایی سی بی اس با اشاره به سندی که ادوارد اسنودن مشاور سابق آژانس امنیت ملی آمریکا در ژوئن دو هزار و سیزده فاش کرد نوشتند: پنج کشور موسوم به ائتلاف پنج چشم( Five eyes)  یعنی کشورهای آمریکا، کانادا، انگلیس، نیوزیلند و استرالیا، در نظر دارند با استفاده از نرم‌افزارهای جاسوسی که در سیستم‌عامل اندروید موجود در تلفن‌های همراه هوشمند تعبیه می‌شوند، طرحی را برای افزایش نظارت و در واقع جاسوسی از تلفن‌های همراه و نیز برنامه‌های تحت مدیریت گوگل که به‌ویژه در تلفن‌های سامسونگ کاربرد دارند، به اجرا بگذارند.
این در حالی است که شرکت گوگل و آژانس امنیت ملی آمریکا درباره این خبر هنوز واکنشی نشان نداده‌اند. به گزارش خبرگزاری فرانسه از واشنگتن؛ بر اساس اسناد فاش شده توسط اسنودن، در این طرح سری که "بوق عصبی کننده " نام‌گذاری شده ، نصب بدافزارهای جاسوسی در تلفن‌های هوشمند مردم برای جمع‌آوری اطلاعات از طریق سایت‌های فروش برنامه‌های اندروید پیش‌بینی شده است. حتی برخی از دستگاه‌های اطلاعاتی پنج کشور نامبرده در نظر دارند از طریق همین نرم‌افزارهای جاسوسی، برای اشخاصی که می‌خواهند آن‌ها را رهگیری کنند پیام‌های تقلبی ارسال کنند. 

فضای ابری در خطر تهدید آسیب‌پذیری امنیتی Logjam 
محققان اقدام به معرفی یک شکاف موجود در روشی کرده‌اند که برخی‌ از کارگزارها از طریق آن پروتکل تبادل کلید  دیفی-هلمن  را مدیریت می‌کنند؛ این شکاف تقریباً شبیه به حمله‌ی FREAK بوده و امنیت بسیاری از کارگزارهای وب و رایانامه را تهدید می‌نماید. آسیب‌پذیری مورد بحث تمامی مرورگرهای محبوب و هر کارگزاری را که از رمزنگاری 512 بیتی دیفی-هلمن پشتیبانی می‌کند، تحت تأثیر قرار داده و در نتیجه‌ی چندین ضعف در تبادل کلید دیفی-‌هلمن به وجود آمده است. این الگوریتم به دو طرف که هیچ دانش قبلی نسبت به یکدیگر ندارند اجازه می‌دهد یک کلید مشترک مخفی را از طریق یک کانال ناامن ایجاد کنند، و به این ترتیب یک ارتباط امن را به وجود بیاورند.   تبادل کلید دیفی-هلمن در بسیاری از پروتکل‌های اینترنتی اعم از HTTPS، SSH، Ipse، SMTPS و پروتکل‌های وابسته به TLS استفاده می‌شود. 
گروهی از محققان دانشگاه‌های فرانسه و آمریکا و کارشناسان مایکروسافت امنیت این الگوریتم را سنجیده و دریافته‌اند که یک نفوذگر میانی می‌تواند ارتباطات TLS را به رمزنگاری 512 بیتی تنزیل رتبه دهد، و به این ترتیب بتواند هرگونه داده‌ای را که از طریق این ارتباط جابه‌جا می‌شود خوانده یا دست‌کاری کند. آن‌ها نام " Logjam" را برای این حمله انتخاب کرده و می‌گویند که این آسیب‌پذیری تمامی مرورگرهای محبوب و بسیاری از وب‌گاه‌های HTTPS و کارگزارهای رایانامه را تحت شعاع قرار داده است. 
نفوذگران تحت حمایت دولت که به منابع کافی دسترسی دارند می‌توانند عملیات پیش رایانش  را برای گروه‌های دیفی-هلمن 768 و 1024 بیتی متعددی که برای TLS استفاده می‌شود اجرا کنند، و به این ترتیب بیشتر ارتباطات اینترنتی را مورد شنود قرار دهند. 
برای جلوگیری از نفوذ و تهدید این آسیب‌پذیری، توصیه‌ی محققان به مدیران کارگزارها این است که پشتیبانی از صدور بسته‌ی رمز را غیرفعال کرده و یک گروه منحصربه‌فرد 1024 بیتی دیفی-هلمن تولید کنند، توسعه‌دهندگان نیز می‌بایست از گروه‌های دیفی-هلمن کوچک‌تر از 1024 بیت استفاده کنند و کتابخانه‌های TLS به‌روز را به کار بگیرند. کاربران نیز باید مرورگرهای خود اعم از کروم، فایرفاکس، سافاری، اینترنت اکسپلورر و مرورگرهای اندرویدی را به‌روز نگه دارند و طی روزهای آتی این رویه را به‌طور منظم ادامه دهند، زیرا شرکت‌های مربوطه همگی در حال اصلاح آسیب‌پذیری‌هایی هستند که امکان حمله‌ی LogJam را فراهم می‌کنند. 

خشم فراگیر از محقق امنیتی که موفق به هک کردن یک هواپیمای مسافربری شده، ادامه دارد!
کریس رابرتز (Chris Roberts) یک محقق در زمینه امنیت است که در اقدام عجیبی، در یک سفر هوایی دست به هک کردن هواپیمایی که خود نیز سرنشینش بوده، زده است.
طبق گزارش‌ها، کریس رابرتز مدعی شده که توانسته توسط اتصال یک کابل Ethernet به لپ‌تاپ خود، به سیستم پرواز وارد شده و کنترل یکی از موتورهای هواپیما را نیز در دست بگیرد و باعث تغییر جهت اندک هواپیما گردد.  وب‌سایت Wired در این خصوص گزارشی کامل منتشر نموده و با آقای رابرتز به گفتگو نشسته است. آن‌گونه که در این مصاحبه مشخص شده، وی می‌گوید که سال‌هاست در خصوص آسیب‌پذیر بودن سیستم پرواز هواپیماها هشدار داده و صرفاً این اقدام را به انجام رسانده تا ثابت کند چنین مشکلاتی به شکل گسترده وجود دارند؛ کمپانی‌های سازنده پیش‌تر به شکل کامل وجود باگ‌های امنیتی را رد کرده بودند.
بر اساس گزارش FBI، رابرتز از دنور با پرواز شماره 1474 به سوی شیکاگو مسافرت نموده و پس از اینکه بازرسین FBI صندلی وی را مورد بررسی قرار داده‌اند، متوجه این موضوع گشته‌اند که وی به سیستم الکتریکی موجود بر زیر صندلی خود آسیب وارد نموده و آن را دست‌کاری کرده است. در توییتر البته رابرتز مدعی است که در هنگام پرواز، به هیچ سیستمی آسیب وارد ننموده و این ادعای FBI ساختگی است. وی در مصاحبه‌اش با Wired گفته که به سیستم هواپیما متصل گشته تا بتواند داده‌های ترافیکی از سوی سایر هواپیماها را نیز مشاهده کند و همچنین به اثبات برساند که هک‌های این‌چنینی، تا چه حد ممکن و همچنین خطرناک هستند.
حالا به نظر می‌رسد خشم مردم و محققین از این هکر پایانی ندارد این در حالی است که سؤالی ممکن است در این بین مطرح شود این است که آیا واقعاً باید عمل این فرد را تقبیح کرد یا اینکه باید حق را به این متخصصان امنیت داد و از امنیت پایین صنعت هوانوردی و قصور و عدم توجه به هشدارهای امنیتی محققان گله کرد؟!



:: تبلیغات

آموزش جامع کسب مهارتهای هفتگانه ICDL 2016

سایر خبرهای این گروه ...
 
بحث ها و نظرها
0
نظر
برای شرکت در بحث و تبادل نظر در سایت Login نموده، یا ثبت نام کنید.


:: تبلیغات
آموزش جامع کسب مهارتهای هفتگانه ICDL 2016
آموزش جامع 2016 Microsoft Project



 
 
تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.
Copyright © 1998 - 2016 NovinPendar Co. Ltd. All rights reserved.