فهرست بستن

امنیت سایبری امروز، هفته مروری برای جمعه، 26 نوامبر 2021

vpn
امنیت سایبری امروز، هفته مروری برای جمعه، 26 نوامبر 2021

به امنیت سایبری امروز خوش آمدید. این نسخه Week in Review برای هفته منتهی به جمعه 26 نوامبر است. من هاوارد سولومون هستم که در زمینه امنیت سایبری برای ITWorldCanada.com همکاری می کنم.

تا چند دقیقه دیگر، دینا دیویس، معاون تحقیق و توسعه مستقر در کانادا در ارائه‌دهنده خدمات مدیریت شده Arctic Wolf برای گفتگو با من خواهد بود. اما ابتدا نگاهی به برخی از اخبار هفت روز گذشته داشته باشید:
GoDaddy، یکی از بزرگترین ارائه دهندگان میزبانی اینترنت، اعتراف کرده است که یک رمز عبور به خطر افتاده منجر به هک شدن سرویس مدیریت وردپرس آن شده است. آدرس ایمیل حداکثر 1.2 میلیون مشتری فعال و غیرفعال وردپرس کپی شد. بدتر از آن این است که نام های کاربری و رمز عبور تعدادی از مشترکین سرویس میزبانی شده فاش شد و GoDaddy را مجبور کرد که آن کاربران را وادار به بازنشانی رمز عبور خود کند. من و دینا در این مورد بحث خواهیم کرد.
به مدیران ویندوز هشدار داده شد که مراقب تغییرات مشکوک در امتیازات دسترسی کاربران باشند. این پس از آن صورت می گیرد که یک محقق اثبات کد مفهومی برای آسیب پذیری روز صفر جدید ویندوز را منتشر کرد. اگر شخصی به رایانه دسترسی داشته باشد، ممکن است بتواند به راحتی امتیازات خود را با استفاده از اکسپلویت به سرپرست ارتقا دهد. سیسکو سیستمز می گوید هکرها در حال حاضر در تلاش هستند تا از این آسیب پذیری استفاده کنند.
یک هکر با چه سرعتی می تواند سرور یا پایگاه داده ای که به طور نامناسب محافظت شده در اینترنت باز است را پیدا کند؟ گاهی در عرض چند ساعت این بر اساس گزارشی است که این هفته در آزمایشی توسط Palo Alto Networks منتشر شد. تعدادی هانی پات در اینترنت راه اندازی کرد تا بفهمد چه اتفاقی می افتد. من و دینا در مورد آنچه شرکت نتایج تکان دهنده می نامد صحبت خواهیم کرد که درسی برای مدیران فناوری اطلاعات است.
باند باج افزار Conti ضربه موقتی خورده است. محققان شرکت امنیت سایبری سوئیسی به نام Prodaft این هفته گزارشی را منتشر کردند که می‌گویند موفق شده‌اند وارد پورتال پرداخت این گروه شوند. آنها اطلاعات ارزشمندی را در اختیار سازمان های مجری قانون و تیم های امنیتی فناوری اطلاعات قرار دادند. به گفته یکی از سرویس‌های خبری، Conti برای مدت کوتاهی مجبور شد پورتال را حذف کند، جایی که قربانیان باج‌افزار پرداخت‌ها را انجام می‌دهند. دوباره آنلاین شده است.
به سازمان هایی که از دستگاه های حفاظت شبکه FatPipe استفاده می کنند هشدار داده شده است که آخرین به روز رسانی های نرم افزار را نصب کنند. آنها یک آسیب پذیری جدی روز صفر را اصلاح می کنند.
برخی از فارسی زبانان ساکن در ایالات متحده، کانادا، هلند، آلمان و سایر کشورها در پاییز امسال توسط یک بازیگر تهدید کننده مستقر در ایران هک شدند. به گفته محققان SafeBreach، ابتدا یک نسخه جعلی از یک وب‌سایت مسافرتی واقعی که آنها را مجبور می‌کرد با گذرواژه‌های جی‌میل یا اینستاگرام خود وارد شوند، جذب کردند. در نتیجه آنها اعتبار خود را واگذار کردند. سپس آنها با کلیک بر روی پیوستی که ظاهراً مقاله ای بود که رهبر ایران را به دلیل ابتلا به ویروس کرونا مقصر دانسته بود، گرفتار یک کلاهبرداری فیشینگ شدند. در عوض، رایانه‌های آن‌ها به بدافزارهایی آلوده شدند که از آسیب‌پذیری ویندوز استفاده می‌کردند. مسئله این است که اگر ویندوز را وصله نگه می داشتند، هک نمی شدند.
یک گروه تهدید که در سرقت اطلاعات تجاری تخصص دارد، بازگشته است. این مهاجمان که توسط محققان Group-IB به RedCurl لقب گرفته بودند، هفت ماه ساکت بودند. با این حال، اخیراً شواهدی از حملات آنها کشف شده است. این باند صبور است و با سلاح های پیشرفته به دنبال قربانیان منتخب می رود. اما ابتدا باید وارد شوند. آنها اغلب این کار را با ترغیب کارمندان به ایمیل‌هایی انجام می‌دهند که ظاهراً در مورد اخبار داخلی شرکت، مانند پاداش‌ها، پیوست‌هایی دارند.
اگر از برنامه مدیریت رمز عبور Firefox Lockwise در دستگاه تلفن همراه خود استفاده می کنید، برای تغییر آماده شوید. این برنامه از 13 دسامبر متوقف خواهد شد. کاربران اندروید می توانند از مدیریت رمز عبور در مرورگر فایرفاکس استفاده کنند. کاربران اپل باید به اطلاعیه‌ای در آینده توجه کنند.
در نهایت، به دلیل اینکه امروز به طور رسمی فصل تعطیلات خرید آنلاین آغاز می‌شود، دینا در مورد امن‌ترین روشی که می‌توانید در اینترنت خریدهای ارزان پیدا کنید، صحبت خواهد کرد.
(در زیر متن ویرایش شده است. برای شنیدن بحث کامل پادکست را پخش کنید)
هوارد: بیایید با هک GoDaddy شروع کنیم. GoDaddy یک ثبت کننده دامنه معروف است و وب سایت های شرکت زیادی را میزبانی می کند. همچنین میزبان مجموعه‌های مدیریت محتوای وردپرس برای شرکت‌ها و وبلاگ‌نویسانی است که نمی‌خواهند نصب‌های مطبوعاتی word خود را مدیریت کنند. اما هفته گذشته اعتراف شرم آور داشت. در مورد آن به ما بگویید.
دینا: یک هکر توانست به نوعی با یک گذرواژه به خطر افتاده وارد حساب کارمند GoDaddy شود. هکر توانست یک فروشگاه یا مجموعه‌ای از نام‌های کاربری و رمز عبور sFTP را پیدا کند که به‌طور امن ذخیره نشده بودند. sFTP پروتکلی است که برای آپلود و انتقال فایل ها به وب سایت ها استفاده می شود. شما واقعاً حتی نیازی به ورود به مسیر خود وب سایت ندارید. شما فقط می توانید موارد FTP را در آنجا وارد کنید.
T او تشبیه بدی بودن این هک است: فرض کنید باید یک آپارتمان اجاره کنم. T شخصی که آپارتمان را به من نشان می دهد مالک آن نیست اما آنها امکان اجاره فضای ساختمان را خریداری کرده اند و من قراردادی را امضا می کنم. من ماهیانه به آنها پرداخت می کنم. اما من نمی دانم که آنها در واقع مالک نیستند. آنها همچنین برای اجاره این فضا ماهانه به مالکان می پردازند تا آنها کاهش پیدا کنند. آپارتمان مانند یک وب سایت است که میزبانی می شود. شخصی که نشان می دهد نیز Airbnb آن آپارتمان را برای یک دسته دیگر از افراد دیگر ارسال می کند. من که مستاجر هستم، آیا شما نمی دانید که اجاره نامه مالک ساختمان را دارید. مالک برای هر اتاق یک کلید دارد. شما فکر می کنید که آنها باید آن را در یک مکان امن قرار دهند. اما تشبیه در اینجا این است که آنها کلیدها را در یک جعبه قرار می دهند و جعبه را در یک انباری قرار می دهند – اما درب انبار قفل نیست و درب ساختمان نیز قفل نیست. اما زمانی که وارد شوید، به راحتی می توانید آنها را پیدا کنید. بنابراین اگر کسی آن جعبه را پیدا کرد، به آپارتمان شما دسترسی دارد. T اتفاقی افتاد: هکرها جعبه پر از رمزهای عبور و نام کاربری sFTP را پیدا کردند. این به آنها اجازه داد هر چیزی را در آپارتمان ما قرار دهند – یا هر چیزی را در وب سایتی که می خواهند. و آنها به مدت دو ماه این دسترسی را داشتند. دو ماه کار خیلی بزرگی است. اکنون، GoDaddy همه قفل‌ها [passwords] را تغییر داده است، اما چه کسی می‌داند هنوز چه چیزی در آن وب‌سایت وجود دارد؟ این یک نقض بد است. این فقط یک حمله منظم زنجیره تامین نیست. این مانند یک حمله زنجیره تامین آبشاری است.
هاوارد: یک شرکت به نام Wordfence که خدمات محافظتی برای وردپرس می فروشد، می گوید که GoDaddy آن رمزهای عبور sFTP را به گونه ای ذخیره کرده است که نسخه های متنی ساده گذرواژه ها را به جای ذخیره هش های نمکی گذرواژه ها بازیابی کند. یا ارائه احراز هویت کلید عمومی، که می گوید هر دو روش صنعتی هستند. این یک شکست واقعا بزرگ به نظر می رسد.
دینا: بله. Tهی اساساً یک جعبه کلید در اتاق ذخیره‌سازی جا گذاشت و هیچ یک از درها قفل نشد… و یکی از بزرگترین کارهایی که هکرها می‌توانستند انجام دهند این است که یک دسته کامل از پیوندهای فیشینگ را در یک دسته از وب‌سایت‌های میزبانی شده قرار دهند. GoDaddy که قربانیان می توانند روی آن کلیک کرده و به طور بالقوه باج افزار را دانلود کنند.
هوارد: و همه اینها دوباره به استفاده از رمزهای عبور ایمن و محافظت از رمزهای عبور بازمی گردد. GoDaddy نگفته است که آیا رمز عبور به خطر افتاده با احراز هویت چند عاملی محافظت شده است، که خوب است اما کامل نیست. در واقع، یک کنفرانس آنلاین بود که ماه گذشته آن را پوشش دادم که در آن یک شرکت امنیتی یک تست نفوذ برای یک مشتری انجام داد و گفت که می‌تواند مدیر عامل را فریب دهد تا با فریب دادن او برای ورود به سیستم ah a، کد احراز هویت دو مرحله‌ای خود را رها کند. سرور احراز هویت جعلی اما احراز هویت چندعاملی خوب مطمئناً بهتر از هیچ است، و اگر شما یک مدیر ارشد هستید که به موارد زیادی دسترسی دارید، باید از یک تأیید هویت چند عاملی مبتنی بر کلید استفاده کنید که در آن کلیدی دارید که باید به لپ‌تاپ خود وصل شود. برای دسترسی سیستم در هر کلید فقط یک نفر را می شناسد و فرقی نمی کند که هکر رمز عبور را داشته باشد. اگر لپ‌تاپ آنها لپ‌تاپ کاربر نباشد و کلید آن را نداشته باشد، سیستم احراز هویت را نمی‌پذیرد.
بنابراین اگر از یک سرویس میزبان برای یک برنامه استفاده می کنید، چگونه از خود در برابر حملات شخص ثالث محافظت می کنید.
دینا: دشوار است، زیرا در برخی از سطوح باید به سرویسی که استفاده می کنید اعتماد کنید. بهترین کاری که می توانید انجام دهید این است که تا آنجا که می توانید خدمات را بررسی کنید. مطمئن شوید که از رمزهای عبور قوی استفاده می کنید و اگر سایت آن را ارائه می دهد، احراز هویت دو مرحله ای را فعال کنید. من اگر آنها آن را ارائه ندهند، این نشانه این است که شاید شما نباید از آن سایت استفاده کنید.
هوارد: اکنون می‌خواهم به تست Honeypot Network Palo Alto بپردازم. برای کسانی که نمی‌دانند هانی‌پات دستگاه یا سرویسی است که برای فریب دادن مهاجم به یک هدف جعلی راه‌اندازی شده است. هانی پات ها توسط شرکت ها برای منحرف کردن مهاجمان از دارایی های دیجیتال واقعی شرکت ها استفاده می شود. آنها همچنین می توانند توسط محققان امنیتی برای کشف نحوه عملکرد مهاجمان استفاده شوند. در این مورد، Palo Alto Networks می‌خواست بفهمد مهاجم با چه سرعتی می‌تواند سرورها و پایگاه‌های اطلاعاتی باز شده در اینترنت را بیابد. بنابراین 320 گره را طوری راه اندازی کرد که گویی به اشتباه پیکربندی شده اند یا بدون فکر محافظت نشده اند. اینها شامل سرورهایی با پروتکل میز راه دور – که اغلب توسط شرکت ها استفاده می شود تا کارمندان بتوانند از خارج از دفتر ارتباط برقرار کنند – پروتکل پوسته ایمن، بلوک پیام سرور و پایگاه داده است. برخی از هانی پات ها نیز رمزهای عبور ضعیفی داشتند. W طبق این مطالعه، 80 درصد از honeypot ها در عرض 24 ساعت پس از کاشت در اینترنت در معرض خطر قرار گرفتند و بقیه ظرف یک هفته در معرض خطر قرار گرفتند. یک عامل تهدید در عرض 30 ثانیه 96 درصد از پایگاه های داده را در معرض خطر قرار داد. W درباره این تست چه فکری کردید؟
دینا: این دیوانه است. من برای یک ثانیه تعجب نکردم زیرا مهاجمان دارای ربات هایی هستند که در وب می خزند و سعی می کنند پورت های باز را پیدا کنند، سعی می کنند چیزهایی را پیدا کنند که باز هستند، زیرا وقتی درب ورودی کاملا باز است، بسیار آسان است. و داشتن یک ربات یا اسکریپت دائماً در حال اجرا که دائماً به دنبال پورت های باز است برای آنها بسیار آسان است. یا هکرها از قبل فهرستی از حملات دیکشنری [password] را در زرادخانه خود داشته باشند. من دوست دارم که آنها این آزمایش را انجام دهند زیرا مردم فکر می کنند، "هیچ کس قرار نیست پورت باز من را ببیند." خب، این ها فقط موارد تصادفی هستند که در آنجا قرار می گیرند و سریع ترین زمان برای سازش در یک سایت 184 دقیقه بود. من خیلی مهم نیست که دسترسی به هر چیزی را از خارج از شبکه خود قفل کنید.
هوارد: به من یادآوری شد که بسیاری از کارمندان به طور تصادفی فایل های دیجیتال و پایگاه های داده را در معرض اینترنت قرار می دهند. آنها ممکن است از بخش فناوری اطلاعات خواسته باشند که یک پایگاه داده ویژه از اطلاعات مشتریان برای تجزیه و تحلیل آنها ایجاد کند. و کسی فراموش می کند که یا رمز عبور از پایگاه داده محافظت کند یا مطمئن شود که پایگاه داده به روی اینترنت باز نیست، همانطور که در این مورد در این آزمایش انجام داد. . من اگر یک محقق امنیتی می توانست پایگاه داده را پیدا کند، همینطور یک کلاهبردار یا یک دولت-ملت. S محققین امنیت و کلاهبرداران این کار را با موتورهای جستجوی آزاد در دسترس مانند Shodan، Census، Nexpose، Vega و دیگران انجام می دهند. بنابراین آیا می‌توانید به ما بگویید که چگونه یک بخش فناوری اطلاعات می‌تواند از Shodan یا ابزارهای دیگر برای اسکن پورت‌ها و محیط‌های اینترنتی شرکت‌های خود استفاده کند تا ببیند چه چیزی در معرض قرار می‌گیرد؟
دینا: خیلی رایج است. می توانید ابزار بخرید، می توانید از یک ارائه دهنده خدمات مدیریت شده بخواهید این کار را برای شما انجام دهد. ما این کار را همیشه برای مشتریان خود انجام می دهیم. شما اساساً می خواهید یک ارزیابی آسیب پذیری خارجی انجام دهید. قرار است ببیند چه پورت هایی باز هستند. قرار است ببیند آیا نرم‌افزاری در حال اجراست که حفره‌هایی داشته باشد که از بیرون قابل دسترسی باشد. هنگامی که آنها این کار را انجام دادند، به شما توصیه می کنند این نرم افزار را ببندید یا این نرم افزار را ارتقا دهید. شما قطعاً می خواهید به طور منظم نوعی اسکن آسیب پذیری خارجی را در شبکه خود انجام دهید. شما همچنین می خواهید قوانین [security] خود را اغلب ممیزی کنید. برخی از پایگاه های داده هرگز نباید ایجاد شوند. نباید در سیستم شما امکان ایجاد چنین چیزهایی وجود داشته باشد و از آنها محافظت نشود. اگر از یک برنامه ورود به سیستم استفاده می‌کنید که کمک می‌کند، زیرا به محض اینکه چیزی باز می‌شود یا می‌دانید یک مصالحه وجود دارد، می‌توانید حساب آن شخص را ببندید و سپس مهاجمان نمی‌توانند وارد چیزی شوند. شما می خواهید مطمئن شوید که فایروال های خوبی دارید. سعی کنید تا جایی که می توانید از سیستم خود در برابر محتوای مخرب و ترافیک محافظت کنید.
هوارد: دو چیز وجود دارد که من فکر می‌کردم [the honeypot test] نیز به آن اشاره می‌کند: یکی آموزش آگاهی از امنیت است، به طوری که کارمندان باید بدانند که وقتی پایگاه‌های اطلاعاتی ایجاد می‌کنند، کنترل‌های امنیتی وجود دارد بنابراین در معرض اینترنت نیست. . نکته دیگری که فکر می‌کردم این آزمایش نیز درسی برای نیاز به وصله سریع برنامه‌ها است، زیرا مهاجمان از این طریق از آسیب‌پذیری‌ها برای ورود به شبکه‌ها سوء استفاده می‌کنند.
آخرین موردی که در این قسمت خواهیم دید، خرید آنلاین است. S از آنجایی که این آخر هفته، جمعه سیاه/ دوشنبه سایبری و فصل فروش کریسمس آغاز می‌شود، باید به شنوندگان یادآوری کنیم که چگونه با خیال راحت خرید کنند. مردم باید چه کار کنند و چه کاری انجام ندهند؟
دینا: قانون شماره یک این است که اگر معامله بیش از حد خوب باشد که درست باشد، احتمالاً همینطور است. اگر واقعاً پیدا کردن چیزی شبیه به امسال سخت است – یک کالای واقعاً داغ هنوز هم پلی استیشن 5 است – و ناگهان یک فروشگاه ظاهر می شود و آنها عرضه زیادی از آنها دارند و می توانید آنها را با قیمت بسیار ارزان خریداری کنید، این کار درست نیست. واقعی بودن اگر تبلیغات خرده‌فروشی‌های بزرگی را می‌بینید که به آنها اعتماد دارید، به طور جداگانه به وب‌سایت آن‌ها بروید و هرگز روی پیوندی در متن یا ایمیل کلیک نکنید. به نام دامنه فروشگاه‌ها در آگهی‌ها و ایمیل‌ها نگاه کنید: آیا اشتباهی در نام دامنه‌ای که استفاده می‌کنند وجود دارد – یک «1» (یک) به جای «l» (el).
اگر سایت جدیدی پیدا کرده اید و در مورد آن مطمئن نیستید از وب سایتی به نام "islegitsite.com" استفاده کنید. وقتی bestbuy.ca را در آن قرار دادم، سایت آن را "به طور بالقوه قانونی" می نامد – آنها هرگز نمی گویند 100 درصد مشروع است، اما به طور بالقوه مشروع خوب است. امتیاز وب اعتماد 93 از 100 صد را داشت که واقعاً وب اعتماد خوبی است. شاخص خوبی است یکی دیگر از موارد عالی که باید بررسی کنید، ایجاد تاریخ دامنه یک سایت است. BestBuy's 21 سال پیش ایجاد شد، بنابراین احتمالاً نشانه خوبی است که یک سایت قانونی است. اگر سایتی در دو یا سه ماه اخیر ایجاد شده است از آن خرید نکنید.
یک ریسک جدید این است که بعد از خرید آنلاین محصول و تحویل محصول چه اتفاقی می افتد. T دیروز او در محله من اتفاق افتاد: برخی از دزدها در حال دزدیدن جعبه هایی از ایوان جلو دستگیر شدند. بنابراین مطمئن شوید که بسته ها را به مکانی امن می فرستید. اگر خانه شماست، آیا قرار است خانه باشید؟ چند بار در روز پله جلویی خود را بررسی کنید. S پیام‌های SMS یا تأییدیه‌های تحویل ایمیل را تنظیم کنید.
هاوارد: در ارتباط با آن، می‌خواهم اضافه کنم که در این زمان از سال مردم منتظر پیام‌های متنی و ایمیلی در مورد تحویل بسته هستند. اما اگر چیزی آنلاین سفارش نداده اید به این پیام ها پاسخ ندهید. ممکن است نگران باشید که شخصی بسته ای را برای شما ارسال می کند و ممکن است بخواهید به پیامی پاسخ دهید. اما اگر از شما خواسته شد هیچ اطلاعات شخصی یا رمز عبوری را ندهید. T پیام ممکن است بگوید اگر جزئیاتی در مورد تحویل بسته می‌خواهید، نام کاربری و رمز عبور خود را از حساب Gmail یا حساب Office 365 خود وارد کنید. اما این تقلب است اگر واقعا نگران هستید به جای کلیک کردن روی پیام به وب سایت DHL یا UPS یا FedEx.
نکته دیگری که می خواهم به مردم یادآوری کنم در مورد تماس های تلفنی است. ویزا و مسترکارت نمی دانند شما کی هستید. ویزا و مسترکارت قرار نیست با شما با مشکل احتمالی کارت تماس بگیرند. کارت اعتباری شما نزد ارائه‌دهنده‌تان است که معمولاً یک بانک است و بانک‌ها با شما در مورد مشکل احتمالی کارتتان تماس نمی‌گیرند و رمز عبور شما را نمی‌خواهند یا تاریخ تولدتان را می‌پرسند. اگر از کسی تماس تلفنی گرفتید که می‌گوید در مورد کارت اعتباری شما تماس می‌گیرد و قرار است از طرف بانک باشد، برای تأیید به بانک بروید. اگر به دلیل ساعات کاری دیگر نمی توانید به بانک بروید، این را نادیده بگیرید. اگر بانکی با شما تماس گرفت و آنها واقعاً جدی هستند t هی می‌خواهند از شما بپرسند که آیا این خرید را انجام داده‌اید، می‌گویید نه و آنچه می‌گویند خوب است، ما آن را لغو می‌کنیم و ما همچنین کارت شما را باطل می کنیم و شما باید یک کارت جدید دریافت کنید. و سپس به بانک می روید و از آنجا مراقبت می کنید. شما این کار را با تلفن انجام نمی دهید.
T آخرین نکته ای که می خواهم به آن اشاره کنم این است که اگر خارج از فروشگاه هستید، از Wi-Fi عمومی رایگان برای اتصال به اینترنت استفاده نکنید — حتی اگر توسط شهر ارائه شده باشد، حتی اگر توسط مرکز خرید یا یک رستوران ارائه شده است. از آنجا که برای هکرها جعل کردن یک فروشگاه بسیار آسان است، بنابراین وقتی فکر می‌کنید وارد مک‌دونالد می‌شوید، واقعاً وارد آن نمی‌شوید. ممکن است فریب یک اشتباه املایی را بخورید. ممکن است هزینه‌ای برای شما در بر داشته باشد، چه در مدت زمانی که استفاده می‌کنید و چه با شارژ مستقیم، اما از اتصال تلفن همراه اپراتور تلفن همراه خود استفاده کنید.