به امنیت سایبری امروز خوش آمدید. این نسخه Week in Review برای هفته منتهی به جمعه 26 نوامبر است. من هاوارد سولومون هستم که در زمینه امنیت سایبری برای ITWorldCanada.com همکاری می کنم.
تا چند دقیقه دیگر، دینا دیویس، معاون تحقیق و توسعه مستقر در کانادا در ارائهدهنده خدمات مدیریت شده Arctic Wolf برای گفتگو با من خواهد بود. اما ابتدا نگاهی به برخی از اخبار هفت روز گذشته داشته باشید:
GoDaddy، یکی از بزرگترین ارائه دهندگان میزبانی اینترنت، اعتراف کرده است که یک رمز عبور به خطر افتاده منجر به هک شدن سرویس مدیریت وردپرس آن شده است. آدرس ایمیل حداکثر 1.2 میلیون مشتری فعال و غیرفعال وردپرس کپی شد. بدتر از آن این است که نام های کاربری و رمز عبور تعدادی از مشترکین سرویس میزبانی شده فاش شد و GoDaddy را مجبور کرد که آن کاربران را وادار به بازنشانی رمز عبور خود کند. من و دینا در این مورد بحث خواهیم کرد.
به مدیران ویندوز هشدار داده شد که مراقب تغییرات مشکوک در امتیازات دسترسی کاربران باشند. این پس از آن صورت می گیرد که یک محقق اثبات کد مفهومی برای آسیب پذیری روز صفر جدید ویندوز را منتشر کرد. اگر شخصی به رایانه دسترسی داشته باشد، ممکن است بتواند به راحتی امتیازات خود را با استفاده از اکسپلویت به سرپرست ارتقا دهد. سیسکو سیستمز می گوید هکرها در حال حاضر در تلاش هستند تا از این آسیب پذیری استفاده کنند.
یک هکر با چه سرعتی می تواند سرور یا پایگاه داده ای که به طور نامناسب محافظت شده در اینترنت باز است را پیدا کند؟ گاهی در عرض چند ساعت این بر اساس گزارشی است که این هفته در آزمایشی توسط Palo Alto Networks منتشر شد. تعدادی هانی پات در اینترنت راه اندازی کرد تا بفهمد چه اتفاقی می افتد. من و دینا در مورد آنچه شرکت نتایج تکان دهنده می نامد صحبت خواهیم کرد که درسی برای مدیران فناوری اطلاعات است.
باند باج افزار Conti ضربه موقتی خورده است. محققان شرکت امنیت سایبری سوئیسی به نام Prodaft این هفته گزارشی را منتشر کردند که میگویند موفق شدهاند وارد پورتال پرداخت این گروه شوند. آنها اطلاعات ارزشمندی را در اختیار سازمان های مجری قانون و تیم های امنیتی فناوری اطلاعات قرار دادند. به گفته یکی از سرویسهای خبری، Conti برای مدت کوتاهی مجبور شد پورتال را حذف کند، جایی که قربانیان باجافزار پرداختها را انجام میدهند. دوباره آنلاین شده است.
به سازمان هایی که از دستگاه های حفاظت شبکه FatPipe استفاده می کنند هشدار داده شده است که آخرین به روز رسانی های نرم افزار را نصب کنند. آنها یک آسیب پذیری جدی روز صفر را اصلاح می کنند.
برخی از فارسی زبانان ساکن در ایالات متحده، کانادا، هلند، آلمان و سایر کشورها در پاییز امسال توسط یک بازیگر تهدید کننده مستقر در ایران هک شدند. به گفته محققان SafeBreach، ابتدا یک نسخه جعلی از یک وبسایت مسافرتی واقعی که آنها را مجبور میکرد با گذرواژههای جیمیل یا اینستاگرام خود وارد شوند، جذب کردند. در نتیجه آنها اعتبار خود را واگذار کردند. سپس آنها با کلیک بر روی پیوستی که ظاهراً مقاله ای بود که رهبر ایران را به دلیل ابتلا به ویروس کرونا مقصر دانسته بود، گرفتار یک کلاهبرداری فیشینگ شدند. در عوض، رایانههای آنها به بدافزارهایی آلوده شدند که از آسیبپذیری ویندوز استفاده میکردند. مسئله این است که اگر ویندوز را وصله نگه می داشتند، هک نمی شدند.
یک گروه تهدید که در سرقت اطلاعات تجاری تخصص دارد، بازگشته است. این مهاجمان که توسط محققان Group-IB به RedCurl لقب گرفته بودند، هفت ماه ساکت بودند. با این حال، اخیراً شواهدی از حملات آنها کشف شده است. این باند صبور است و با سلاح های پیشرفته به دنبال قربانیان منتخب می رود. اما ابتدا باید وارد شوند. آنها اغلب این کار را با ترغیب کارمندان به ایمیلهایی انجام میدهند که ظاهراً در مورد اخبار داخلی شرکت، مانند پاداشها، پیوستهایی دارند.
اگر از برنامه مدیریت رمز عبور Firefox Lockwise در دستگاه تلفن همراه خود استفاده می کنید، برای تغییر آماده شوید. این برنامه از 13 دسامبر متوقف خواهد شد. کاربران اندروید می توانند از مدیریت رمز عبور در مرورگر فایرفاکس استفاده کنند. کاربران اپل باید به اطلاعیهای در آینده توجه کنند.
در نهایت، به دلیل اینکه امروز به طور رسمی فصل تعطیلات خرید آنلاین آغاز میشود، دینا در مورد امنترین روشی که میتوانید در اینترنت خریدهای ارزان پیدا کنید، صحبت خواهد کرد.
(در زیر متن ویرایش شده است. برای شنیدن بحث کامل پادکست را پخش کنید)
هوارد: بیایید با هک GoDaddy شروع کنیم. GoDaddy یک ثبت کننده دامنه معروف است و وب سایت های شرکت زیادی را میزبانی می کند. همچنین میزبان مجموعههای مدیریت محتوای وردپرس برای شرکتها و وبلاگنویسانی است که نمیخواهند نصبهای مطبوعاتی word خود را مدیریت کنند. اما هفته گذشته اعتراف شرم آور داشت. در مورد آن به ما بگویید.
دینا: یک هکر توانست به نوعی با یک گذرواژه به خطر افتاده وارد حساب کارمند GoDaddy شود. هکر توانست یک فروشگاه یا مجموعهای از نامهای کاربری و رمز عبور sFTP را پیدا کند که بهطور امن ذخیره نشده بودند. sFTP پروتکلی است که برای آپلود و انتقال فایل ها به وب سایت ها استفاده می شود. شما واقعاً حتی نیازی به ورود به مسیر خود وب سایت ندارید. شما فقط می توانید موارد FTP را در آنجا وارد کنید.
T او تشبیه بدی بودن این هک است: فرض کنید باید یک آپارتمان اجاره کنم. T شخصی که آپارتمان را به من نشان می دهد مالک آن نیست اما آنها امکان اجاره فضای ساختمان را خریداری کرده اند و من قراردادی را امضا می کنم. من ماهیانه به آنها پرداخت می کنم. اما من نمی دانم که آنها در واقع مالک نیستند. آنها همچنین برای اجاره این فضا ماهانه به مالکان می پردازند تا آنها کاهش پیدا کنند. آپارتمان مانند یک وب سایت است که میزبانی می شود. شخصی که نشان می دهد نیز Airbnb آن آپارتمان را برای یک دسته دیگر از افراد دیگر ارسال می کند. من که مستاجر هستم، آیا شما نمی دانید که اجاره نامه مالک ساختمان را دارید. مالک برای هر اتاق یک کلید دارد. شما فکر می کنید که آنها باید آن را در یک مکان امن قرار دهند. اما تشبیه در اینجا این است که آنها کلیدها را در یک جعبه قرار می دهند و جعبه را در یک انباری قرار می دهند – اما درب انبار قفل نیست و درب ساختمان نیز قفل نیست. اما زمانی که وارد شوید، به راحتی می توانید آنها را پیدا کنید. بنابراین اگر کسی آن جعبه را پیدا کرد، به آپارتمان شما دسترسی دارد. T اتفاقی افتاد: هکرها جعبه پر از رمزهای عبور و نام کاربری sFTP را پیدا کردند. این به آنها اجازه داد هر چیزی را در آپارتمان ما قرار دهند – یا هر چیزی را در وب سایتی که می خواهند. و آنها به مدت دو ماه این دسترسی را داشتند. دو ماه کار خیلی بزرگی است. اکنون، GoDaddy همه قفلها [passwords] را تغییر داده است، اما چه کسی میداند هنوز چه چیزی در آن وبسایت وجود دارد؟ این یک نقض بد است. این فقط یک حمله منظم زنجیره تامین نیست. این مانند یک حمله زنجیره تامین آبشاری است.
هاوارد: یک شرکت به نام Wordfence که خدمات محافظتی برای وردپرس می فروشد، می گوید که GoDaddy آن رمزهای عبور sFTP را به گونه ای ذخیره کرده است که نسخه های متنی ساده گذرواژه ها را به جای ذخیره هش های نمکی گذرواژه ها بازیابی کند. یا ارائه احراز هویت کلید عمومی، که می گوید هر دو روش صنعتی هستند. این یک شکست واقعا بزرگ به نظر می رسد.
دینا: بله. Tهی اساساً یک جعبه کلید در اتاق ذخیرهسازی جا گذاشت و هیچ یک از درها قفل نشد… و یکی از بزرگترین کارهایی که هکرها میتوانستند انجام دهند این است که یک دسته کامل از پیوندهای فیشینگ را در یک دسته از وبسایتهای میزبانی شده قرار دهند. GoDaddy که قربانیان می توانند روی آن کلیک کرده و به طور بالقوه باج افزار را دانلود کنند.
هوارد: و همه اینها دوباره به استفاده از رمزهای عبور ایمن و محافظت از رمزهای عبور بازمی گردد. GoDaddy نگفته است که آیا رمز عبور به خطر افتاده با احراز هویت چند عاملی محافظت شده است، که خوب است اما کامل نیست. در واقع، یک کنفرانس آنلاین بود که ماه گذشته آن را پوشش دادم که در آن یک شرکت امنیتی یک تست نفوذ برای یک مشتری انجام داد و گفت که میتواند مدیر عامل را فریب دهد تا با فریب دادن او برای ورود به سیستم ah a، کد احراز هویت دو مرحلهای خود را رها کند. سرور احراز هویت جعلی اما احراز هویت چندعاملی خوب مطمئناً بهتر از هیچ است، و اگر شما یک مدیر ارشد هستید که به موارد زیادی دسترسی دارید، باید از یک تأیید هویت چند عاملی مبتنی بر کلید استفاده کنید که در آن کلیدی دارید که باید به لپتاپ خود وصل شود. برای دسترسی سیستم در هر کلید فقط یک نفر را می شناسد و فرقی نمی کند که هکر رمز عبور را داشته باشد. اگر لپتاپ آنها لپتاپ کاربر نباشد و کلید آن را نداشته باشد، سیستم احراز هویت را نمیپذیرد.
بنابراین اگر از یک سرویس میزبان برای یک برنامه استفاده می کنید، چگونه از خود در برابر حملات شخص ثالث محافظت می کنید.
دینا: دشوار است، زیرا در برخی از سطوح باید به سرویسی که استفاده می کنید اعتماد کنید. بهترین کاری که می توانید انجام دهید این است که تا آنجا که می توانید خدمات را بررسی کنید. مطمئن شوید که از رمزهای عبور قوی استفاده می کنید و اگر سایت آن را ارائه می دهد، احراز هویت دو مرحله ای را فعال کنید. من اگر آنها آن را ارائه ندهند، این نشانه این است که شاید شما نباید از آن سایت استفاده کنید.
هوارد: اکنون میخواهم به تست Honeypot Network Palo Alto بپردازم. برای کسانی که نمیدانند هانیپات دستگاه یا سرویسی است که برای فریب دادن مهاجم به یک هدف جعلی راهاندازی شده است. هانی پات ها توسط شرکت ها برای منحرف کردن مهاجمان از دارایی های دیجیتال واقعی شرکت ها استفاده می شود. آنها همچنین می توانند توسط محققان امنیتی برای کشف نحوه عملکرد مهاجمان استفاده شوند. در این مورد، Palo Alto Networks میخواست بفهمد مهاجم با چه سرعتی میتواند سرورها و پایگاههای اطلاعاتی باز شده در اینترنت را بیابد. بنابراین 320 گره را طوری راه اندازی کرد که گویی به اشتباه پیکربندی شده اند یا بدون فکر محافظت نشده اند. اینها شامل سرورهایی با پروتکل میز راه دور – که اغلب توسط شرکت ها استفاده می شود تا کارمندان بتوانند از خارج از دفتر ارتباط برقرار کنند – پروتکل پوسته ایمن، بلوک پیام سرور و پایگاه داده است. برخی از هانی پات ها نیز رمزهای عبور ضعیفی داشتند. W طبق این مطالعه، 80 درصد از honeypot ها در عرض 24 ساعت پس از کاشت در اینترنت در معرض خطر قرار گرفتند و بقیه ظرف یک هفته در معرض خطر قرار گرفتند. یک عامل تهدید در عرض 30 ثانیه 96 درصد از پایگاه های داده را در معرض خطر قرار داد. W درباره این تست چه فکری کردید؟
دینا: این دیوانه است. من برای یک ثانیه تعجب نکردم زیرا مهاجمان دارای ربات هایی هستند که در وب می خزند و سعی می کنند پورت های باز را پیدا کنند، سعی می کنند چیزهایی را پیدا کنند که باز هستند، زیرا وقتی درب ورودی کاملا باز است، بسیار آسان است. و داشتن یک ربات یا اسکریپت دائماً در حال اجرا که دائماً به دنبال پورت های باز است برای آنها بسیار آسان است. یا هکرها از قبل فهرستی از حملات دیکشنری [password] را در زرادخانه خود داشته باشند. من دوست دارم که آنها این آزمایش را انجام دهند زیرا مردم فکر می کنند، "هیچ کس قرار نیست پورت باز من را ببیند." خب، این ها فقط موارد تصادفی هستند که در آنجا قرار می گیرند و سریع ترین زمان برای سازش در یک سایت 184 دقیقه بود. من خیلی مهم نیست که دسترسی به هر چیزی را از خارج از شبکه خود قفل کنید.
هوارد: به من یادآوری شد که بسیاری از کارمندان به طور تصادفی فایل های دیجیتال و پایگاه های داده را در معرض اینترنت قرار می دهند. آنها ممکن است از بخش فناوری اطلاعات خواسته باشند که یک پایگاه داده ویژه از اطلاعات مشتریان برای تجزیه و تحلیل آنها ایجاد کند. و کسی فراموش می کند که یا رمز عبور از پایگاه داده محافظت کند یا مطمئن شود که پایگاه داده به روی اینترنت باز نیست، همانطور که در این مورد در این آزمایش انجام داد. . من اگر یک محقق امنیتی می توانست پایگاه داده را پیدا کند، همینطور یک کلاهبردار یا یک دولت-ملت. S محققین امنیت و کلاهبرداران این کار را با موتورهای جستجوی آزاد در دسترس مانند Shodan، Census، Nexpose، Vega و دیگران انجام می دهند. بنابراین آیا میتوانید به ما بگویید که چگونه یک بخش فناوری اطلاعات میتواند از Shodan یا ابزارهای دیگر برای اسکن پورتها و محیطهای اینترنتی شرکتهای خود استفاده کند تا ببیند چه چیزی در معرض قرار میگیرد؟
دینا: خیلی رایج است. می توانید ابزار بخرید، می توانید از یک ارائه دهنده خدمات مدیریت شده بخواهید این کار را برای شما انجام دهد. ما این کار را همیشه برای مشتریان خود انجام می دهیم. شما اساساً می خواهید یک ارزیابی آسیب پذیری خارجی انجام دهید. قرار است ببیند چه پورت هایی باز هستند. قرار است ببیند آیا نرمافزاری در حال اجراست که حفرههایی داشته باشد که از بیرون قابل دسترسی باشد. هنگامی که آنها این کار را انجام دادند، به شما توصیه می کنند این نرم افزار را ببندید یا این نرم افزار را ارتقا دهید. شما قطعاً می خواهید به طور منظم نوعی اسکن آسیب پذیری خارجی را در شبکه خود انجام دهید. شما همچنین می خواهید قوانین [security] خود را اغلب ممیزی کنید. برخی از پایگاه های داده هرگز نباید ایجاد شوند. نباید در سیستم شما امکان ایجاد چنین چیزهایی وجود داشته باشد و از آنها محافظت نشود. اگر از یک برنامه ورود به سیستم استفاده میکنید که کمک میکند، زیرا به محض اینکه چیزی باز میشود یا میدانید یک مصالحه وجود دارد، میتوانید حساب آن شخص را ببندید و سپس مهاجمان نمیتوانند وارد چیزی شوند. شما می خواهید مطمئن شوید که فایروال های خوبی دارید. سعی کنید تا جایی که می توانید از سیستم خود در برابر محتوای مخرب و ترافیک محافظت کنید.
هوارد: دو چیز وجود دارد که من فکر میکردم [the honeypot test] نیز به آن اشاره میکند: یکی آموزش آگاهی از امنیت است، به طوری که کارمندان باید بدانند که وقتی پایگاههای اطلاعاتی ایجاد میکنند، کنترلهای امنیتی وجود دارد بنابراین در معرض اینترنت نیست. . نکته دیگری که فکر میکردم این آزمایش نیز درسی برای نیاز به وصله سریع برنامهها است، زیرا مهاجمان از این طریق از آسیبپذیریها برای ورود به شبکهها سوء استفاده میکنند.
آخرین موردی که در این قسمت خواهیم دید، خرید آنلاین است. S از آنجایی که این آخر هفته، جمعه سیاه/ دوشنبه سایبری و فصل فروش کریسمس آغاز میشود، باید به شنوندگان یادآوری کنیم که چگونه با خیال راحت خرید کنند. مردم باید چه کار کنند و چه کاری انجام ندهند؟
دینا: قانون شماره یک این است که اگر معامله بیش از حد خوب باشد که درست باشد، احتمالاً همینطور است. اگر واقعاً پیدا کردن چیزی شبیه به امسال سخت است – یک کالای واقعاً داغ هنوز هم پلی استیشن 5 است – و ناگهان یک فروشگاه ظاهر می شود و آنها عرضه زیادی از آنها دارند و می توانید آنها را با قیمت بسیار ارزان خریداری کنید، این کار درست نیست. واقعی بودن اگر تبلیغات خردهفروشیهای بزرگی را میبینید که به آنها اعتماد دارید، به طور جداگانه به وبسایت آنها بروید و هرگز روی پیوندی در متن یا ایمیل کلیک نکنید. به نام دامنه فروشگاهها در آگهیها و ایمیلها نگاه کنید: آیا اشتباهی در نام دامنهای که استفاده میکنند وجود دارد – یک «1» (یک) به جای «l» (el).
اگر سایت جدیدی پیدا کرده اید و در مورد آن مطمئن نیستید از وب سایتی به نام "islegitsite.com" استفاده کنید. وقتی bestbuy.ca را در آن قرار دادم، سایت آن را "به طور بالقوه قانونی" می نامد – آنها هرگز نمی گویند 100 درصد مشروع است، اما به طور بالقوه مشروع خوب است. امتیاز وب اعتماد 93 از 100 صد را داشت که واقعاً وب اعتماد خوبی است. شاخص خوبی است یکی دیگر از موارد عالی که باید بررسی کنید، ایجاد تاریخ دامنه یک سایت است. BestBuy's 21 سال پیش ایجاد شد، بنابراین احتمالاً نشانه خوبی است که یک سایت قانونی است. اگر سایتی در دو یا سه ماه اخیر ایجاد شده است از آن خرید نکنید.
یک ریسک جدید این است که بعد از خرید آنلاین محصول و تحویل محصول چه اتفاقی می افتد. T دیروز او در محله من اتفاق افتاد: برخی از دزدها در حال دزدیدن جعبه هایی از ایوان جلو دستگیر شدند. بنابراین مطمئن شوید که بسته ها را به مکانی امن می فرستید. اگر خانه شماست، آیا قرار است خانه باشید؟ چند بار در روز پله جلویی خود را بررسی کنید. S پیامهای SMS یا تأییدیههای تحویل ایمیل را تنظیم کنید.
هاوارد: در ارتباط با آن، میخواهم اضافه کنم که در این زمان از سال مردم منتظر پیامهای متنی و ایمیلی در مورد تحویل بسته هستند. اما اگر چیزی آنلاین سفارش نداده اید به این پیام ها پاسخ ندهید. ممکن است نگران باشید که شخصی بسته ای را برای شما ارسال می کند و ممکن است بخواهید به پیامی پاسخ دهید. اما اگر از شما خواسته شد هیچ اطلاعات شخصی یا رمز عبوری را ندهید. T پیام ممکن است بگوید اگر جزئیاتی در مورد تحویل بسته میخواهید، نام کاربری و رمز عبور خود را از حساب Gmail یا حساب Office 365 خود وارد کنید. اما این تقلب است اگر واقعا نگران هستید به جای کلیک کردن روی پیام به وب سایت DHL یا UPS یا FedEx.
نکته دیگری که می خواهم به مردم یادآوری کنم در مورد تماس های تلفنی است. ویزا و مسترکارت نمی دانند شما کی هستید. ویزا و مسترکارت قرار نیست با شما با مشکل احتمالی کارت تماس بگیرند. کارت اعتباری شما نزد ارائهدهندهتان است که معمولاً یک بانک است و بانکها با شما در مورد مشکل احتمالی کارتتان تماس نمیگیرند و رمز عبور شما را نمیخواهند یا تاریخ تولدتان را میپرسند. اگر از کسی تماس تلفنی گرفتید که میگوید در مورد کارت اعتباری شما تماس میگیرد و قرار است از طرف بانک باشد، برای تأیید به بانک بروید. اگر به دلیل ساعات کاری دیگر نمی توانید به بانک بروید، این را نادیده بگیرید. اگر بانکی با شما تماس گرفت و آنها واقعاً جدی هستند t هی میخواهند از شما بپرسند که آیا این خرید را انجام دادهاید، میگویید نه و آنچه میگویند خوب است، ما آن را لغو میکنیم و ما همچنین کارت شما را باطل می کنیم و شما باید یک کارت جدید دریافت کنید. و سپس به بانک می روید و از آنجا مراقبت می کنید. شما این کار را با تلفن انجام نمی دهید.
T آخرین نکته ای که می خواهم به آن اشاره کنم این است که اگر خارج از فروشگاه هستید، از Wi-Fi عمومی رایگان برای اتصال به اینترنت استفاده نکنید — حتی اگر توسط شهر ارائه شده باشد، حتی اگر توسط مرکز خرید یا یک رستوران ارائه شده است. از آنجا که برای هکرها جعل کردن یک فروشگاه بسیار آسان است، بنابراین وقتی فکر میکنید وارد مکدونالد میشوید، واقعاً وارد آن نمیشوید. ممکن است فریب یک اشتباه املایی را بخورید. ممکن است هزینهای برای شما در بر داشته باشد، چه در مدت زمانی که استفاده میکنید و چه با شارژ مستقیم، اما از اتصال تلفن همراه اپراتور تلفن همراه خود استفاده کنید.