News Feed http://www.itc.ir/ News portlet RSS <![CDATA[رمزگشایی فایل‌های رمزشده توسط باج‌افزار TeslaCrypt]]> رمزگشایی فایل‌های رمزشده توسط باج‌افزار TeslaCrypt

رمزگشایی فایل‌های رمزشده توسط باج‌افزار TeslaCrypt

]]>
توسعه‌دهندگان نسخه‌های قدیمی بدافزار تسلاکریپت، در هنگام تولید کلیدهای خصوصی و عمومی در انتخاب اعداد اول دقت لازم را لحاظ ننموده‌‌اند و از این رو می‌توان در مدت زمان قابل قبولی فاکتورهای اول کلید عمومی را استخراج و با استفاده از آن‌ها کلید خصوصی را محاسبه نمود.

 

رمزگشایی فایل‌های رمزشده توسط باج‌افزار TeslaCrypt

توسعه‌دهندگان نسخه‌های قدیمی بدافزار تسلاکریپت، در هنگام تولید کلیدهای خصوصی و عمومی در انتخاب اعداد اول دقت لازم را لحاظ ننموده‌‌اند و از این رو می‌توان در مدت زمان قابل قبولی فاکتورهای اول کلید عمومی را استخراج و با استفاده از آن‌ها کلید خصوصی را محاسبه نمود. به عبارت دیگر، به خاطر وجود این آسیب‌پذیری می‌توان فایل‌های رمز شده توسط نسخه‌های قدیمی این باج‌افزار را بدون نیاز با تعامل با سازندگان بدافزار و پرداخت باج، با استفاده از قدرت محاسباتی کامپیوترهای معمولی رمزگشایی نمود (رمزگشایی فایل ها می تواند از 5 دقیقه تا چند روز به طول بیانجامد). البته این نقص در نسخه  TeslaCrypt 3.0 برطرف شده است.

باج افزار TeslaCrypt بعد از رمزنگاری فایل ها، آن ها را با پسوندهای مختلفی ذخیره می کند. در حال حاضر فایل‌هایی با پسوندهای زیر قابل رمزگشایی هستند:

.ECC, .EZZ, EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV

 

البته با توجه به برطرف شدن این نقص در نسخه جدید باج افزار، فایل هایی با پسوندهای .TTT ، .XXX و .MICRO قابل رمزگشایی نیستند.

نقص موجود در این باج افزار در واقع در الگوریتم رمزنگاری مورد استفاده نیست، بلکه در ارتباط با نحوه تولید و ذخیره سازی کلید رمزنگاری در سیستم قربانی می باشد. باج افزار TeslaCrypt برای رمزنگاری فایل ها از الگویتم AES استفاده می کند که یک الگوریتم رمز متقارن می باشد و برای رمزنگاری و رمزگشایی فایل ها از یک کلید یکسان استفاده می کند. هر بار که این باج افزار شروع به کار می کند، یک کلید AES جدید تولید می شود و در یک فایل که در طول نشست مربوطه رمزنگاری می شود، ذخیره خواهد شد. این بدین معنی است که ممکن است تعدادی از فایل ها بر روی سیستم قربانی با کلیدی متفاوت نسبت به دیگر فایل ها رمز شده باشند. از آنجایی که قرار است کلید رمزنگاری درون یک فایل رمزشده ذخیره شود، باید به روشی امن این کار انجام شود (به طوری که قربانی نتواند به راحتی کلید رمزنگاری را از درون فایل رمزشده استخراج کند). برای محافظت از این کلید، باج افزار ابتدا کلید رمزنگاری را با استفاده از یک الگوریتم دیگر رمزنگاری می کند و پس از آن این کلید رمزشده را در یک فایل رمزشده ذخیره می کند.

البته طول کلید ذخیره شده در برابر قدرت محاسباتی سیستم های امروزی به اندازه کافی قوی نیست و قابل رمزگشایی می باشد. به طوری که می توان با استفاده از برنامه های خاصی این اعداد بزرگ را تجزیه و عامل-های اول آن را به‌دست آورد. پس از به‌دست آوردن عامل های اول،  می توان از روی این عامل ها کلید رمزنگاری فایل ها را مجدداً تولید کرد.

برای رمزگشایی فایل هایی که با باج افزار TeslaCrypt 2.0 رمز شده اند و دارای پسوندهای زیر می باشند (دارای یکی از پسوندهای .ECC، .EZZ، .EXX، .XYZ، .ZZZ، .AAA، .ABC، .CCC و .VVV می‌باشند)، می توان با استفاده از اسکریپتی که به زبان پایتون نوشته شده است، کلید خصوصی رمزنگاری را به‌دست-آورده و فایل ها را رمزگشایی کرد. این اسکریپت در مسیر زیر قرار دارد:

https://github.com/Googulator/TeslaCrack

 

اسکریپت unfactor.py موجود در مسیر فوق، با تجزیه عامل های اول کلید رمزنگاری سعی در به‌دست آوردن آن می کند. اسکریپت teslacrack.py با بررسی header مربوط به فایل های رمزشده و استخراج کلید رمزنگاری با استفاده از unfactor.py ، فایل ها را رمزگشایی می کند. برای استفاده از این اسکریپت باید پایتون بر روی سیستم نصب شده باشد. توضیحات کامل مربوط به نصب پایتون، نصب اسکریپت فوق و نحوه استفاده از این اسکریپت را می توان در همان آدرس مشاهده نمود.

]]>
2016/3/8
<![CDATA[هک شدن سایت Linux Mint، پر استفاده‌ترین توزیع لینوکس در دنیا]]> هک شدن سایت Linux Mint، پر استفاده‌ترین توزیع لینوکس در دنیا

هک شدن سایت Linux Mint، پر استفاده‌ترین توزیع لینوکس در دنیا

]]>
اگر شما هم جزء آن دسته از افرادی هستید که در تاریخ 20 فوریه 20160 میلادی توزیع Mint را دانلود و نصب کرده اید، در حقیقت از یک توزیع آلوده در حال استفاده هستید.

Linux Mint یکی از مشهورترین توزیع های لینوکس در دنیا می باشد، ولی اخیراً نسخه ISO آن با یک نسخه حاوی backdoor جایگزین شده است.

 

هک شدن سایت Linux Mint

پر استفاده‌ترین توزیع لینوکس در دنیا  

اگر شما هم جزء آن دسته از افرادی هستید که در تاریخ 20 فوریه 20160 میلادی توزیع Mint را دانلود و نصب کرده اید، در حقیقت از یک توزیع آلوده در حال استفاده هستید.

Linux Mint یکی از مشهورترین توزیع های لینوکس در دنیا می باشد، ولی اخیراً نسخه ISO آن با یک نسخه حاوی backdoor جایگزین شده است.

در تاریخ 20 فوریه یک گروه ناشناس از هکرها به سایت Linux Mint حمله کرده و لینک دانلود مربوط به توزیع Mint را با لینکی که به یکی از سرورهای خودشان اشاره می کند و حاوی یک نسخه ISO حاوی backdoor می باشد، به نام Linux Mint 17.3 Cinnamon Edition جایگزین کردند.

به گفته تیم Linux Mint این حمله فقط یکی از نسخه های این توزیع را آلوده کرده است و این نسخه، Linux Mint 17.3 Cinnamon Edition می باشد. ضمن اینکه تنها دانلودهایی که در تاریخ 20 فوریه انجام شده است، آلوده می باشند.

هکرها با استفاده از دسترسی به سرورهای زیرساخت Mint و پس از آن با دسترسی به سرور www-data توانسته اند یک shell از آن در اختیار گیرند.

پس از آن هکرها با دستکاری صفحه دانلود مربوط به Linux Mint و جایگزینی آن با یک سرور FTP آلوده موجود در کشور بلغارستان (با آدرس 5.104.175.212) اقدام به جایگزینی لینک دانلود این توزیع لینوکس نموده اند.

این توزیع آلوده علاوه بر دارا بودن تمام ویژگی های توزیع های عادی Linux Mint، حاوی یک backdoor با نام Tsunami می باشد که این امکان را به حمله کننده می دهد که از طریق سرورهای IRC (Internet Relay Chat) به سیستم قربانی دسترسی داشته باشد.

Tsunami یکی از تروجان های نام آشنای مربوط به لینوکس می باشد که در واقع یک IRC bot ساده است که برای حملات DDOS از آن استفاده می شود.

البته تیم مدیریتی Linux Mint با شناسایی این حمله و پاک کردن لینک آلوده موجود، از آلوده شدن تعداد بیشتری از کاربران جلوگیری کرده است. بری این کار تیم Linux Mint تمامی دامنه‌های linuxmint.com را به صورت آفلاین درآورده و عملیات لازم را انجام داده است.

همچنین این گروه هکری با سرقت کل دیتابیس سایت Linux Mint اقدام به فروش آن به قیمت 85 دلار کرده اند. گفته می شود که این گروه هکری یک تیم نه چندان حرفه ای بوده که توانسته با استفاده از بدافزارها و ابزارهای آماده اقدام به انجام این حمله کند.

]]>
2016/3/8
<![CDATA[حمله به کاربران واتساپ و فیس‌بوک و سرقت اطلاعات آنها]]> حمله به کاربران واتساپ و فیس‌بوک و سرقت اطلاعات آنها

حمله به کاربران واتساپ و فیس‌بوک و سرقت اطلاعات آنها

]]>
در تاریخ 7 ژانویه 2016، تیم تحقیقاتی آزمایشگاه کومودو حمله بدافزاری جدید که کاربران واتساپ را هدف قرار داده بود شناسایی کردند.

 

حمله به کاربران واتساپ و فیس‌بوک و سرقت اطلاعات آنها

 

 

در تاریخ 7 ژانویه 2016، تیم تحقیقاتی آزمایشگاه کومودو  حمله بدافزاری جدید که کاربران واتساپ  را هدف قرار داده بود شناسایی کردند. در این حمله مجرمین سایبری با استفاده از تکنیک‌های فیشینگ، یک ایمیل جعلی از طرف شرکت واتساپ به کاربران ارسال می‌کردند. زمانی که کاربر روی فایل پیوست شده به ایمیل کلیک می‌کرد، بدافزار منتشر می‌شد.

در تاریخ 21 ژانویه 2016 این تیم حمله‌ای بسیار شبیه به حمله قبل شناسایی کردند که این بار کاربران فیس‌بوک  را مورد حمله قرار داده بودند. احتمال می‌رود این بدافزار توسط کسی که بدافزار واتساپ را طراحی کرده است، ایجاد شده باشد.

هردوی این بدافزارها از خانواده “Nivdort” بوده‌اند. این تروجان قادر به ضبط اطلاعاتی مانند آدرس IP و ایمیل، سایت‌هایی که بیشتر از آن‌ها بازدید شده است و اطلاعات کارت اعتباری است. این اطلاعات می‌توانند به شخص دیگری ارسال شوند و از آن‌ها برای آلوده کردن سیستم به دیگر ویروس‌ها یا حتی دزدیدن پول از حساب بانکی استفاده شود. از این رو لازم است هرچه زودتر این تروجان از سیستم حذف شود.

 

 

 

 حمله به واتساپ

 

تیم ضد اسپم کومودو  بدافزار جدیدی که کاربران واتساپ را مورد هدف قرار داده است شناسایی کرده‌اند. برنامه واتساپ یک برنامه موبایل است که امکاناتی نظیر ارسال پیام و تماس تلفنی از طریق اینترنت را مهیا می‌سازد.

مجرمین اینترنتی یک ایمیل جعلی از طرف شرکت واتساپ ارسال کرده بودند و درصورتی که کاربر روی پیوست ایمیل کلیک می‌کرد، بدافزار منتشر می‌شد. ایمیل‌های ارسالی از یک آدرس ایمیل متفرقه ارسال شده بود اما در ابتدای آن نام واتساپ آورده شده بود. درواقع اگر کاربر به آدرس ایمیل دقت می‌کرد متوجه می‌شد که ایمیل از طرف شرکت ارسال نشده است. 

ایمیل‌های ارسالی از طرف مهاجم دارای عناوین مختلفی بود که برخی از آن‌ها به شرح زیر هستند:

•        You have obtained a voice notification xgod

•        An audio memo was missed. Ydkpda

•        A brief audio recording has been delivered! Jsvk

•        A short vocal recording was obtained npulf

•        A sound announcement has been received sqdw

•        You have a video announcement. Eom

•        A brief video note got delivered. Atjvqw

•        You’ve recently got a vocal message. Yop

همان‌طور که مشاهده می‌شود هر یک از عناوین با مجموعه‌ای تصادفی از کاراکترها، مانند "xgod"  یا "ydkpda" پایان می‌پذیرند. احتمال می‌رود که از این کاراکترها برای کد کردن برخی داده‌ها مانند اطلاعاتی راجع به گیرنده پیام، استفاده شده باشد.

]]>
2016/3/8
<![CDATA[تهدیدات امنیتی اصلی در سال ۲۰۱۶]]> تهدیدات امنیتی اصلی در سال ۲۰۱۶

تهدیدات امنیتی اصلی در سال ۲۰۱۶

]]>
گروه امنیتی پاندا پیش‌بینی‌های خود در مورد معضلات اصلی اثرگذار بر ایمنی فناوری اطلاعات در سال ۲۰۱۶ را اعلام کرد. سال ۲۰۱۶ سالی آکنده از تهدیدات اثرگذار بر کاربران خصوصی و شرکت‌های کوچک و بزرگ است.
 

این شرکت اعلام کرده است که ایجاد و اشاعه‌ بدافزارهای جدید معطوف به آلوده‌سازی کاربران همچنان رشد نمایی خواهد داشت؛ همانند سال ۲۰۱۵ که ثبت روزانه‌ شمار نمونه‌های جدید به ۲۳۰ هزار رسید.
 

پیش‌بینی کرده‌اند که در سال ۲۰۱۶ آلوده‌سازی از طریق جاوااسکریپت افزایش یابد و شمار خلافکاران اینترنتی استفاده‌کننده از پاورشل افزایش یابد. پاورشل ابزاری در ویندوز ۱۰ است که امکان می‌دهد بتوان زیربرنامه‌‌هایی دارای تمام انواع قابلیت‌های کارکردی را اجرا کرد.
 

حملات بزرگ و مبتنی بر تلفن همراه
خلافکاران اینترنتی در پی روش‌هایی هستند که بتوانند شمار هرچه بیشتری از کاربران و شرکت‌ها را مورد حمله قرار دهند تا به حداکثر منفعت برسند. به همین دلیل همچنان ابزارهایی چون ابزارگان سوء‌استفاده(Exploit Kit) را به‌کار می‌گیرند، زیرا بسیاری از راهکارهای کنونی از پس مقابله‌ موثر با این نوع حمله برنمی‌آیند و بنابراین آهنگ آلوده‌سازی بالایی دارد. به همین دلیل بدافزارهای مختص تلفن همراه نیز رو به افزایش است، به‌خصوص گوشی‌های تحت اندروید که محبوب‌ترین سامانه‌ عامل بازار است. جرمی ماتیوس، مدیر بخش آفریقای گروه پاندا می‌گوید: حملات اندرویدی در سال‌های اخیر معمول بوده است، اما در سال ۲۰۱۶ روش آلوده‌سازی تلفن‌های همراه تغییر می‌کند و حالت ریشه‌ای‌تری دارد. در نتیجه حذف این تهدیدات برای برنامه‌های ضدویروس چالش بزرگی خواهد بود، مگر آنکه به‌صورت کارخانه‌ای نصب شده باشند.
حملات مستقیم از طریق روش‌های ابزارگان ریشه‌ای هم افزایش می‌یابد؛ روش‌هایی که به رخنه‌گران امکان می‌دهد از چشم سامانه‌ عامل و راهکارهای ایمنی پنهان بمانند.
 

اینترنت اشیا و پرداخت همراه
سال ۲۰۱۶ سال شکوفایی اینترنت چیزها است و افزاره‌هایی بیش از گذشته به اینترنت وصل خواهند شد، در نتیجه دنیا به کام خلافکاران اینترنتی خواهد بود تا چنین افزاره‌هایی را در اختیار بگیرند. بنابراین پیش‌بینی کرده‌اند که خلافکاران اینترنتی به سراغ چنین افزاره‌هایی بروند، مانند سال ۲۰۱۵ که به سراغ خودروهای دارای نرم‌افزارهای متصل به اینترنت رفتند.
بن‌سازه‌های(platform) پرداخت با افزاره‌های همراه نیز زیر ذره‌بین خلاف‌کاران اینترنتی قرار دارد، زیرا اگر بتوانند از آنها سوء‌استفاده کنند به‌آسانی قادر خواهند بود مستقیما پول کاربران را به‌سرقت ببرند.
وقتی بن‌سازه‌ای معروف شود، بیشتر هدف مهاجمان می‌شود که به سراغ ضعف‌های آن می‌روند.
 

چالش‌های اصلی امنیت
در وضعیت کنونی که شمار تهدیدات دارای رشد نمایی است و حمله‌ها پیشرفته‌تر می‌شود، کاربران و شرکت‌ها باید اقدامات امنیتی بیشتری انجام دهند تا از خطرات اینترنتی ایمن بمانند.
افزون بر این، شرکت‌ها با تهدیدهایی هم مواجه هستند که به شهرت و وضعیت مالی آنها آسیب جدی می‌زند. خلافکاران برای سرقت اطلاعات محرمانه‌ شرکت‌ها و حتی اطلاعات مشتریان آنها هدف‌گذاری می‌کنند و همین که به چنین اطلاعاتی دست می‌یابند برای پس دادن اطلاعات تقاضای پول می‌کنند.
کاربران و شرکت‌ها برای مقابله با چنین حملات پیچیده‌ای باید ابزارها و راهکارهایی داشته باشند که رفتار تمام فایل‌های اجرایی را تحلیل و طبقه‌بندی کنند و برای جلوگیری از تهدیدات و مقابله با آنها حفاظت پیشرفته‌ای بیندیشند.

]]>
2016/3/5
<![CDATA[شبکه‌های اجتماعی جایگزین تبلیغات سنتی شد]]> شبکه‌های اجتماعی جایگزین تبلیغات سنتی شد

شبکه‌های اجتماعی جایگزین تبلیغات سنتی شد

]]>
به گزارش فاوانیوز از تسنیم، محمود واعظی در حاشیه مراسم اعطای جایزه ملی کیفیت ارتباطات و فناوری اطلاعات به شرکت‌های این حوزه در پاسخ به سوال خبرنگار تسنیم، مبنی بر اینکه برای اولین بار شاهد این بودیم که در برگزاری انتخابات هیچگونه اختلالی برای اینترنت و شبکه‌های اجتماعی به وجود نیامد، اما اینگونه نیز می‌شود برداشت کرد که هیچگونه فشاری روی وزارت ارتباطات و دستگاه‌های ذی‌ربط نبوده است؟ گفت: جلسات متعددی پیش از برگزاری انتخابات داشتیم که از گروه‌ها و بخش‌های مختلف پیشنهاد می‌شد که اینترنت و شبکه‌های اجتماعی بسته شود ولی صحبت ما این بود که مردم نسبت به استفاده از این شبکه‌ها آگاهی دارند و می‌توانند به شکل قانونمندی از آن در راستای برگزاری هرچه بهتر انتخابات بهره ببرند.وزیر ارتباطات عنوان کرد: براساس گزارش‌هایی که بعد از انتخابات دریافت کرده‌ایم تنها ۲۰ درصد از ظرفیت شبکه‌های اجتماعی برای انتخابات به کار گرفته شد و مابقی به امور عادی و روزمره مردم اختصاص یافت.
 

واعظی با بیان اینکه نظر دولت این بود که چون می‌توانیم امنیت این بستر را حفظ کنیم، نباید آن را با اختلال مواجه گردانیم، گفت: کمیته‌ای پیش از برگزاری انتخابات از ماه‌ها قبل تشکیل شده بود که هرچند هفته یک بار جلسات آن برگزار می‌شد و نهایتا در آن به این نتیجه رسیدیم که استفاده از شبکه‌های اجتماعی و اینترنت می‌تواند در راستای انجام هرچه بهتر انتخابات باشد و اکنون شاهدیم که هیچگونه تخلفی از این فضا و بستر صورت نگرفته است.
 

او افزود: نقش شبکه‌های اجتماعی اطلاع‌رسانی بوده و همواره مقامات عالی‌رتبه کشور نظیر مقام معظم رهبری و رئیس‌جمهور به این قضیه دقت نظر داشتند و معتقد بودند که باید از تمامی ظرفیت‌ها برای آگاه‌سازی مردم و مشارکت پرشور در انتخابات استفاده شود.
 

وی گفت: انتخابات ۷ اسفند افتخاری برای نظام جمهوری اسلامی و به نوعی لبیک با رهبری بود که از نمایی دیگر انسجام و وحدت درون کشور را به رخ جهانی کشید.
 

واعظی در ارتباط با اینکه وزارت ارتباطات اعلام کرده در ایام انتخابات روزانه ۲۰۰ میلیون پیامک از طریق شبکه‌های اجتماعی تبادل شده است، آیا این به منزله رصد کاربران فضای مجازی توسط مسئولان داخل کشور است؟ گفت: اینکه چه شبکه داخلی باشد و چه خارجی کلیات تحولات آن را هر کشوری می‌تواند رصد کند و در دنیا نیز این امری طبیعی به حساب می‌آید اما فعل و انفعالات این بستر به معنی دسترسی به حریم خصوصی کاربران نیست.
 

وزیر ارتباطات افزود: حریم خصوصی مردم و کاربران برای ما محترم است و به هیچ شرکت داخلی و خارجی اجازه نقض این موضوع را نمی‌دهیم اما اینکه تحولات را نگاه کنیم مشکلی ندارد.
وی در پاسخ به این سوال که رویکرد شما برای استفاده از شبکه‌های اجتماعی افزایش مشارکت و تحکیم وحدت و تعامل بین مردم بوده آیا تصمیمی برای همکاری شبکه‌های اجتماعی خارجی نیز در راستای توسعه هرچه بیشتر این رویکرد دارید؟ گفت: اعتقاد ما بر این است که ابتدا اولویت را بر توسعه و استفاده‌ از شبکه‌های اجتماعی داخل بگذاریم که یکی دونمونه از این شبکه‌ها نیز داخل کشور توسعه یافته که یک مورد ۳ میلیون کاربر فعالی دارد.
واعظی خاطرنشان کرد: سیاستی که اکثر شبکه‌های اجتماعی خارجی دارند این است که برای افزایش ضریب نفوذشان دامنه و سرورشان را به داخل کشورهای دیگر می‌برند و ما نیز از این سیاست استقبال می‌کنیم اگر خودشان مایل به انتقال سرورهایشان به داخل کشور بودند.
 

در ارتباط با چاره‌اندیشی این وزارتخانه برای برقراری ارتباط هرچه بیشتر در ایام سال نو نیز گفت: ۲ سال است برای توسعه کیفیت ارتباطات در شهرهای بزرگ و پرتلاطم در ایام نوروز برنامه‌های ویژه‌ای را اندیشیده‌ایم و هر کدام از اپراتورها موظف شده‌اند مراکز پرترافیک خود را در این شهرها شناسایی کنند و ظرفیت‌شان را با ابتکارهایی نظیر انتقال آنتن‌های رادیویی سیار ارتقا دهند.
وی افزود: در حال حاضر کمیته‌ای برای سامان‌دادن به این بخش با حضور بخش‌های مختلف ایجاد شده و بنده ابلاغیه‌ای ظرف فردا و پس‌فردا برای این کمیته در راستای ساماندهی هرچه بیشتر نقاط پرترافیک نظیر شهرهای زیارتی و گردشگری خواهم داشت.

]]>
2016/3/5