سفارش تبلیغ
صبا ویژن

ویندوز 10 با ضدویروسها رفیق خواهد بود

با عرضه رسمی ویندوز 10 توسعه‌دهندگان این توانایی را خواهند داشت تا برنامه‌های خود را به گونه‌ای طراحی کنند تا با آنتی‌ویروس محلی سیستم مشتری از طریق API جدیدی که ویندوز 10 در اختیار آن‌ها قرار می‌دهد، ارتباط برقرار کنند. به عبارت دیگر ویندوز 10 به برنامه‌ها اجازه خواهد داد تا به طور فعال محتوای خود را با استفاده از نرم‌افزارهای امنیتی مورد بررسی قرار دهند.

ویندوز 10 مکانیزم جدیدی در اختیار توسعه‌دهندگان نرم‌افزار قرار می‌دهد که امکان ادغام‌سازی برنامه‌هایشان با هر برنامه ضدبدافزاری که روی کامپیوتر مصرف‌کننده‌ قرار دارد را داشته باشند. هدف از API  جدید که AMSI (سرنام Antimalware Scan Interface) نام دارد این است که به برنامه‌ها اجازه دهد محتوای خود را به آنتی‌ویروسی که روی سیستم کاربر نصب شده ارسال کرده تا محتوای آن‌ها در خصوص کدهای مخرب مورد بررسی قرار گیرد.

بنابر گفته‌های مایکروسافت، این ویژگی مزیت‌های مهمی در هنگام برخورد با محتوای اسکریپت‌ خاص به همراه دارد، به دلیل این‌که اسکریپت‌های مخرب معمولا به صورت غیرآشکار بوده و برای دور زدن آنتی‌ویروس‌ها به شکل مبهم ظاهر می‌شوند. اسکرپیت‌ها معمولا درون حافظه برنامه‌های کاربردی که برای ترجمه‌ها طراحی شده‌اند اجرا می‌شوند، بنابراین آن‌ها هیچ‌گونه فایلی روی دیسک ایجاد نمی‌کنند تا برنامه‌های آنتی‌ویروس توانایی اسکن کردن آن‌ها را داشته باشند. لی هلمز مهندس نرم‌افزار در مایکروسافت می‌گوید: « در حالی‌که اسکرپیت مخرب ممکن است از طریق چند مرحله مبهم حرکت کند، اما در نهایت برای آن‌که مورد استفاده قرار گیرد، به یک موتور اسکرپیت‌ نیاز دارد. مشکل این است که موتورهای اسکرپیت‌نویسی توانایی اجرای کدهایی که در زمان اجرا تولید می‌شوند را دارند. این مکانی است که واسط اسکن ضدبدافزار طراحی شده وارد عمل می‌شود.

 زمانی‌که اسکرپیت به این نقطه می‌رسد، برنامه می‌تواند توابع AMSI که نشان‌دهنده یک درخواست برای اسکن محتوای محافظت نشده است را فراخوانی کند.» اسکرپیت‌ها تنها محتوایی نیستند که با استفاده از این ویژگی جدید می‌توانند مورد بررسی قرار گیرند. برنامه‌های ارتباطی می‌توانند پیام‌های فوری را در خصوص ویروس‌ها قبل از آن‌که به کاربر نمایش داده شده و قبل از نصب افزونه‌ها مورد بررسی و اسکن قرار دهند. مرجع اطلاع‌رسانی درباره API جدید ویندوز می‌گوید، این مکانیزم اجازه اسکن فایل و حافظه یا استریم‌ها را داده و اعتبار منبع محتوا URL/IP را مورد بررسی قرار می‌دهد، در نتیجه به طور بالقوه از بسیاری از محتواها در بیشتر حالات پشتیبانی می‌کند.

کارشناسان امنیتی در خصوص این اینترفیس جدید چه می‌گویند؟

کاتالین کوسویی، استراتژیست ارشد امنیتی در شرکت بیت‌دیفندر می‌گوید شک دارد که این ویژگی تأثیر قابل توجهی را در سال‌های آینده به وجود آورد، به دلیل این‌که هم توسعه‌دهندگان و هم سازندگان آنتی‌ویروس‌ها نیاز دارند درباره به‌کارگیری آن تصمیم‌گیری کنند. او در ادامه می افزاید: « ما به وضوح از این ابتکار عمل استقبال می‌کنیم، اما یک سکه همیشه دو طرف دارد. به برنامه‌ها اجازه می‌دهد که این مدل از اسکن را از طریق ASMI انجام دهند، اما مسئولیت‌ها را نیز به دوش توسعه‌دهندگان نرم‌افزار می‌اندازد. آیا آن‌ها واقعا از این ویژگی استفاده خواهند کرد؟ آیا برنامه‌های آن‌ها به درستی پاسخ‌های دریافت شده از موتورهای ضدبدافزار را ترجمه خواهند کرد و تصمیمات درستی اتخاذ خواهد شد؟ مسائل ناشناخته بسیاری وجود دارد که هنوز به صورت مجهول باقی مانده‌اند. آیا مایکروسافت در نظر دارد تا توسعه‌دهندگان را ترغیب کند که از این ویژگی استفاده کنند یا این ویژگی را به آن‌ها تحمیل خواهد کرد؟»


سرورها به تصرف باتنت سیمدا در آمدند

شرکت‌های خصوصی امنیتی در سراسر جهان اعلام کردند موفق به شناسایی بات‌نتی شده‌اند که بیش از 770 هزار کامپیوتر در 190 کشور جهان را مورد حمله قرار داده و به سرقت اطلاعات شخصی و حساس کاربران همچون مدارک بانکی پرداخته است. این بات‌نت با ایجاد یک درب پشتی (backdoor) همچنین به نصب بدافزارهای مخرب دیگر می‌پردازد. بر همین اساس سرورهای مستقر در کشورهای هلند، لهستان، آمریکا، روسیه و لوکزامبوگ بیشترین میزان آلودگی را به خود دیده‌اند. پلیس اینترپل یک عملیات جهانی برای از میان برداشتن این بات‌نت را آغاز کرده است.

اینترپل بات‌نت سیمدا را به عنوان یک خطر و یک هدف مشترک جهانی اعلام کرد؛ بات‌نتی که از تاریخ 9 آوریل به طور همزمان به سرورهای کشور هلند حمله کرده و کنترل آن‌ها را به دست گرفت. در ادامه این حمله سرورهای مستقر در کشورهای آمریکا، روسیه، لوکزامبوگ و لهستان نیز به یکباره در معرض این حمله قرار گرفتند. اینترپل می‌گوید، سیمدا برای چندین سال فعال بوده و برای نصب و توزیع نرم‌افزارهای غیرقانونی و انواع دیگر نرم‌افزارهای مخرب مورد استفاده قرار می‌گرفته است. (همچنین بنابر گزارش‌ها و آمارهای منتشر شده از سوی مایکروسافت به عنوان یکی از شرکای اینترپل در این زمینه، این بات‌نت نزدیک به شش ماه به فعالیت مشغول بوده است.) این بدافزار به طور گسترده توسط جنایتکاران برای به دست آوردن دسترسی و کنترل از راه دور به کامپیوترها و سرقت اطلاعات شخصی از قبیل جزییات مربوط به حساب بانکی و گذرواژه‌ها مورد استفاده قرار گرفته است.

بنابر گزارش‌ها و به گفته پلیس بین‌الملل اینترپل، نرم‌افزارهای مخربی که قدرت لازم را در اختیار بات‌نت سیمدا قرار می‌دادند به نام‌های Backdoor.Win32.Simda، Simda.AT  و  BKDR_SIMDA شناسایی شده‌اند. این بات‌نت در مجموع بیش از 770 هزار کامپیوتر را در بیش از 190 کشور جهان در شش ماه گذشته آلوده ساخته‌ است. مناطقی که بیشترین آلودگی را به خود دیده‌اند در کشورهای آمریکا، انگلستان، کانادا و روسیه قرار دارند. بنا به گفته‌های اینترپل، در دو ماه اول سال 2015 میلادی 90 هزار مورد آلودگی فقط در کشور امریکا شناسایی شده است. پلیس بین‌الملل بخشی تحت عنوان مرکز جرائم دیجیتال (IDCC) را در سنگاپور راه‌اندازی کرده است که با مایکروسافت، کسپرسکی، ترندمایکرو و مؤسسه دفاع سایبری ژاپن به تجزیه و تحلیل این بدافزار پرداخته است. نتیجه این تحقیقات نشان می‌دهد، بات‌نت سیمدا برآیند یک نقشه مهندسی دقیق برای گسترش آلودگی در سراسر جهان است. اینترپل با همکاری بخش جنایت‌های دیجیتالی مایکروسافت و دیگر شرکا خود و پس از تجزیه و تحلیل حجم زیادی از داده‌ها دریافته‌اند که میزان شیوع و گسترش آلودگی به بات‌نت در سراسر جهان بسیار سریع بوده است. در این عملیات سراسری افسران واحد ملی جرایم فناوری هلند، دفتر تحقیقات فدرال ایالات متحده،  پلیس بخش فناوری Nouvelles در لوکزامبورگ و بخش مقابله با جنایات اینترنتی کشوری موسوم به K در وزارت داخلی روسیه که توسط دفتر مرکزی اینترپل در روسیه پشتیبانی می‌شوند، حضور داشتند. سانجی ویرمانی، مدیر IDCC درباره این عملیات گفت: « این عملیات موفقیت‌آمیز ارزش و ضرورت همکاری‌های بین المللی و ملی با بخش خصوصی در ردیابی و مبارزه با جنایات آنلاین را نشان داد.» ویرمانی در ادامه گفت: « این عملیات ضربه قابل توجهی به بات‌نت سیمدا وارد کرده است. اینترپل برای حفاظت از شهروندان کشورهای عضو این سازمان در مقابل جنایات سایبری و شناسایی دیگر تهدیدات به کار خود ادامه خواهد داد.»

بنا به گفته‌های مایکروسافت، Simda.AT معمولا از طریق کیت اکسپلویت Fiesta ارسال می‌شود. نمودار زیر فعالیت‌های این بات‌نت را در شش ماه گذشته نشان می‌دهد.

همچنین بر طبق بررسی‌ها و تحقیقاتی که توسط اینترپل و مایکروسافت انجام شده است، ایالات متحده با 22 درصد و هند با 2 درصد به ترتیب بیشترین و کمترین میزان آلودگی را به خود اختصاص دهند. میزان آلودگی در ایران نیز 3 درصد اعلام شده است.

 

آمارها همچنین نشان می‌‌دهند میزان آلودگی در اروپا و آمریکا بیش از سایر قاره‌ها بوده است.

نحوه شیوع و گسترش

با گذشت زمان خانواده سیمدا از شیوه‌های زیر برای گسترش استفاده کرده‌اند:

•BlackHat SEO

•Exploit kits (such as Blackhole, Styx, Magnitude and Fiesta)

•Mass SQL injection

•Other malware (such as Kelihos, Waledac, Winwebsec)

•Spam mail

•Social engineering

در مورد نسخه Simda.AT شایع‌ترین روشی که برای آلوده‌سازی از آن استفاده شده است، از طریق کدهای جاگذاری یا تزریق شده جاوااسکریپت در سایت‌ها بوده است. سایت‌های مخاطره‌آمیز به تغییر ترافیک کاربران به سایت‌های دیگری که در اصطلاح دروازه نامیده می‌شوند، استفاده می‌کرده‌اند . تصویر زیر یک مثال از تزریق کد جاوااسکرپیت را که به نام Trojan:JS/Redirector شناسایی شده است، نشان می‌دهد:

این سایت دروازه، به عنوان بخشی از زنجیره ابزارهای اکسپلویت عمل کرده و مرورگر را به صفحه‌ اکسپلویت هدایت می‌کند. دروازه بات‌نت Simda.AT به‌نام Exploit:JS/Fiexp شناسایی شده است. Fiexp انواع مختلفی از اکسپلویت‌ها را سرویس‌دهی‌ می‌کند. به عنوان مثال، از طریق فایل‌های آلوده SWF که به‌نام  Exploit:SWF/Fiexp شناسایی شده است، فایل‌های مخرب اپلت‌ جاوا که به‌نام  Exploit:Java/Fiexp شناسایی شده است،  فایل‌های مخرب سیلورلایت که به نام  Exploit:MSIL/CVE-2013-0074 شناسایی شده است، استفاده کرده است.

برای آگاهی از جزییات دقیق‌تر وابسته به اکسپلویت‌هایی که به آن‌ها اشاره شد به آدرس‌های زیر مراجعه کنید:

•CVE-2013-0074 – Silverlight

•CVE-2013-2465 – Java

•CVE-2014-0569 - Adobe Flash

 

دروازه (Gate) شامل اسکرپیتی است که مرورگر را به صفحه Fiesta هدایت می‌کند. از این صفحه فیستا تلاش می‌کند تا با یکی از سه روش اکسپلویت که در بالا به آن اشاره شد به سوء‌استفاده از یک ماشین بپردازد. تصویر زیر فرآیند تحویل Simda.AT را نشان می‌دهد:

اینرپل می‌گوید با اطلاعات به دست آمده اکنون می‌توان به شناسایی هویت عاملانی که در پشت‌ صحنه بات‌نت سیمدا قرار دارند پی برد؛ چه کسی از یک مدل تجاری برای فعالیت‌های جنایی استفاده کرده و چه کاربرانی به طور ناخواسته مجبور به نصب این بدافزار که بدافزارهای مخرب دیگر را با موفقیت نصب می‌کند، آلوده شده‌‌اند. آزمایشگاه کسپرسکی اقدام به راه‌اندازی یک سایت خودبررسی برای اطلاع کاربران از این موضوع که آیا آدرس IP آن‌ها توسط سرورهای تحت کنترل و فرمان دهی سیمدا مورد استفاده قرار گرفته است یا نه کرده است. برای اطلاع از این موضوع از آدرس checkup.kaspersky استفاده کنید.

اگر سیستم شما به این بدافزار آلوده نباشد، پیغام آدرس IP شما در بانک‌ اطلاعاتی کامپیوترهای آلوده به این بات‌نت قرار ندارد را مشاهده می‌کنید.

کسپرسکی روز جمعه اعلام کرد، محققان این شرکت امنیتی یک آسیب‌پذیری در هسته داروین کشف کردند، این هسته اساس و پایه سیستم‌عامل‌های OS X و iOS را شکل می‌دهد. شرکت امنیتی روسی می‌گوید این آسیب‌پذیری که به نام Darwin-Nuke  نامیده می‌شود، دستگاه‌های مجهز به سیستم‌عامل‌های iOS 8 و OS X 10.10 را در معرض حمله عدم سرویس‌دهی راه دور قرار داده که توانایی آسیب‌ رساندن به دستگاه کاربر و ضربه زدن به هر شبکه‌ای که با این دستگاه‌ها به آن متصل می‌شوند را دارد. با این حال، کسپرسکی می‌گوید در حالی‌که این آسیب‌پذیری با پردازش بسته IP با یک اندازه خاص و با گزینه‌های آدرس IP نامعتبر قابل بهره‌برداری است اما در نگاه اول یک آسیب‌پذیری ساده است که برای اکسپلویت بتوان از آن استفاده کرد نیست. آنتون ایوانف، تحلیل‌گر ارشد نرم‌افزارهای مخرب می‌گوید: «بهره‌برداری از این باگ کار سختی است. به دلیل این‌که باید شرایط حمله برای هکرها آماده باشد و این یک مسئله ساده و ناچیزی نیست. اما مجرمان اینترنتی می‌توانند این کار را به طور مداوم برای شکستن دستگاه‌ها یا حتی تأثیرگذاری مؤثر روی فعالیت‌های شبکه انجام دهند. مسیریاب‌ها و دیوارهای آتش معمولا بسته‌های نادرست با اندازه‌های نامعتبر را رها می‌کنند، اما ما چند ترکیب نادرست از آدرس‌های IP که از طریق اینترنت عبور کردند را کشف کردیم.» کسپرسکی اعلام کرده است کاربران سیستم‌عامل‌های iOS و OS X باید دستگاه‌های خود را به سیستم‌عامل OS X 10.10.3 و iOS 8.3 به‌روزرسانی کنند. این نسخه از سیستم‌عامل‌ها از این آسیب‌پذیری در امان هستند.


حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟

در میان انواع تهدیدات امنیتی و طیف گسترده‌ای از مکانیزم‌های مورد استفاده در حملات، این حملات روز - صفر (Zero day) هستند که نه ‌تنها از قدرت تخریب بالایی برخورداراند، بلکه بیشترین فشار روانی را به شرکت‌های سازنده محصولات سخت‌افزاری یا نرم‌افزاری وارد می‌کنند.

ساده‌ترین راه توصیف حمله روز - صفر تجزیه کردن آن به مؤلفه‌ها و اجزاء مختلف است. در این نوع حمله شمارش از روز- صفر آغاز می‌شود و به تعداد روزهایی که آسیب‌پذیری در یک بخش از نرم‌افزار یا سخت‌افزار شناخته شده و هنوز هیچ وصله‌ای از سوی توسعه‌دهندگان دستگاه یا نرم‌افزار که اکسپلویت روی آن انجام گرفته عرضه نشده باشد، شمارش ادامه پیدا می‌کند. یک روز- صفر به صورت یک تهدید ناشناخته تشخیص داده می‌شود، به دلیل این‌که هیچ وصله‌ای در زمان بروز آن وجود ندارد. روز - صفر به عنوان یکی از بزرگ‌ترین معضلات در بحث امنیت اینترنت به‌شمار می‌رود. خاری در دل امنیت که دفاع مستقیم در برابر آن به سختی امکان‌پذیر است. البته با استفاده از ابزارها و تکنیک‌های آماده شده از بروز این حملات می‌توان تا حدودی ممانعت به عمل آورد. همان‌گونه که در دنیای صنعت زمان حرف اول را می‌زند، در امنیت شبکه نیز این زمان است که حرف اول را می‌زند. در زمان بروز حمله روز - صفر تمامی ساعات یک روز برای شناسایی و متوقف کردن یک حمله سازمان‌یافته توسط هکرها کافی به نظر نمی‌رسد. هرچند ممکن است قدرت هکرها  محدود باشد، اما تخمین‌ها نشان می‌دهند، هنوز هم ارزش بازار فعلی حملات روز - صفر در جهان در حدود سه میلیارد دلار است.

متاسفانه، در وهله اول عاملی که باعث می‌شود حملات روز - صفر تا به این حد سودآورد باشند، مهارت بسیار بالای هکرها در گذشتن و عبور از روترهای دفاعی، نرم‌افزارهای آنتی‌ویروس‌ و دیوارهای شخصی است. اگر مردم تصور نمی‌کردند سرمایه‌گذاری از طریق کارت‌‌های به سرقت رفته، حساب‌های بانکی هک شده، ارتباطات بی‌سیم ربوده شده قابل بازگشت است، حاضر به پرداخت دهها یا صدها هزار دلار برای کشف هر مشکل نبودند.

یک دفاع مشکل

اما یک خبر خوب، خوشبختانه هنوز هم مردمی در اقصی نقاط جهان وجود دارند که کار خود را به درستی انجام می‌دهند. در دنیای حرفه‌ای شکار باگ‌ها، دو سازمان وجود دارند که یک سر و گردن بالاتر از دیگر شرکت‌ها هستند.

Zero Day Initiative

 گروه اول مستقل بوده و توسط شرکت TippingPoint یا از طریق کمک‌های مالی تأمین اعتبار و حمایت می‌شود. در این سازمان محققان اطلاعات انحصاری درباره آسیب‌پذیری‌های وصله نشده که شناسایی کرده‌اند را ارائه می‌دهند. در ادامه، سازمان اقدام به بررسی اصالت اخلاقی محقق و مسائل مالی مربوطه می‌کند و صحت این مشکل را در آزمایشگاه امنیتی خود مورد بررسی قرار می‌دهد و پولی را در خصوص این کشف به محقق پرداخت می‌کند. اگر محقق در ادامه اقدام به شناسایی و کشف آسیب‌پذیری‌های بیشتر یا ارائه اطلاعات بیشتر کند، اضافه بر دستمزد مبلغی را در یک برنامه زمانی منظم به عنوان پاداش دریافت می‌کند. بعد از آن‌که توافق نهایی با محقق به دست آمد، ZDA به طور همزمان به توسعه فیلترهای حفاظتی پیشگیری از نفوذ IPS ( سرنام Intrusion Prevention System) پرداخته و به سازندگان اطلاع می‌دهد که محصول آن‌ها آلوده بوده تا اقدامات لازم برای طراحی وصله‌های لازم برای محصولشان را اعمال کنند. البته این سازمان جزییات فنی شناسایی شده در رابطه با یک آسیب‌پذیری را با دیگر سازندگان امنیتی به اشتراک قرار می‌دهد. همچنین برای پیشگیری از هرگونه سوء استفاده مادامی‌که شرکت سازنده وصله‌های لازم را برای محصول خود ارائه نکند، اطلاع‌رسانی عمومی را بدون ارائه هرگونه جزییاتی انجام می‌دهد.

Google Project Zero

Project Zero نام یک تیم از تحلیل‌گران امنیتی به رهبری کریس ایون بوده که در گوگل مستقر هستند. کریس ایوان شخصی است که رهبری تیم امنیتی مرورگر کروم را بر عهده دارد. وظیفه این تیم پیدا کردن اکسپلویت‌های روز- صفر است. این پروژه در 15 جولای 2015 میلادی رسما آغاز به کار کرد. بعد از آن‌که یک تعداد رخنه و آسیب‌پذیری در محصولاتی که توسط کاربران نهایی مورد استفاده قرار گرفتند و همچنین آسیب‌پذیری‌های بحرانی همچون Heartbleed شناسایی شدند، گوگل را بر آن داشت تا یک تیم تمام وقت برای پیدا کردن این‌گونه  آسیب‌پذیری‌ها تشکیل دهد. این تیم نه فقط آسیب‌پذیری‌های احتمالی در محصولات گوگل بلکه در دیگر نرم‌افزارها را نیز مورد بررسی قرار می‌دهند. باگ‌هایی که توسط این تیم شناسایی شوند به سازندگان گزارش داده شده و فقط یک تصویر کلی و عمومی بعد از آن‌که وصله موردنظر عرضه شد یا اگر بعد از 90 روز از شناسایی هیچ‌گونه وصله‌ای برای محصول از طرف شرکت سازنده عرضه نشد، منتشر می‌شود. از دستاوردهای بزرگ این تیم می‌توان به رخنه امنیتی شناسایی شده در ویندوز 8.1 اشاره کرد که NtApphelpCacheControl نام داشت. این رخنه به یک کاربر عادی اجازه می‌دهد تا یک سطح مجوز مدیریتی را به دست آورد. مایکروسافت بلافاصله وجود این رخنه را تأیید کرد اما در بازه زمانی 90 روزه هیچ‌گونه اقدامی برای اصلاح رخنه یاد شده انجام نداد، در نتیجه تیم شناسایی کننده این باگ در تاریخ 29 دسامبر 2014 اقدام به اطلاع‌رسانی عمومی کرد. این اطلاع‌رسانی عمومی واکنش مایکروسافت را به همراه داشت که اعلام کرد در حال کار روی این مشکل است.

هر دو شرکت بر انجمن امنیت شبکه به عنوان یک راهکار برای گرد هم آوردن اطلاعات مفید و مشارکت اطلاعاتی درباره باگ‌‌های روز- صفر کشف شده تایکد دارند. همچنین این انجمن می‌تواند اطلاع‌رسانی به طراحان نرم‌افزار و سازندگان سخت‌افزار که این مخاطره محصولات آن‌ها را تهدید می‌کند، قبل از آن‌که تبدیل به یک مشکل خارج از کنترل شود، را صورت دهد. اما خبر بد برای ما این است که این مخاطره خارج از کنترل بوده و دقیقا همان چیزی است که اکسپلویت‌ها برای آن طراحی شده‌‌اند. در نتیجه هیچ روشی برای پیش‌بینی این‌که هک بزرگ بعدی قرار است به چه قسمتی ضربه وارد کند نداریم. اپل نیز مورد حمله روز- صفر قرار گرفته است. در تاریخ 21 آوریل سایت دیجیتال ترندز به نقل از سایت فوربس نوشت اکسپلویت Rootipe که توسط متخصصان امنیتی شناسایی شده است همچنان یک مشکل امنیتی برای OS X به شمار می‌رود. پاتریک والدر، کارشناس امنیتی اعلام کرده است اپل باید وصله لازم برای آسیب‌پذیری که به نام Rootpie نامیده می‌شود را عرضه کند. Emil Kvarnhammar در تاریخ 9 آوریل در وبلاگ خود نوشت اپل به صورت ریشه‌ای این مشکل را با عرضه OS X 10.10.3 حل کرده است، اما والدر کشف کرد تمامی ماشین‌های مک همچنان در معرض این آسیب‌پذیری قرار دارند. به طور مختصر و کوتاه Rootpipe به یک هکر که دسترسی محلی به یک محصول مک را دارد اجازه می‌دهد تا مجوز دسترسی به ریشه را به دست آورده که به او اجازه می‌دهد کنترل کامل ماشین را بدون نیاز به هیچ‌گونه تصدیق هویت اضافی در اختیار بگیرد. متن کامل این خبر را از این آدرس مشاهده کنید.

بهترین دفاع

در حال حاضر، بهترین روش برای اجتناب و جلوگیری از حمله روز- صفر و باقی ماندن در یک حالت استوار و ثابت هوشیاری است. البته  دنبال کردن مراحل ساده‌ای که در ادامه به آن‌ها اشاره خواهیم کرد، هر چند به طور قاطع در برابر تهدید روز - صفر شما را ایمن نمی‌کنند؛ اما حداقل می‌توانید امکان اجرای این حمله را با کندی همراه سازید.

اول از همه اطمینان حاصل کنید نرم‌افزار آنتی‌ویروس شما به‌روز باشد و جدیدترین تعاریف و امضاء مربوط به ویروس‌ها را در خود جای داده باشد. آنتی‌ویروس می‌تواند از هر سازنده ثالتی همچون کسپرسکی یا سیمانتک باشد، اما همه راه‌ها به Windows Update در سیستم‌عامل ویندوز مایکروسافت ختم می‌شوند. این بخشی است که متخصصان امنیت اینترنت آن‌ را چند لایه کاهشی می‌نامند، که در آن عمل انباشته کردن سبک‌های مختلف از مکانسیم‌های دفاعی روی یکدیگر، یک پوشش چند لایه ایجاد کرده قبل از آن‌که روز- صفر بتواند از روی آن‌ها پرش کند و تبدیل به یک خطر واقعی شود.

در ادامه این موضوع، هرگز فراموش نکنید سفت‌افزار فریم‌ویر روتر خانگی خود را به‌روز نگه دارید؛ عدم توجه به این نکته یکی از رایج‌ترین اشتباهاتی که مصرف‌کنندگان مرتکب می‌شوند.

رم‌ویر روتر همان سیستم‌عامل دستگاه روتر است که فعالیت‌های روتر را تنظیم و مدیریت می‌کند. زمانی‌که یک روتر آلوده شود نه تنها امکان باز کردن سایت‌های معتبر و اصلی را ندارید، بلکه اطلاعات ورودی شما نیز به سرقت می‌رود. در صورتی‌که روتر شما مورد یک حمله هکری قرار گرفت به سایت روتر خود مراجعه کرده و اقدامات لازم برای پاک‌سازی و بازگرداندن آن به تنظیمات اولیه کارخانه را انجام دهید.  تجهیزات شبکه همچنان یکی از با ارزش‌ترین اهداف هکرهایی به شمار می‌رود که به دنبال حمله روز- صفر هستند.

گام بعدی  که هرگز نمی‌توانید درباره آن به اندازه کافی محتاط باشید در ارتباط با دانلودها، ضمیمه‌های ایمیل یا لینک‌هایی است که در ظاهر خطرناک به نظر نمی‌رسند. مگر زمانی‌که دانلود یک فایل از یک منبع کاملا معتبر انجام شود. همیشه از صحت منبع مورد استفاده قبل از آن‌که به آن فرصت انتقال محتوایی به خارج از سرور و انتقال آن‌ محتوا به شبکه خانگی خود را بدهید، مطمئن شوید.

سرانجام، مطلع باشید هر چند منابع رسمی برای ردیابی روز- صفر از آوریل سال گذشته فقط در وبلاگ BeyondTrust اطلاع‌رسانی می‌کنند، اما تمرکز روی بولتن‌هایی که در ارتباط با تهدیدات و تحولات به وجود آمده در فضای امنیتی منتشر شده و به لطف شبکه‌های مجازی و Google New دسترسی به آن‌ها خیلی ساده‌تر از قبل شده است، کمک کننده است. Setup alerts هرگونه خبری فوری که روی اینترنت با عنوان zero-day منتشر شود را به همراه اخبار شرکت‌هایی همچون  RSASecurity@ و VirusBulletin@  و ادارات  US-CERT@  را رصد می‌کند که این راهکار نیز می‌تواند راهگشا باشد.

چرخه کامل

آیا ما برای همیشه محکوم به یک زندگی سخت از دست هکرها و ظرفیت به ظاهر بی پایان آن‌ها برای حرص و طمع هستیم؟

در پایان، روز صفر در ارتباط با مهندسان یا برنامه‌نویسانی که زمان کافی برای پروژه شما وقت نگذاشته‌اند نیست، تا آن‌جا که به هکرها مربوط می‌شود، آن‌ها به اندازه کل زمان جهان وقت کافی برای سودآوری و عبور از سیستم‌های حفاظتی دارند. این یک بازی کامل موش و گربه است، هر دو طرف در یک سمت قرار دارند و هیچ یک نمی‌توانند ادعا کند که از طرف دیگر یک قدم جلوتر است، بلکه این جایزه است که از هر دو طرف جلوتر است. از آن‌جا که بانک‌ها هنوز هم به حیات خود ادامه می‌دهند، سارقان نیز وجود دارند. تا زمانی‌که پول روی اینترنت قرار داشته باشد؛ هکرها نیز وجود خواهند داشت. در حالی که یک طرف از برش الماس برای شکستن نقاط امن استفاده می‌کند، طرف دیگر، از حملات روز - صفر که با نشستن روی یک صندلی کامپیوتری و سرقت آسان پول‌ها انجام می‌شود استفاده می‌کند.

هر چند ممکن است یک سیستم کامل وجود نداشته باشد، در حال حاضر بهترین کاری که می‌توانیم انجام دهیم فعال نگه‌داشتن سازمان‌هایی است که بهترین قفل‌ها و قوی‌ترین درها را برای ما طراحی می‌کنند.


بدافزارهای مبتنی بر ماکرو در حال بازگشت هستند

در چند ماه گذشته، گروه مختلفی از هکرها بدافزارهایی را با کمک ماکروهای آلوده در اسناد آفیس توزیع کرده‌اند تا شیوه‌ای قدیمی و مربوط به یک دهه قبل را دوباره زنده کنند. ماکروها اسکریپت‌هایی هستند که یک سری دستورات متوالی را به‌طور خودکار برای اجرای برخی کارها در انواع مختلفی از برنامه‌های کاربردی تعبیه می‌کنند.

در چند ماه گذشته، گروه مختلفی از هکرها بدافزارهایی را با کمک ماکروهای آلوده در اسناد آفیس توزیع کرده‌اند تا شیوه‌ای قدیمی و مربوط به یک دهه قبل را دوباره زنده کنند. ماکروها اسکریپت‌هایی هستند که یک سری دستورات متوالی را به‌طور خودکار برای اجرای برخی کارها در انواع مختلفی از برنامه‌های کاربردی تعبیه می‌کنند. برنامه‌های ورد و اکسل آفیس مایکروسافت از ماکروهای نوشته شده با زبان ویژوال بیسیک برای برنامه‌های کاربری (VBA) پشتیبانی می‌کنند. اکنون، برخی فعالیت‌های مخرب برای نصب بدافزارهای آلوده از این ماکروها استفاده می‌کنند. در گذشته، هم‌زمان با ورود ویندوز XP در سال 2001، ماکروهای جاسازی شده در فایل‌ها باید برای اجرا مجوزهایی از کاربر می‌گرفتند. این مجوزها با سؤال و تأیید از سوی کاربر روبه‌رو بود. همین روال موجب شد هکرها ماکروها را کنار بگذارند و نتوانند با این روش بدافزارها و ویروس‌ها را توزیع و منتشر کنند. اکنون به‌نظر می‌رسد ماکروها با ترکیب روش‌های مهندسی اجتماعی می‌توانند به درون کامپیوترها نفوذ کنند و مؤثر واقع شوند. یکی از محققان امنیتی مایکروسافت در وبلاگ خود می‌نویسد: «MMPC یا مرکز مقابله با بدافزارهای مایکروسافت اخیراً مشاهده کرده است تعداد تهدیدهای مبتنی بر ماکروها برای گسترش کدهای مخرب افزایش یافته است.» 
دو تهدید به نام‌های Adnel و Tarbir اواسط دسامبر گذشته کاربران دو کشور امریکا و انگلستان را به‌طور ویژه مورد حمله قرار داده بودند. هر دو این تهدیدها از طریق ماکروهای جاسازی شده در فایل‌های با پسوند doc و xls توزیع شدند. این اسناد نیز از طریق هرزنامه‌ها و تحت عنوان فاکتور، رسید تحویل کالا، تأییدیه انتقال، صورت‌حساب و اعلامیه‌های تبلیغ لباس و ارسال آن‌ها در اینترنت منتشر می‌شوند. این محقق مایکروسافت می‌گوید: «وقتی این ایمیل‌ها باز می‌شوند، قربانی مرحله به مرحله راهنمایی می‌شود تا به صورت پنهانی یک ماکرو تأیید نشده را روی سیستم اجرا کند.» ترکیبی از اسناد راهنما، هرزنامه‌ها با وعده‌های مالی، نام فایل‌های فریبنده و موضوعات عمومی می‌توانند کاربر را متقاعد کنند روی گزینه‌هایی کلیک و دستوراتی را اجرا کند که در پشت پرده برای نصب یک ماکرو تعبیه شده‌اند. بدافزار دیگری که ماکروها توزیع می‌کنند، Dridex نام دارد و کاربران بانک‌های آنلاین را هدف قرار داده است. به گزارش مؤسسه Trustwave، این بدافزار در ماه نوامبر به‌اوج فعالیت خود رسید و از طریق پانزده هزار سند آلوده به ماکروهای مخرب در روز توزیع می‌شد. این اسناد به‌صورت فاکتورهایی از شرکت‌های نرم‌افزاری، خرده‌فروشان آنلاین، مؤسسه‌های بانکی و شرکت‌های حمل و نقل مطرح برای کاربران قربانی ارسال می‌شدند. کاربر با پی‌گیری مراحلی که نیاز به بازکردن این ایمیل و محتویات آن است، به‌طور ناخواسته ماکرو را اجرا می‌کند. 
تنها هکرهای علاقه‌مند به سرقت‌های مالی یا دسترسی به اطلاعات حیاتی کاربران و سایت‌ها از این شیوه استفاده نمی‌کنند، بلکه هکرهای سایبری دولتی نیز از ماکروها بهره‌برداری می‌کنند. دو محقق به نام‌های گادی اورون و تیلمن وارنر اخیراً روی یک حمله سایبری به نام Rocket Kitten علیه کنگره ارتباطات Chaos هامبورگ تحقیقی انجام دادند. نتایج این تحقیق نشان می‌دهد هکرها مراکز دولتی و سازمان‌های آکادمی شرق اروپا و... را هدف قرار دادند و از هرزنامه‌های فیشینگ شامل یک فایل اکسل و یک ماکرو آلوده استفاده کردند. 
وقتی این فایل اکسل باز می‌شود، ماکرو آلوده یک درپشتی (Backdoor) خطرناک را نصب می‌کند. یک گروه هکری دیگر در ماه سپتامبر با استفاده از اسناد نرم‌افزار ورد آفیس مایکروسافت و یک ماکرو آلوده به نام CosmicDuke، وزارت خارجه‌ای را در اروپا هدف قرار داده بود. محققان مؤسسه F-Secure درباره این ماکرو می‌گویند: «هنگامی که فایل پیوست ایمیل را باز می‌کنید، سند ورد با دستوراتی که کلیک می‌کنید، به شما کمک می‌کند ماکرو را فعال کنید.» تمام این گزارش‌ها از بازگشت ماکروهای آلوده خبر می‌دهند. البته این بار مهندسی اجتماعی و فریب‌کاری‌ نیز افزوده شده است.


امنیـت در مـرز DNS

بسیاری از کاربران و نه تمام آن‌ها با مفاهیم امنیت نرم‌افزار آشنا هستند، اما راه‌های پایه‌ای بیش‌تری برای محافظت از کاربر در مقابل حملاتی چون فیشینگ، بات‌نت‌ها، تبلیغات ناخواسته و مواردی از این دست وجود دارد. یکی از مؤثرترین آن‌ها سرویس‌های DNS است. استفاده از تنها یکی از این خدمات می‌تواند از خانواده یا کسب و کار شما در مقابل حملات فیشینگ و سایر نفوذهای ناخواسته حفاظت کند.

نخست، برای افرادی که با DNS آشنایی ندارد، مرور کوتاهی بر آن خواهیم داشت. در واقع، هر زمانی که وب‌گردی می‌کنیم، از DNS (سرنام Dynamic Name Server ) استفاده می‌کنیم. هر زمان که کاربر نام سایتی را در مرورگر وارد می‌کند، DNS درخواستی را برای دریافت IP متناظر با نام آن سایت به سروری ارسال می‌کند که به همین منظور در شبکه قرار داده شده است. بر همین اساس، مرورگر می‌تواند وب‌سرور مربوط به وب‌سایتی که کاربر می‌خواهد آن را ببیند پیدا کند و وب‌سایت را به کاربر نشان دهد (فرآیند تبدیل نام دامنه به IP متناظر با آن را Domain name resolution می‌نامند). به‌طور کلی، دو نوع اصلی از DNS سرورها وجود دارند؛ Recursive و Authoritative. از این دو نوع، معمولاً از DNS سرورهای Recursive برای شرکت‌ها و سازمان‌های کوچک استفاده می‌شود (که در این مقاله هم به‌تفصیل به آن‌ها خواهیم پرداخت).
اغلب فراهم‌کنندگان خدمات اینترنت (ISP سرنام Internet Service Providers) نیز از همین نوع DNS سرورها استفاده می‌کنند. تمام شرکت‌هایی که در این مقاله به بررسی آن‌ها خواهیم پرداخت نیز از سرورهای Recursive استفاده می‌کنند. اگرچه در میان آن‌ها برخی دیگر از شرکت‌ها هستند که از نوع دیگر DNS سرورها یا سرورهای Authoritative استفاده می‌کنند که به دارندگان وب‌سایت‌ها یا شرکت‌های ارائه خدمات میزبانی این امکان را می‌دهد
تا یک IP برای وب‌سرور خود ایجاد کنند و دامنه آن‌ها برای مدیریت تنظیمات DNS به این IP اشاره کند. از آنجا که DNS سرورها نقش واسطی را میان مرورگر و محتویات وب‌سایت بازی می‌کنند، بسیاری از خدمات DNS دیگر هستند که می‌توانند خدمات بیش‌تری را هم به کاربر و هم به مدیران شبکه ارائه دهند. خدماتی که نمونه‌هایی از آن در ادامه آورده شده است.

ـ فیلتر کردن داده‌ها : می‌توان به‌راحتی از این ابزار برای فیلتر کردن سایت‌های هرزه‌نگاری و سایر داده‌های ناخواسته و نامناسب استفاده کرد، بدون این‌که به نرم‌افزار خاصی روی کامپیوتر‌های کاربران نیازی داشته باشیم.

ـ مسدود کردن بدافزارها و حملات فیشینگ: می‌توان این کار را با فیلتر کردن داده نیز انجام داد و سایت‌هایی را که ویروس، اسکمرها و سایر داده‌های خطرناک دارند، فیلتر کرد.

ـ محافظت در مقابل بات‌نت‌ها: این سرویس می‌تواند ارتباطات ناخواسته را که اغلب بات‌نت با سرور مولد خود دارد مسدود کند؛ بنابراین، کمک زیادی به ارتقای امنیت کاربر می‌کند.

ـ مسدود کردن تبلیغات: در واقع، این نیز نوع دیگری از فیلتر کردن داده‌ها است که می‌توان آن را با استفاده از برخی سرویس‌های DNS انجام داد.

تصحیح نشانی‌های URL
برای مثال، اگر کاربر در مرورگر خود به اشتباه تایپ کرد gogole.com سیستم به‌طور خودکار آن را به google.com اصلاح می‌کند. در این مقاله، به بررسی و معرفی این سرویس‌ها خواهیم پرداخت. بیش‌تر سرویس‌هایی که در این مقاله به آن‌ها اشاره خواهیم کرد رایگان هستند یا بیش‌تر خدمات آن‌ها به رایگان قابل استفاده است. از آنجا که سرویس‌های DNS زیادی وجود دارند، آن‌هایی برای این مقاله انتخاب شده‌اند که تا حد امکان کارها را به‌صورت خودکار انجام دهند و نیازی به تنظیمات پیچیده توسط کاربر نباشد و به‌ویژه تنظیمات فیلتر کردن داده نیز از قبل روی آن‌ها انجام شده باشد. سوییچ کردن بین دو سرویس DNS  سرور Recursive آسان است. تنها کافی است IP نشانی مربوط به DNS را در بخش تنظیمات اینترنت روتر تغییر دهید تا کل شبکه تحت تأثیر تنظیمات جدید قرار بگیرد یا این‌که روی هر کدام از کامپیوترها تک‌تک این کار را انجام دهید. برخی دیگر از این خدمات را می‌توان با ساخت یک حساب کاربری برای ایجاد سطوح مختلف دسترسی و نحوه دریافت پیام در مواجهه با داده فیلتر شده از آن‌ها استفاده کرد. به یاد داشته باشید که سرعت، اطمینان‌پذیری و کارایی DNS سرور می‌تواند متفاوت باشد. داشتن Domain resolution کم‌سرعت و ضعیف ممکن است به وب‌گردی کم‌سرعت و نامطمئن منجر شود. می‌توانید آزمون‌های سرعت را نیز روی DNS  سرورها انجام دهید (برای این کار پیشنهاد می‌کنیم از Namebench استفاده کنید) تا بتوانید کارایی را در محل مشخصی بررسی کنید.