10 توئیت برتر 2014 در حوزه امنیت سایبری

05 بهمن 1393 3323 بازدید

کسپرسکی

شرکت کسپرسکی*، بزرگترین شرکت امنیتی که ضمن انجام تحقیقات متعدد امنیتی آخرین راهکارها و محصولات آنتی ویروس را نیز را ارائه میکند، اخیراً طی مطلبی 10 عدد از جالب ترین توئیت ها یا پستهای شبکه اجتماعی توئیتر در حوزه امنیت در سال 2014 را انتخاب و ضمن ارائه توضیحاتی در مورد هر کدام و رخداد مربوطه آنها را منتشر نموده است. در ادامه متن این توئیت های جالب امنیتی و توضیح مختصری در مورد مناسبت یا رخداد مربوط به آنها را با هم مرور میکنیم.

 

1-      در اولین توئیت برتر پیغام تهدیدآمیزی از سوی مجرمین سایبری خطاب به یکی از بانکداران و موسس سیستم اعتباری Tinkoff (که یک بانک آنلاین است) را میخوانیم:

«وبسایت شما موردحمله DDoS (حمله محروم‌سازی از سرویس) قرارگرفته است و راه حل پیشنهادی ما این است که در صورت تمایل به توقف این حمله میتوانید 1000 دلار برای ما واریز کنید.» (مارس 2014)

تا پیش از تابستان (یعنی در عرض کمتر از سه ماه) این کلاهبردار سایبری، که نوجوانی 19 ساله بود، شناسایی و به دو سال و نیم آزادی مشروط و پرداخت 400 هزار دلار محکوم شد.

 

2-      آسیب پذیری هارت بلید (خونریزی قلبی) امنیت دو سوم شبکه اینترنت را تهدید نمود که گزارشات مختلفی هم در این خصوص در بلاگها و رسانه‌های گوناگون منتشر شد. اما یکی از پستهایی که بصورت مختصر و مفید به توصیف این آسیب پذیری پرداخت، توئیتی بود که یکی از نویسندگان و کاریکاتوریست‌های مجله فکاهی XKCD Comic منتشر نمود:

 

در این تصویر فکاهی دو کاربر عادی در مورد هارت بلید با هم صحبت میکنند یکی از آنها از تهدیداتی که این آسیب پذیری میتواند به همراه داشته باشد نظیر هک و نشر اطلاعات شخصی، ایمیلها، پسوردها، اطلاعات کاربری و ... سخن میگوید و دیگری میگوید با این وجود ایمن ترین محل برای ذخیره اطلاعات همان کاغذ و سنگ نوشته خواهد بود.

این آسیب پذیری واقعاً نگران کننده بوده و خواهد بود چرا که هنوز دهها هزار سرور وجود دارد که برای اصلاح این آسیب پذیری اصلاح و بروزرسانی نشده اند و خیلی از آنها هم هرگز قادر نخواهند بود از گزند این آسیب پذیری رهایی یابند.

 

3-      شاید باورش سخت باشد، ولی از نظر شرکت کسپرسکي جالبترین توئیت سال 2014 به کارکنان سازمان CIA تعلق دارد، چراکه جالب است که حتی این افراد نیز ار یک لحن شوخ طبعی استفاده مینمایند:

«نه میتوانیم تأیید کنیم و نه میتوانیم انکار کنیم که این اولین توئیت ماست!» (ژوئن سال 2014)

 

4-      توئیت بعدی مربوط میشود به پیغامی که یکی از هکرها پس از هک حساب توئیتر یکی از مقامات روسیه از زبان وی روی شبکه اینترنت منتشر نمود:

«من از تمامی اقدامات دولت شرمسار و متأثرم و بزودی استعفا خواهم داد!»

هکر توانسته بود علاوه بر هک حساب توئیتر این مقام دولتی، همزمان سایر حسابهای کاربری وی را هک نموده و ضمن دسترسی به تصاویر شخصی وی از همین طریق، این اطلاعات را نیز منتشر نماید.

 

5-      دو هفته بعد از مورد قبلی، خبر هک و انتشار چندین ستاره هالیوودی نیز در سراسر اینترنت گزارش شد. توئیت جالبی که فوراً پس از این هک صورت گرفت مربوط به یکی از اولین نفراتی بود که برای اولین بار شاهد انتشار تصاویر شخصی جنیفر لورنس، بازیگر هالیوودی، بودند:

«ظاهراً حساب iCloud جنیفر لورنس هک شده و یکی داره تصاویرش رو منظماً منتشر میکنه!» (@YahoodiSaazish)  (آگوست 2014)

این نشت داده که تبدیل به رخداد امنیتی مهمی در هالیوود شد به "The Fappening" شهرت یافت و منجر به سودجویی وبسایت‌های متعددی و همچنین جلب توجه بیش از پیش ستارگان قربانی گردید.

برای اطلاعات بیشتر در مورد این حمله میتوانید این گزارش از شرکت کسپرسکی را نیز مطالعه نمایید:

نشت اطلاعات شخصی چهره‌های سرشناس هالیوود

 

6-      ماه سپتامبر نیز یکی از ماههای پرماجرای سال گذشته بود که طی آن شاهد شناسایی یک آسیب پذیری در پوسته Bash بودیمکه Bashdoor یا Shellshockنام گرفت. ظرف یکسال اخیر دومین آسیب پذیری بود منجر به که میلیون‌ها سیستم کامپیوتری که اغلب هم سرور بودند را متوجه خود نموده بود. فردی که این آسیب پذیری را شناسایی نموده بود در ابتدا سخنی در این خصوص نگفته بود ولی پس از گذشت چند ماه پرده از این حقیقت برداشت که:

«بر خلاف آنچه Chet، من و سایرین در خصوص باگ امنیتی Shellshock عنوان کرده اند، این باگ یا آسیب پذیری از نسخهbash-1.03 وجود داشته است و نه در نسخه 1.13، یعنی از حدود 25 سال این باگ امنیتی وجود داشته است.»

این آسیب پذیری نیز، نظیر هارت بلید، برای مدت زیادی برای همه ما نگران کننده خواهد بود.

 

7-      چند هفته بعد، آسیب پذیری یا باگ امنیتی دیگری کاربران سراسر جهان را تهدید نمود. در اوایل ماه اوکتبر بود که دو تن از محققین امنیتی پی برده بودند که تمامی حافظه‌های همراه USB موجود از امنیتی برخوردار نبوده و دارای یک باگ امنیتی هستند. بنا به دلایلی این موضوع را عنوان نکردند ولی یوجین کسپرسکي  مدیرعامل شرکت کسپرسکی برای همگان در توئیت منتشر نمود:

«بر اساس تحقیقی از سوی محققین BadUSB: به هیچ دستگاه USB که به سیستم خود متصل مینمایید نمیتوان اعتماد نمود حتی حافظه همراه فلش.» (اوکتبر 2014)

همچنان راهکاری اساسی در این خصوص ارائه نشده است چرا که این موضوع نیاز به بررسی دقیقتری دارد ولی حداقل کاری که در حال حاضر میتوان انجام داد خودداری از اتصال هرگونه دستگاه USB ناشناس به سیستم خود میباشد حتی اگر آن دستگاه یک ماوس و صفحه کلید باشد.

 

8-      در اواسط ماه اوکتبر بود که گفته‌هایی مبنی بر هک حسابهای Dropboxو انتشار اطلاعات شخصی برخی از کاربران این سرویس به گوش رسید ولی کارشناسان پشتیبانی شرکت مربوطه در اولین فرصت با انتشار یک توئیت این حمله را تکذیب نمودند:

«از همین طریق تمام گزارشات مبنی بر هک سرویس Dropbox را تکذیب نموده و به شما اطمینان میدهیم تمام داده های شما ایمن خواهد بود.» (اوکتبر 2014)

بسیاری هم بر این باور بودند که هک شدن Dropbox بیشک رخ داده بوده ولی احتمالاً شرکت Dropbox ترجیح داده است که با سودجویان سایبری مربوطه بی سر و صدا وارد مذاکره شده‌اند تا شهرت آنها خدشه دار نشود.

 

9-      در اواخر ماه اوکتبر نیز اتفاقات جالبی افتاد که شاید توجه زیادی را به خود جلب نکرد و آن هم استفاده از فناوری جدیدی برای ورود به سایت‌ها بود که جایگزین استفاده از کلمه عبور شود. توئیتر نه تنها این مورد را در دستور کار خود قرار داد و مختصراً به این تصمیم اشاره نموده بلکه سایر شرکتها را نیز استفاده از این فناوری جالب دعوت نمود. در توئیت زیر از سوی سازنده پلتفرم مربوطه پیغام معرفی این فناوری را میخوانیم:

«فناوری احراز هویت Digitsمعرفی میگردد. با این فناوری پسوردها را به فراموشی بسپارید. کافی است از تلفن هوشمند خود برای ورود به برنامه ها و سایت های دلخواه تان استفاده نمایید.»

تاکنون عده زیادی سعی در جایگزین نمودن یک روش احراز هویت با روش قدیمی ورود کلمات عبور نموده اند ولی کسی قادر به عملی کردن آن نبوده است. با اینحال انتظار میرود توئیتر ظرف چند سال آینده بتواند با کمک این فناوری اولین شرکتی باشد که در این زمینه پیش قدم شده است.

 

10-   حال که صحبت از کلمه عبور شد، باید اشاره کنیم که ذخیره کلمات عبور در قالب یک فایل بصورت دستی کدگذاری شده از نظر امنیتی اصلاً کار درستی نیست. اگر این کار را انجام دهید بعید نیست که شما هم به سرنوشت شرکت سونی دچار شوید. هکرها چند روز قبل از حمله اصلی به شرکت سونی یکی از حسابهای توئیتر آنها را هک نمودند و پیغام زیر را روی این صفحه منتشر نمودند:

«کار همه شما جنایتکاران از جمله مایکل لینتون تمام است. هیچ کس نمیتونه به شما کمک کنه!»

همانطور که دیدید در این توئیت مایکل لینتون (مدیر ارشد اجرایی شرکت سونی) را نیز تهدید به حمله ای در آینده نزدیک نموده بودند. اما یقیناً هیچ کدام از مسئولین این شرکت نمی‌دانستند قرار است چه اتفاقی بیافتد.

گزارش کوتاهی خصوص یکی از عواقب این هک را از لینک زیر میتوانید بخوانید:

جیمزباند، قربانی هک شرکت سونی

 منبع: کسپرسکی آنلاین

 

*کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.