امنیت

هک شدن سرویس دهنده های میزبانی

دیروز ایمیلی به کاربرهای یک سرویس دهنده وی بی ان رسید با این مضمون که ما به دلایلی مجبوریم کلیه اطلاعات کاربری شما رو در اختیار مقامات امنیتی آمریکا قرار بدیم. سرویس دهنده بلافاصله واکنش نشون داد و گفت که ایمیل تقلبی بوده. ولی چطور یه نفر ایمیل همه کاربرها رو داشته؟

malware_virus-100047712-gallery

مقصر خود سرویس دهنده است و مشکل امنیتی البته در نرم افزار WHMCS که مورد استفاده سرویس دهنده های میزبانی اینترنت و وی پی اسه برای کنترل کاربرها و سیستم فروش و پشتیبانی و غیره.

هفته گذشته یک مشکل امنیتی در این نرم افزار عمومی شد. مشکل در بخشی از اسکریپت ثبت داده ها بوده که ورودی رو بررسی نمی کرده برای کاراکترهای خاص و دستورات اس کیو ال. بذارید یه نگاهی بهش بندازیم

می بینید که توی این دستور شرطی چک می کنه که آیا ۱۱ کارکاکتر اول ورودی AES_ENCRYPT است یا نه. کافیه اطلاعات ورودی با این String شروع بشه و بقیه اش یه کد باشه برای تزریق، اینجوری اون کد بدون هیچ محدودیتی در دیتابیس اجرا می شه.

بلافاصله بعد از اعلام این نقص، آپدیت برای این نرم افزار اومد که خب فاصله ارائه پچ و آپدیت تا زمان نصبش در همه استفاده کننده ها، به هکرها فرصت می ده که به کارشون برسن.

برای هک کردن ستفاده کننده ها از این نرم افزار کافیه که کاربر سایت باشید و از طریق هر صفحه ای که تغییری در دیتابیس می ده، کد خودتون رو اجرا کنید. طی بررسی هایی که انجام شده یکی از روش های انجام این هک استفاده از فرم ثبت نامه. می دونیم که با فرم ثبت نام ما یه سری ورودی رو به سمت دیتابیس می فرستیم.

یک گروه امنیتی با ایجاد یک هانی پات* تونسته یکی از روش های مورد استفاده هکرها رو به دست بیاره. بذارید کدها رو ببینیم

در خط اول می بینیم که هکر به جای firstname یک کد رو به دیتابیس تزریق کرده که بتونه باهاش نام کاربری، ایمیل و پسورد هش شده موجود در جدول tbladmins رو به دست بیاره. همونجور که از اسمش می تونید حدس بزنید، این جدول حاوی اطلاعات کاربری ادمین هاست.

چه باید کارد:

اگر سرویس دهنده اید سریعا WHMCS رو آپدیت کنید و اگر کاربرید از سرویس دهنده بخواید که این کار رو بکنه چون اطلاعاتتون در خطره.

همچنین Cloudflare که محصولاتی برای بالا بردن امنیت سرورها داره در Web Application Firewall (WAF) تمهیداتی در نظر گرفته برای جلوگیری از این حمله حتی اگر WHMCS به روز نشده باشه که می تونید از سایت خودشون اطلاعات کامل رو بخونید.

منبع و منبع و منبع و منبع

Standard
امنیت

تلفن‌های هوشمند، ماری در آستین

این متن بر گرفته از شواهد شپیگل از یک جلسه داخلی NSA است.

مایکل هایدن، رییس پیشین NSA، در کنفرنسی خاطره ای رو تعریف کرده از روزی که با همسرش در یک فروشگاه اپل بوده. فروشنده می گه برای آیفون بیش از ۴۰۰ هزار نرم افزار هست. هایدن هم به خانمش می گه این یعنی ۴۰۰ هزار راه نفوذ.

هرچند این جمله اغراقه ولی اطلاعاتی که اسنودن افشا کرده نشون می ده ان‌اس‌ای علاقه زیادی به استفاده از نفوذ تلفن‌های هوشمند برای جاسوسی از کاربرها داره. بیش از ۵۰ درصد کاربران تلفن هامراه در آلمان، از تلفن هوشمند استفاده می کنند. این نسبت در انگلیس به دو سوم می رسه. در آمریکا حدود ۱۳۰ میلیون نفر تلفن هوشمند دارند.

گستردگی استفاده از اسمارت‌فون ها و کامپیوترهای جیبی و رشد روز افزون نرم افزارهایی که همه اطلاعات رو با هم به اشتراک میذارن و آنالیز می کنن (یه نگاه به گوشیتون بندازین) باعث شده که کامپیوترها خیلی بیشتر از چیزی که فکر می کنیم در مورد ما بدونن. برای سازمانهایی مثل ان‌اس‌ای این اطلاعات مثل یک گنج می مونه: ارتباطات اجتماعی کاربر، اطلاعات در مورد رفتارش و محل جغرافیاییش، علایقش (چیزایی که سرچ کرده مثلا)، عکس ها، کارت های اعتباری و پسوردهاش.

اسمارت فون ها مثل یک تیغ دو لبه اند. یک نوآوری که می تونی کمک های زیادی به کاربر بکنه و در عین حال توانایی هایی به سازمان های جاسوسی بده که تا حالا نداشتن. طبق مدارک این سازمان، شروع گسترش تلفن های هوشمند براشون یک ترس رو به همراه داشته چراکه شیوه های سنتی ان‌‌اس‌ای رو ناکارآمد کرده. راه های ارتباطی جدید با خودش تغییرات زیادی رو آورده.

بلافاصله گروه های کاری تخصصی برای بررسی این ابزارها، توانایی ها و امکان استفاده ازشون شکل می گیره. به همون سرعتی که تکنولوژی تلفن های هوشمند پیشرفت می کرده، گروه‌های تخصصی برای برند های معتبر شکل می گیره: اپل و iOS اش، گوگل و اندرویدش و بلک بری که تا حالا فکر می کردیم یه سنگر تسخیر ناپذیره.

اطلاعات افشا شده نشون می ده که تا حالا جاسوسی از کاربران تلفن همراه به صورت گسترده (به اون شکلی که در مورد کاربران اینترنت بود) صورت نگرفته و البته این رو هم تایید می کنه که اگر بخوان به راحتی این کار رو می تونن انجام بدن.

نکته اینجاست که NSA علاوه بر هدف گرفتن ابزارهای ساخت شرکت های آمریکایی، شرکت کانادایی بلک بری رو هم جزو اهدافش گذاشته. کانادا یکی از کشورهای اتحاد “پنج چشم” است و طبق قراری که اعضای این اتحاد دارند، نباید علیه همدیگه کاری انجام بدن.

مدارک افشا شده نشون می دن که این شرکت ها تا کنون همکاری داوطلبانه ای با برنامه گفته شده نداشته اند. گوگل و بلک بری هم رسما همکاری و یا اطلاع از این موارد رو تکذیب کردن. یکی از دلایل موفقیت NSA به گفته خودشون، عدم توجه کاربران تلفن همراه به موارد امنیتیه. کسانی که این سازمان نوموفوبیا اسم گذاشته، کسایی که از نداشتن تلفن می ترسن. آمارهای ان‌اس‌ای از گستردگی روش های نظارت بر کاربران اپل حکایت می کنه.

نظارت بر زامبی‌ها
کارشناس این سازمان در ارائه خودش با اشاره به داستان ۱۹۸۴ جرج اورل، کار سازمان خودشون و رابطه اش با کاربرها رو توضیح می ده و استیو جابز رو با بیگ برادر (برادر بزرگ در داستان ۱۹۸۴) مقایسه می کنه. همچنین با نشون دادن تصاویری از خریداران مشتاق اپل، از زامبی ها نام می بره.

اپل زامبی ها

اپل زامبی ها

کارشناس این سازمان برای مثال عکس هایی از پسر وزیر دفاع سابق آمریکا رو با یک خانم نشون می ده، عکسی از یک مرد مسلح در کوه های افغانستان، یک افغان و دوستانش و یک مظنون در تایلند که همگی با آیفون گرفته شده بودند. همچنین عکسی از یک مقام دولتی یک از کشورهای خارجی که با لباس راحتی روی مبل و جلوی تلویزیون با آیفون از خودش گرفته بود.

یکی از روش های مورد استفاده NSA استفاده از فایل های پشتیبان تلفن های هوشمنده. این فایل ها معمولا شامل لیست شماره تلفن ها، لیست تماس های گرفته شده و متن پیشنویس sms هاست. برای به دست آوردن این فایل ها الزاما نبایست به خود تلفن نفوذ کرد. مطابق اسناد NSA این سازمان با نفوذ به کامپیوترهایی که با تلفن های همراه سینکرونایز می شن هم کارش رو جلو می بره. طبق همین اسناد، کارشناس این سازمان وسیله اسکریت هایی کار تجسس در ۳۸ ویژگی مختلف آیفون های ۳ و ۴ رو انجام می دن. این ویژگی ها شامل نقشه، ایمیل صوتی، عکس ها، گوگل ارث و سیستم پیام رسانی یاهو و فیسبوک می شه.

تحلیلگران این سازمان علاقه خاصی دارند به محل جغرافیایی کاربر و اطلاعاتی که نرم افزارهای مختلف ثبت می کنند. این اطلاعات مکانی برای دوره زمانی زیادی ذخیره می شد تا اینکه اپل در نسخه ۴.۳.۳ سیستم عامل این خطا رو برطرف کرد و دسترسی به اطلاعات مکانی رو به ۷ روز محدود کرد. البته اطلاعات مکانی ثبت شده وسیله دوربین، نقشه ها و فیسبوک، کار NSA رو راحت می کنه.

نفوذ به دژ
ان‌اس‌ای و همکار انگلیسیش جی‌سی‌اچ‌کیو، به یک میزان روی برند دیگه تلفن های هوشمند کار می کنند: بلک بری.

شکسته شدن کدهای بلک بری

شکسته شدن کدهای بلک بری

بلک بری بیشتر تلفن مدیران محسوب می شه تا ابزار تروریست ها و یا افراد مظنون. بازار هدف این برند شرکت هاییست که برای افرادشون تلفن رو می خرن. طبق اسناد NSA برند مورد علاقه گروه های تروریستی نوکیاست. در مقام سوم اپل قرار داره و بلک بری هم مقام نهم رو داره. این سازمان سال هاست که یک کارگروه مخصوص نفوذ به بلک بری تشکیل داده و روی این زمینه فعالیت می کنه.

بر اساس اسناد فاش شده، سال ۲۰۰۹ دو سازمان گفته شده در بررسی اطلاعات بلک بری به مشکل بر خورده اند. دلیل این امر نیز بر اساس شواهد موجود، استفاده کارخانه سازنده از روش جدید فشرده سازی اطلاعات بوده. کمتر از یکسال بعد NSA توانست کد جدید رو بشکنه.

اسناد داخلی این سازمان نشون می ده که برند بلک بری بخش عمده ای از بازارش رو طی سال های ۲۰۰۹ تا ۲۰۱۲ از دست داده. آمار این سازمان می ه میزان استفاده مدیران دولتی آمریکا از بلک بری از ۷۷ درصد به ۵۵ درصد طی این دوره رسیده است. کارشناسان اعلام کرده اند که تلفن های معمولی دارند جایگزین برند بلک بری به عنوان تنها برند تایید شده امنیتی دولتی آمریکا می شوند. سازمان NSA تنها سازمانی است که توانسته به تلفن های بلک بری نفوذ کند.

کارشناسان این سازمان اعلام کردند که می توانند پیام های متنی ارسال شده از بلک بری را ببینند و بخوانند. همچنین می توانند ایمیل های BIS، سرویس اینترنت بلک بری، را جمع آوری و تحلیل کنند. طبق ادعای این کارشناسان، آنها می توانند حتی ایمیل های سرویس داخلی بلک بری BES را نیز ببینند. در این ارائه عکسی از یک ایمیل سازمان دولتی مکزیک برای نمونه ارائه شد با این جمله که “هدف از بلک بری استفاده می کنه؟ خب که چی؟”

اسناد نشان می دهند که این سازمان سال ۲۰۱۲ توانایی نظارت خود را بر بلک بری افزایش داده همچنان که در مورد GSM و CDMA، استانداردهای وایرلس آمریکا و اروپا داشت. البته کار گروه بلک بری همچنان راضی نیست و برای داشتن دسترسی های بیشتر تلاش می کند.

Standard
امنیت

۵ راه برای بیرون رفتن از نگاه ان‌اس‌ای

ان‌اس‌ای همیشه در حال تجسس بوده

ان‌اس‌ای همیشه در حال تجسس بوده

در دوران پسا ان‌اس‌ای به سر می بریم 🙂

البته همه کم و بیش می دونستیم که تحت نظریم ولی تا حالا جدی جدی بهمون نگفته بودن که عمق این نظارت چقدره. حالا که می‌دونیم دیگه دلیلی برای طفره نیست. باید یه فکری برای بیرون رفتن از این وضعیت کرد.

در پست دیگه ای توضیح داده بودم که چطور می شه با استفاده از جیمیل و یک ابزار جانبی، ایمیل امن فرستاد. توی این پست اما فراتر از ایمیل می گم. اینکه گشت و گذارهای اینترنتیمون چطور باشه، چت، تلفن و …

تور Tor
فکر کنم دیگه همه از تور شنیدیم. این ابزار که در نسخه ای از اون یک فایرفاکس پرتابل و هماهنگ هم همراه خودش داره، با کد کردن دیتای خروجی و وردودی و انتقال از طریق افرادی در نقاط دیگه ای از دنیا که بخشی از اینترنتشون رو هدیه کردن به آزادی بیان، ما رو قادر به اینترنت گردی به صورت ناشناس می کنه. تور همچنینی سرویسی به نام “پنهان” داره که اجازه می ده سایت هایی رو راه بندازید بدون اینکه آدرس واقعی اونها لو بره.
لینک

چت محرمانه Off-the-Record – OTR
این ابزار با موارد زیر به شما کمک می کنه که چت های امنی داشته باشید:

  • رمزگذاری: کسی نمیتواند متن چت های شما را بخواند
  • شناسایی: مطمئن می شوید با همان کسی چت می کنید که قصد داشته اید
  • قابلیت انکار: پیام‌هایی که می فرستید امضایی ندارند و قابل ردگیری وسیله شخص سومی نیستند. پس از چت هرکسی می تواند متن را جوری تغییر دهد که گویا از طرف شما ارسال شده با اینحال در زمان چت، دریافت کننده پیام می تواند مطمئن باشد که پیام ها از طرف شما و بدون تغییر به دستش رسیده است.
  • رمزگذاری رو به جلو: با این گزینه حتی اگر کلید خصوصی شما به دست کس دیگه ای بیافته، نمی تونه متن چت های قدیمی شما رو بخونه.

لینک

حلقه ساکت Silent Circle
این سرویس برای ارسال پیام های متنی و صوتی رمزگذاری شده است از کاربر به کاربر. در واقع زمانی که شما پیام رو محل ارسال رمزگذاری کنید دیگه اون بین حتی خود سرویس دهنده هم امکان چک کردن محتوا رو نخواهد داشت. این سرویس روی ویندوز، آیفون، آیپد و اندروید قابل استفاده است.
لینک

تلفن قرمز Redphone
این سرویس هم نرم افزار دیگری است برای ارتباط رمز گذاری شده دوو کاربر. نکته اینکه این نرم افزار با پشتیبانی مالی مالیت دهنده های آمریکایی و سازمان تکنولوژی باز. دولت آمریکا این پروژه را برای کمک به مخالفین حکومت های سرکوبگر خارجی پشتیبانی می کند! نکته اینجاست که برای جلب اطمینان کاربران سایر کشورها، باید نرم افزاری داشت که هیچ حکومتی نتواند جاسوس اش رو بکنه حتی آمریکا 🙂
این نرم افزار متن باز است و محققان و برنامه نویسان مستقل می تونند برای اطمینان، متن اون رو برای صحت ادعاهای سازندگان چک بکنند.
لینک

خارج کردن باتری گوشی
البته این برای خارجی هاست :). طبق گزارش گاردین ان‌اس‌ای نه تنها شماره هایی که باهاشون تماس گرفتیم رو چک می کنه بلکه محل تماس گیرنده رو هم جمع آوری می کنه. در واقع محل نزدیک ترین آنتن تلفن همراه رو ثبت می کنه، چه زمان تلفن کردن و یا حتی بدون اون. متاسفانه راهی برای خلاصی از این مورد وجود نداره چون سرویس دهنده های تلفن همراه باید بتونن محل شما رو شناسایی کنن تا امواج رو براتون بفرستن وقتی کسی باهاتون تماس گرفت. پس تنها راه خاموش کردن تلفنه و اگر پارانویا دارید می تونید باتری گوشیتون رو هم در بیارید یا بذاریدش خونه.

منبع

Standard