حافظههاي فلش در حال آلوده کردن رايانههاي کل کشور هستند/گسترش ويروس مرگبار
سلام
احساس كردم خبر مهميه به خاطر همين تو صفحه اصلي گزاشتم تا بيشتر ديده بشه و احتياط هاي لازم انجام بشه
--------------------------------------------
انتشار سريع ويروسي رايانهاي موسوم به RootKit.T mpHider موجبات نگراني جدي تحليلگران امنيتي در کشور را فراهم آورده است.
به گزارش عصر ارتباط، طي هفتههاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموششدن ناگهاني دستگاهها به گوش ميرسيد. گمانهزنيها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتيويروسهاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايتها در وبلاگها و اجتماعات مجازي فارسيزبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحيشده يا دستکم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.
نشانههاي عجيب
ردگيري مجموعه اين اخبار پراکنده در نهايت نگاهها را متــوجه انجمن ايـنتـــرنتي گريــنوي بـــا آدرس greenway.ir کرد که در يکي از نوشتههاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايلهاي سيستم داده و نوشته است: «طي روزهاي اخير گزارشهاي زيادي از كار نكردن برنامهها توسط توليدكنندگان نرمافزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامهها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفتهايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بودهاند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستمها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.
اين انجمن فني در نوشته ياد شده از ويژگيهاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روالهاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نميدهد. ثانيا فايلهاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.
در پايان اين نوشته وعده مکاتبه با شركتهاي امنيتي متخصص در زمينه ويروسها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروسكشهاي معروف اضافه شود. وعدهاي که در نهايت ما را به سايت ويروسکش تازهوارد VBA32 رساند.
ويروس پولساز
ويروسکش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروسکش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي پايي هم در بازار نرمافزاري ايران براي خود باز کرده است.
سايت ايراني اين ويروسکش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.»
در اين سايت ادعا شده mpHider براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستمها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.
RealTek همان غول صنايع نيمههادي تايوانيهاست که کارتهاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گستردهاي از تلويزيونهاي ديجيتالي تا تجهيزات شبکه را شامل ميشود.
ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازهوارد کرده و در همين سايت لينک شناسايي و پاکسازي اين ويروس هم ارايه شده است.
گسترش سريع
تماس با عباس گنجخاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارشها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست ميدهد.
مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته ميشود تا مانع ديدهشدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتيويروس علاوه بر حذف روتکيت ياد شده رجيستري را هم اصلاح ميکند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام ميدهد اصلاح اين بخش هم ضروري است.»
او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروسشناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راهاندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال ميشود.»
به گفته گنجخاني تا کنون دستکم 30 درصد رايانههاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بودهاند و با توجه به اين نکته که اين ويروس از طريق حافظههاي فلش منتقل ميشود و استفاده از اين حافظهها در ايران بسيار رايج است احتمال گستردهتر شدن ابعاد آلودگي هم ميرود.
او ضمن اشاره به اين نکته که حتي نمونههايي از اين آلودگي در رايانهها و حتي سرورهاي بانکهاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظههاي فلش را ندارند وجود mpHider روي اين دستگاهها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز ميکند که مشخص بشود اين ويروس يا نسخههاي جديدتر آن علاوه بر حافظههاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جديتري خواهد شد.»
انتشار ويروسی خطرناک به نام Rootkit.T mpHider
انتشار ويروسی خطرناک به نام Rootkit.TmpHider
آزمايشگاه آنتيويروس VBA32خبر از انتشار يک روتکيت جديد و خطرناک به نام RootKit.T mpHider بر روي سيستمهاي کامپيوتري داد. اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.
اين ويروس که براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است، ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Pageو Reset شدن سیستم ها را بر روی کامپیوترهای آلوده شده بوجود بیاورد.
از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش آزمايشگاه آنتيويروس VBA32 در ايران، اين ويروس داراي امضاي Realtek است. اگر اين موضوع صحت داشته باشد و اين شرکت نتواند براي مقابله با آن اقدامي نمايد، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جدید خواهد بود.
براي شناسايي و پاکسازي اين ويروس ميتوانيد از نرمافزارهاي رايگان VBA32 Check و VBA32 Rescue از نشاني
کد:
http://www.vba32-ir.com/download.htm
استفاده نماييد.
همچنین شرکت VirusBlockAda، برنامه کاربردی را صرفا جهت پاک سازی این ویروس ارایه داده است که می توانید آنرا از لینک زیر دریافت نمایید.
کد:
http://www.vba32-ir.com/virusnews4.htm
بد نیست به این آدرس یه سر بزنید
http://www.asreertebat.com/1389/4/19/AsreErtebat_weekly/364/Page/26/
رایانههای ایرانی در معرض تاخت و تاز یک ویروس
رایانه های ایران مورد هجوم شدید کرم خطرناک رایانه ای به نام Stuxnet قرار گرفته اند که تلاش می کند اطلاعات سیستمهای کنترل صنعتی را به سرقت برده و آنها را بر روی اینترنت قرار دهد. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب مورد هجوم قرار گرفته اند.
بر اساس اطلاعات جمع آوری شده توسط شرکت “سایمنتک” در حدود ۶۰ درصد از سیستمهای رایانه ای که به این ویروس آلوده شده اند در ایران قرار دارند. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب که به Stuxnet شهرت دارد مورد هجوم قرار گرفته اند.
به گفته “الیاس لووی” مدیر ارشد فنی بخش “پاسخگویی ایمنی سایمنتک” با توجه به تاریخ نشانه های دیجیتالی که از این کرم رایانه ای به جا مانده، می توان گفت این نرم افزار از ماه ژانویه سال جاری میان رایانه ها در گردش بوده است.
Stuxnet ماه گذشته توسط شرکتی به نام VirusBlockAda که اعلام کرد نرم افزاری را بر روی سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه های بزرگ تولیدی و صنعتی مورد استفاده قرار می گیرد بوده و تلاش می کند اسرار صنعتی رایانه های این کارخانه ها را بر روی اینترنت بارگذاری (Upload) کند.
به گزارش خبرگزاری مهر، سایمنتک اعلام کرده نمی داند چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی های ویروسی قرار دارند. به گفته لووی تنها می توان گفت افرادی که این نرم افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده اند.
زیمنس تعداد مشتریان خود را در ایران را اعلام نمی کند اما به تازگی اعلام کرده دو شرکت آلمانی به واسطه این ویروس آلوده شده اند. نرم افزار آنتی ویروس رایگانی که طی چند روز گذشته بر روی وب سایت زیمنس قرار گرفته تا کنون هزار و ۵۰۰ بار دانلود شده است.
سایمنتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانه ای به سوی رایانه های خود جمع آوری کرده است. طی دوره ای سه روزه رایانه هایی که در ۱۴ هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان می دهد تعداد کمی از رایانه های خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانه های آلوده می تواند در حدود ۱۵ تا ۲۰ هزار باشد زیرا بسیاری از شرکتها برای چند رایانه یک آدرس IP در نظر می گیرند.
به این دلیل که سایمنتک می تواند آدرسهای IP مورد استفاده سیستمهای رایانه ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، می تواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت رایانه های آلوده شده به سازمانهای متعددی تعلق داشتند که از نرم افزار و سیستمهای SCADA استفاده می کردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا می کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا می کند، کدهای آن به جستجوی سیستمهای زیمنس گشته و خود را بر روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.
winbeta.net
ویروس استاکسنت ایران و آمریکا را هدف قرار داده است/جاسوس یا تروریست
انتشار گزارشاتی جدید درباره ویروس استاکسنت نگرانی های امنیتی درباره این ویروس را افزایش داده است.
به گزارش هفتهنامه عصر ارتباط، پس از دو هفته گمانهزنیهای مداوم درباره هویت ویروس منتشر شده جدید در میان کاربران ایرانی سرانجام مجله معتبر بیزینسویک از طراحی این ویروس با قصد استخراج اطلاعات صنعتی ایران خبر داد. به نوشته این مجله گزارش اخیر سیمانتک، غول راهحلهای امنیتی جهان، حاکی از آن است که نزدیک به 60 درصد رایانههای و دستگاههای هوشمند آلوده شده این ویروس در داخل ایران قرار دارند و هند و اندونزی با اختلافی قابل توجه جزو سایر کشورهایی هستند که تهدید این جاسوسی صنعتی را احساس میکنند.
تاکنون مارک لوي یکی از مقامات ارشد سیمانتک تاریخ امضاهای جایگذاری شده در این ویروس که به نام استاکسنت (Stuxnet) شهرت یافته است را حدود ژانویه سال گذشته اعلام و تاکید کرده است هرچند هیچ نشانهای از انگیزه واقعی طراحان این ویروس در دست نیست ولی بدیهی است با توجه به آلودگی شدید کشورهایی مانند ایران به استاکسنت طراحان آن دستکم به وضوح یک منطقه جغرافیایی خاص را مد نظر داشتهاند.
به گفته مقام یاد شده در سیمانتک نقش این حقیقت را هم که کاربران ایرانی چندان به استفاده از ویروسکشها خو نگرفتهاند در گسترش سریع این ویروس در ایران نمیتوان نادیده گرفت.
اسرار صنعتی
مطابق گزارش سیمانتک استاکسنت که اولین بار توسط آنتیویروس گمنام VBA32 کشف شده به محض ورود به رايانه فایلهای اسکادا که متعلق به شرکت آلمانی زیمنس است را جستجو میکند و میکوشد محتویات این فایلها را به سرور مورد نظر خود بفرستد. فایلهای اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرمافزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب میآیند و از همین رو حاوی جزيیات حیاتی از مجتمعهای تولیدی و تحقیقاتی موجود در ایران هستند.
زیمنس تا کنون درباره تعداد مشتریانش در ایران و به تبع آن حجم آلودگی سیستمهای آنها به استاکسنت سکوت اختیار کرده ولی دستکم تایید کرده است که دو دفتر آلمانی در ایران به استاکسنت آلوده شدهاند و یک ابزار نرمافزاری رایگان برای شناسایی این ویروس که روی سایت زیمنس قرار داشته ظرف کمتر از یک هفته بیش از یک هزار و 500 بار دریافت شده است که طبیعتا بخش عمدهای از آن را کاربران ایرانی تشکیل دادهاند.
همانگونه که انتظار میرفت و در مقاله بیزینسویک هم مورد اشاره قرار گرفته سکوت زیمنس درباره حجم آلودگی سیستمهایش در ایران ناشی از فشار دور جدید تحریمهای ایالات متحده و شورای امنیت در ایران است. به ویژه که در ابتدای سال 2010 زیمنس در یک مانور رسانهای اعلام کرد دفتر خود را در ایران که بیش از 290 کارمند و درآمدی بالغ بر 563 میلیون دلار در سال دارد( گزارش سال 2008 والاستریت ژورنال) تعطیل خواهد کرد. وعدهای که اکنون با انتشار استاکسنت بار دیگر مورد توجه رسانهها و مقامات غربی قرار گرفته است.
شیوه سیمانتک برای بررسی سطح آلودگی استاکسنت در ایران هم در نوع خود قابل توجه است چراکه این شرکت توانسته حجم ترافیک ارسالی به سرورهای این ویروس را به سمت دامنه خودش هدایت کند که نقش قابل توجهی در اطلاعات دقیق این غول امنیتی درباره ویروس یاد شده دارد. در این فرآیند حدود 14 هزار IP مختلف تلاش کردهاند خود را ظرف سه روز به سرور ساختگی سیمانتک متصل کنند که هرچند مطابق شکل شماره دو قسمت عمدهای از آنها ایرانی هستند ولی با این وجود خود کارشناسان سیمانتک معتقدند این فقط شمار ناچیزی از تعداد کل دستگاههایی است که به این ویروس خاص آلوده شدهاند. دلیل این استدلال سیمانتک هم کاملا مشخص است چراکه تعداد زیادی از شرکتهای ایرانی و حتی خارجی تمامی دستگاههای موجود در شبکهشان را تحت یک پروتکل اینترنتی با همان IP واحد به اینترنت متصل میکنند. به همین دلیل تخمینهای سیمانتک نشان میدهد دستکم بین 15 تا 20 هزار دستگاه به استاکسنت آلوده شده باشند که حدود 60 درصد آنها ایرانی هستند.
وبـلاگ رسمی سیمانتک در پورتال blogspot.com تایید کرده است که اکنون کارشناسان سیمانتک هم میتوانند مانند طراحان ویروس IPهای شرکتهای آلوده شده را ببینند و همانگونه که انتظار میرود در میان آنها اسامی شرکتهایی به چشم میخورد که از سیستمهای اسکادای زیمنس استفاده میکنند.
ویروسشناسی
استاکسنت همانطور که در گزارش پربازخورد عصر ارتباط (مورخ 29 تیرماه-پست اول تاپيك) هشدار داده شده بود از امضای دیجیتالی شرکت قدیمی و سرشناس Realtek استفاده میکند که به سبب محصولات صوتیاش در ایران بسیار شناخته شده است و از طریق USB هم تکثیر میشود. اخبار اولیه درباره این ویروس توسط کارشناسان لابراتوار VBA32 به دست عصر ارتباط رسید و در آن تاکید شده بود استفاده از آنتیویروس برای خنثیکردن فعالیتهای استاکسنت ضروری است. هرچند در آن زمان هنوز از کارکرد اصلی آن به عنوان یک ابزار جاسوسی صنعتی، اطلاعاتی در دسترس نبود.
با اندکی تاخیر نسبت به VBA32 و سیمانتک، کارشناسان کمپانی ESET هم به عنوان صاحبان برند تجاری بسیار پرفروش آنتیویروس NOD32 هم به استاکسنت واکنش نشان دادهاند و با انتشار گزارشی نام کامل این ویروس را Win32/Stuxnet اعلام کرده و با تایید آنکه ویروسکشهای این شرکت آن را تحت عنوان LNK/Autostart.A شناسایی و خنثی میکنند آن را ناشی از یک نقص نرمافزاری در پوسته ویندوز دانسته است.
مایکروسافت هم در اولین واکنش به مساله همهگیر شدن استاکسنت بار دیگر تاکید کرده که وصله امنیتی لازم در این خصوص منتشر شده ولی درباره دستگاههایی که به این ویروس آلوده شدهاند گفته است حتی با نصب این وصله نرمافزاری هم باز مشکل به صورت موقتی رفع خواهد شد. آدرس کامل این وصله امنیتی را میتوانید در وبلاگ برخط عصر ارتباط به آدرس Online.asreertebat.com مشاهده کنید.
ESET بر خلاف سیمانتک قسمت عمدهای از فعالیت ویروس را از آمریکا میداند (58 درصد) و تنها 30 درصد حضور ویروس را متعلق به دستگاههای ایرانی اعلام کرده است که پس از ایران، روسیه هم با سهمی چهار درصدی از استاکسنت در رتبه سوم قرار گرفته است. لابراتوار شرکت ESET همچنین قسمت عمده خطر انتشار استاکسنت را متوجه زیرساختهای صنعتی کشور، به عنوان مثال صنایع بخش نیرو میداند و تاکید میکند به این ترتیب کاربران خانگی چندان در معرض تهدیدات ناشی از این ویروس نیستند. هنوز مشخص نیست چه چیزی غیر از ماجراهای هستهای اخیر، صنایع آمریکا، روسیه و ایران را به یکدیگر ارتباط میدهد.
یکی از نکات عجیب در گزارش لابراتوار ESET جزيیاتی است که این شرکت درباره نحوه انتشار استاکسنت به آنها آشاره کرده است. به گفته یوراه مالکو رییس لابراتوار ESET در براتیسلاوای اسلواکی، این ویروس به محض ورود به فضای سیستم عامل ویندوز بررسی میکند که رایانه مورد نظر در قلمرو ایالات متحده قرار گرفته است یا خیر. در صورت منفی بودن این پرسش ویروس به صورت خودکار نرخ تکثیرش را کاهش میدهد که نشان میدهد طرحان ویروس علاقهمند نیستند این ویروس در سایر نقاط جهان نمود چندانی داشته باشد. شاید ما هم اکنون شاهد نسل جدیدی از تروریسم رایانهای باشیم.
وقتی هدف وسیله را توجیه نمی کند
زیمنس به عنوان بزرگترین گروه صنعتی اروپایی، نماد جریان اخلاقی یا در واقع ضداخلاقی مدرنی است که اروپاییان در تجارت پس از جنگ جهانی دوم از آن پیروی میکنند.
در این دستورالعمل اخلاقی جدید شرکتهای اروپایی در رقابت با برتری ایالات متحده در بازار بینالملل و رشد سرسامآور صنعت چین میکوشند فارغ از ملاحظات سیاسی، انسانی و اخلاقی در تعریفی جدید از لیبرالیسم اقتصادی در بازارهای جدید نفوذ کنند و در این راه دیگر واهمهای از قواعد بینالمللی، تاثیرات مردمی و محیطی اقدامات خود یا حتی جهتگیریهای بعضا متضاد ندارند؛ فاجعه زیستمحیطی بریتیش پترولیوم در خلیج مکزیک، قتل عام کارگران الماس به دست کمپانی دو بیرز در آفریقا و سیاست یک بام و دو هوای زیمنس در سیاست خارجی ایران هم همگی مثالهایی از این دست هستند.
زیمنس ابتدای سال گذشته در حالی اعلام کرد خود و تمامی شاخههای تجاریاش مانند نوکیا زیمنس را در واکنش به تحریمها از ایران جمع خواهد کرد و خواهد رفت که آخرین تخمینها سود سالیانه این کمپانی از قراردادهایش در ایران را نزدیک به 700 میلیون دلار در سال نشان میداد و این شرکت را به بزرگترین شریک خارجی صنعت ایران پس از شرکتهای نفتی تبدیل میکرد. جالب آنکه تنها چند ماه پیش مشخص شده بود که کنسرسیوم مشترک این شرکت با نوکیا از سال 2008 مشغول فروختن تجهیزات بازرسی عمیق دادهها یا DPI به دولت ایران بوده است. معاملهای که نشان میداد این شرکت اساسا به مسایل داخلی یا خارجی سیاسی ایران حساس نیست و این پرسش را پیش آورد که چرا فقط وقتی بحث مجهز کردن صنایع ایران پیش میآید این شرکت ژست خروج از کشور را میگیرد؟
در جریان ویروس تازه ظهور استاکسنت هم بار دیگر زیمنس این رنگ عوض کردن را منفعتطلبانه به رخ کشیده است. سکوت این شرکت در برابر انبوه کاربران آلوده شده به این ویروس که بسیاری از آنها را مراکز حیاتی، زیرساختی و امنیتی کشور تشکیل میدهند هم نشان میدهد این شرکت هنوز به دنبال سلب مسوولیت در برابر مشتریان ایرانی خود است. اینکه فایلهای اطلاعاتی زیمنس منبع این خطر امنیتی جدی هستند تاکنون به هیچ وجه از سوی مقامات زیمنس در داخل کشور توضیح داده نشده و تا به حال هم هیچ فراخوان یا حتی هشداری برای رفع این حفره نرمافزاری در ایران اعلام نشده است. پرسشهایی مانند اینکه چرا باید 60 درصد دستگاههای آلوده شده زیمنس در ایران باشند یا این سوال که تا چه سطحی از حریم اطلاعاتی کشور در پی این جریان خدشهدار شده است هم همچنان بدون پاسخ باقی ماندهاند.
حوادثی از این دست نه تنها لزوم توسعه مفاهیمی مانند پدافند غیرعامل و زیرساخت نرمافزاری بومی را بار دیگر خاطرنشان میکنند بلکه بار دیگر به ما گوشزد میکنند گاهی اوقات استفاده فناورانه از بیگانگان در زیربنای امنیتی کشوری تا چه حد میتواند خطرآفرین باشد.
asreertebat.com
برای آمریکا آلودگی دستگاه های ایران به استاکسنت مهم نیست/مایکروسافت کاری نمی کند
مایکروسافت اعلام کرد فعلا برای نقص امنیتی اش که منجر به انتشار ویروس استاکسنت شده وصله نرم افزاری ارایه نخواهد کرد.
به گزارش عصر ارتباط، پس از هفتهها انتظار سرانجام مایکروسافت آب پاکی روی دست کاربران خود ریخت و برخلاف انتظارات عمومی اعلام کرد اساسا حاضر نیست با ایجاد تغییرات در سیاستهای نرمافزاری خود یک بسته اضطراری جدید برای مقابله با ویروس استاکسنت ارايه کند.
این تصمیم در نوع خود بیسابقه محسوب میشود زیرا مایکروسافت که سابقهای طولانی در نقض سیاستهای از پیش تعیین شده خود موسوم به «تصمیمات سهشنبههای آخر هر ماه» دارد و بعضا پیش آمده که در سهشنبه اول ماه اقدام به ارايه برنامه نرمافزاری جدید جهت رفع نقصهای موجود مثلا در نسخههای اینترنت اکسپلورر کند. اما این بار سخت و محکم از سیاستهای تغییرناپذیر خود سخن گفت و بدون توجه به امنیت مجازی کاربرانی که وابسته به سیستم عاملاش هستند، از آنها خواست صرفا به نسخههای جدیدتر مجهز شوند تا آسیب نبینند. این در حالی است که اقدامات اولیه این شرکت برای رفع این مساله این خوشبینی را در بسیاری از کارشناسان و کاربران ایجاد کرده بود که بالاخره آنها تنها نیستند و غول بزرگی مثل مایکروسافت محصولاتاش را به حال خود رها نمیکند.
تنهاتر از همیشه
استاکسنت که اولین بار توسط آنتیویروس گمنام VBA32 کشف شد به محض ورود به رايانه، فایلهای اسکادا را که متعلق به شرکت آلمانی زیمنس است، جستجو میکند و میکوشد محتویات این فایلها را به سرور مورد نظر خود بفرستد. فایلهای اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرمافزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب میآیند. کارشناسان تاریخ انتشار این ویروسها را ژانویه سال گذشته میدانند و هنوز گمانهزنیها برای کشف انگیزه واقعی طراحان آنها به جایی نرسیده است. آنها معتقدند عدم آشنایی بیشتر کاربران با راهکارهای مقابله با آن باعث شده است که هر روز تعداد بیشتری از رایانهها به این ویروس آلوده شوند.
مایکروسافت ماه گذشته به کاربران خود درباره حفرههای موجود در سیستمهای عامل خود هشدار داده بود و در ابتدا نیز حتی یک مکانیسم خودکار خاص برای مقابله با این ویروس ارايه کرد اما این مکانیسم برای بسیاری از کاربران نه فقط کمکی نمیکرد بلکه باعث زحمت آنها میشد زیرا در توصیف این برنامه که در سایت دانلود برنامههای مایکروسافت قرار داشت، SP2 و SP3 در یک طبقه قرار گرفته بودند که این مساله باعث سردرگمی بیشتر کاربران شد. هرچند مسوولان مایکروسافت این مشکل را رفع کردند اما سردرگمی همچنان به قوت خود باقی ماند.
بسیاری از کاربران مایکروسافت انتظار داشتند مایکروسافت آنها را در این شرایط تنها نگذارد و حتی با تغییر در سیاستهای نرمافزاری خود راهی پیش روی آنها بگذارد. کارشناسان نیز در این مدت مدام در پی اخباری بودند که از عزم مایکروسافت برای مقابله با این بحران خبر بدهد. اما همه این امیدها با اظهارات سخنگوی مایکروسافت نقش بر آب شد.
نقش بر آب
کریستوفر باد سخنگوی مایکروسافت در نشستی گفت: «با صراحت اعلام میکنم که تولید هیچ نسخه جدیدی برای ویندوز XP SP2 در برنامه مایکروسافت وجود ندارد.» او در ادامه برای توجیه این موضع جدید ادامه داد: «مایکروسافت XP SP2 و حتی نسخه قدیمیتر ویندوز 2000 را در 13 جولای از بسته پشتیبانی خود حذف کرده است. یعنی زمانی که زمان حضور آنها حتی در فهرست تمدیدشده پنج سال آخر نیز به اتمام رسید.» او کاربران را به قوانین مایکروسافت ارجاع داد که براساس آنها، محصولاتی که از فهرست پشتیبانی تمدیدشده حذف میشوند دیگر مشمول هیچ خدمات نرمافزاری امنیتی یا غیرامنیتی که عمدتا از طریق سیستم خدمات بهروزرسانی اتوماتیک و مکانیزمهای دیگر ارايه میشوند، قرار نمیگیرند.
ویروس استاکسنت که بنابر آخرین گزارشات منتشره از سوی شرکت امنیتی سیمانتک نزدیک به یکصد هزار دستگاه را در ایران آلوده کرده است ( 60 درصد از کل میزان آلودگی در جهان) از طریق درگاه USB منتقل میشود و در صورت دسترسی به اطلاعات یک فایل SCADA تلاش میکند که از طریق اتصال خود به اینترنت اطلاعات این فایلها را به سرور خود انتقال دهد. شائبه اصلی درباره این ویروس با توجه به این مکانیسم کارکردی آن، احتمال جاسوسی صنعتی به ویژه از نیروگاهها و طرحهای مبتنی بر انتقال و تولید انرژی است.
تمرکز این آلودگی در دستگاههای ایران و سهم تنها شش درصدی خود ایالات متحده را میتوان از مهمترین دلایل بیانگیزگی مایکروسافت برای تعجیل در ارایه وصله نرمافزاری مورد انتظار دانست.
اخلاق حرفهای
اکنون سوالی که در ذهن کاربران و کارشناسان شکل گرفته، این است که تکلیف کاربرانی که همچنان از SP2 استفاده میکنند، چیست؟ واقعیت امر این است که مایکروسافت در مواجهه با این سوال تلاش کرده است با ارايه پاسخ های دوپهلو عبور کند. تاکنون مایکروسافت هیچ اقدامی در این زمینه نکرده و همین مساله بیش از هرچیز باعث سرخوردگی کاربران شده است. آنها اکنون خود را در هنگامه یک بحران میبینند. چراکه بسیاری از کاربران هستند که هنوز تصمیم دارند همچنان از XP SP2 استفاده کنند. در این شرایط کاربران تنها چند گزینه بیشتر پیش رو ندارند، یا اینکه هیچ حرکتی برای تغییر سیستم عامل خود انجام ندهند و صرفا از گزینه اولیه مایکروسافت برای حل مشکل استفاده کنند که عملا کار دشواری است یا یک یک ابزار جدید نصب کنند که مانع از اجرای این ویروس شود. این ابزار موسوم به «ابزار آزاد سوفوس» است که در ویندوز ایکس پی SP2 اجرا میشود اما در ویندوز 2000 قابل اجرا نیست و این کار را برای کاربرانی که از ویندوز 2000 استفاده میکنند، سختتر میکند.
شرایطی از این دست و موضعگیری مایکروسافت به عنوان یکی از غولهای بزرگ باعث شده است که بحث جدیدی در مورد اخلاق حرفهای غولهای بزرگ در میان کارشناسان شکل بگیرد که در روزهای آینده شدت خواهد گرفت. اینکه چگونه مایکروسافت تصمیم گرفته است به راحتی از کنار این مساله بگذرد بیشک میتواند متاثر از شرایط مختلف اقتصادی و سیاسی باشد. از همین اکنون کارشناسان به کاربران توصیه کردهاند با اتخاذ تدابیر پیشگیرانه مانع از بروز مشکلاتی از این دست باشند. رفع این مساله این خوشبینی را در بسیاری از کارشناسان و کاربران ایجاد کرده بود که بالاخره آنها تنها نیستند و غول بزرگی مثل مایکروسافت محصولاتاش را به حال خود رها نمیکند.
هنوز برآوردي از ميزان آلودگي سيستمهاي صنعتي به کرم جاسوس استاکسنت نداريم!
معاون برنامهريزي وزير صنايع با اشاره به ورود كرم جاسوس به سيستمهاي صنعتي كشور، از تشكيل تيم مشتركي از وزارتخانههاي صنايع و ارتباطات جهت مقابله با اين كرم خبر داد و گفت: واحدهاي صنعتي براي حفاظت از اطلاعات توليديشان بايد از اتصال رايانههاي خود به اينترنت جلوگيري كنند.
محسن حاتم در گفتوگو با فارس، اظهار داشت: حمله كرم جاسوس به سيستمهاي صنعتي كشور به تأييد رسيده ولي اين موضوع كه چقدر از سيستمهاي صنعتي به اين كرم آلوده شدهاند، در دست بررسي است.
وي با بيان اينكه هنوز برآوردي از ميزان آلودگي سيستمهاي صنعتي به اين كرم جاسوس نداريم، تصريح كرد: راههاي مختلفي براي مبارزه با اين كرم وجود دارد و به اين منظور تيمي متشكل از كارشناسان وزارتخانههاي صنايع و ارتباطات تشكيل شده است.
حاتم ادامه داد: انتقال كرم جاسوس از طريق شبكههاي اينترنتي و پرتهاي قابل حمل صورت ميگيرد و رايانههاي صنعتي مقصد اصلي حمله اين ويروس بودهاند.
وي با بيان اينكه كامپيوترهاي صنعتي وظيفه كنترل سيستمهاي صنعتي را بر عهده دارند، تأكيد كرد: اين نوع سيستمها نبايد به هيچ عنوان به اينترنت متصل شوند هرچند ممكن است كرم جاسوس از روشهاي ديگر مانند فلش و يا سي.دي به سيستمها منتقل شده باشد.
وي افزود: سروري كه در اتاق كنترل يونيت يك كارخانه صنعتي وجود دارد نبايد به هيچ عنوان اتصالي به اينترنت و يا حتي شبكههاي داخلي داشته باشند.
معاون برنامه ريزي وزير صنايع تصريح كرد: اگر سيستمي با اينترنت ارتباط داشته و مورد حمله كرم جاسوس قرار گرفته است، بايد سريعا مورد بازبيني و رفع مشكل قرار گيرد.
وي در پاسخ به اين سؤال كه با توجه به پيشرفته بودن كرم جاسوس حمله كننده به سيستمهاي صنعتي ايران، آيا امكان مقابله با اين كرم به راحتي امكانپذير است؟ افزود: در گذشته كرمهاي پيشرفتهتر از اين نيز به سيستمهاي صنعتي كشور حمله ور شدهاند كه مقابله با آنها صورت گرفته است.
وي تأكيد كرد: متخصصين حوزه نرمافزار در ايران از قابليتهاي بالايي برخوردارند و ميتوانند با كرم جاسوس حمله كننده مقابله كنند.
حاتم ادامه داد: واحدهاي صنعتي بايد اقدامات امنيتي لازم را در خصوص حفظ اطلاعات خود انجام دهند و به همين دليل هيچ يك از رايانههاي صنعتي نبايد در تماس با اينترنت باشند.
itna.ir
