Security News : اخبار و هشدارهاي امنيتي

[Iloveu-ALL]

اینترنت - به عقیده غربی ها حملات ارتش الکترونیکی سوریه SEA را پسر دایی اسد مدیریت می کند.

دو سالي است كه ارتش الكترونيكي سوريه با هدف حملات سايبري عليه رسانه هاي دروغ پرداز غربي فعاليت خود را آغاز كرده است. ارتش طرفدار اسد مي گويد هر رسانه اي كه دروغ پردازي عليه حكومت بشار اسد كند را مورد حمله قرار مي دهد.
در اين ميان حمله با شبكه تلويزيوني الجزيره، بي بي سي، فرانس 24، راديو ملي امارات، اكانت توئيتر سب بلاتر رييس فيفا، هك اكانت سي بي اس در توئيتر، هك اكانت آسوشيتدپرس در توئيتر و شايعه بمب گذاري در كاخ سفيد كه باعث افت 143 واحدي شاخص دائو جونز در بورس نيويورك شد؛ همه و همه كار اين ارتش و هكرهاي طرفدار بشار اسد است كه به كار خود ادامه مي دهند. حمله به اكانت هاي گاردين نيز فصل ديگري از اين حملات است كه با ارسال ايميل هاي فيشينگ و ترغيب كارمندان به كليك روي هايپرلينك ها انجام شده و برخي اكانتها مانند Guardianbooks و guardiantravels‌ و guardianfilm هك شده اند.
غربي ها معتقدند پشت همه اين داستان ها مديريت رامي مخلوف است كه توانسته چنين حملاتي را عليه رسانه هاي غربي مديريت كند.
رامي مخلوف مالك اصلي سيرياتل بزرگترين شركت تلفن همراه سوريه است و گفته مي شود 60 درصد اقتصاد سوريه در دستان وي است و هيچ شركت خارجي بدون اجازه وي نمي تواند در سوريه فعاليت كند.
رامي مخلوف به گفته غربي ها نقش پراكسي را براي بشار اسد بازي مي كند.
ماموران اطلاعاتي غرب مطمئن شده اند كه Syrian Electronic Army را رامي از داخل و خارج سوريه هدايت مي كند و با توجه به افزايش بي سابقه حملات سايبري اين ارتش به رسانه هاي غربي شكي باقي نمي ماند كه حملات سايبري از دو نقطه هدايت مي شود.
غربي ها مي گويند رامي با راه اندازي دفتري در دبي در ازاي هك سايتهاي غربي بين 500 تا 1000 دلار جايزه مي دهد و اين كار مي تواند از سوي هكرهايي كه با هدف مالي دست به اين كار مي زنند، انجام شود.
از سوي ديگر SEA داخل سوريه نيز كاملا فعال بوده و حملات اصلي از جانب اين ارتش عليه رسانه هاي غربي شكل مي گيرد.
با توجه به متن هاي بر جاي گذاشته از سوي ارتش الكترونيكي سوريه، مشخص است كه آنها رسانه هايي را مورد هدف قرار مي دهند كه دست به دروغ پردازي عليه بشار اسد دست مي زنند.
مديران گاردين مي گويند متوجه هك شدن چندين اكانت خود شده اند و در حال رفع مشكل هستند.


khabaronline.ir

[tanha.2011]

ایتنا- این بی‌اعتمادی تا بدان حد است که برخی کاربران از مراجعه و استفاده از سایت‌هایی که امنیتشان فقط متکی به یک پسورد است، امتناع می‌کنند.



مطالعات و برآوردهای پژوهشگران امنیتی نشان می‌دهد بخش زیادی از مصرف کنندگان و کاربران اینترنت اعتماد چندانی به گذرواژه‌ها و امنیت آن‌ها ندارند.


به گزارش ایتنا از همکاران سیستم به نقل از وب سایت eweek، نتایج پژوهش‌های شرکت نوک نوک (Nok Nok) که یکی از عرضه کنندگان نوپای فناوری‌های احراز هویت در آمریکا است، نشان می‌دهد که حدود دوسوم از مصرف کنندگان آمریکایی استفاده از گذرواژه‌ها را خسته کننده می‌دانند و در عین حال معتقدند استفاده از آن‌ها امنیت بالایی را به همراه نمی‌آورد.

در این مطالعه که در میان دو هزار نفر از شهروندان آمریکا انجام شده است، دو‌سوم از پاسخگویان از مراجعه به وب سایت‌هایی که امنیت آن‌ها متکی به گذرواژه‌ها است، ابراز نارضایتی کرده‌اند و نیمی از آن‌ها نیز گفته‌اند به این وب سایت‌ها اعتماد ندارند. حدود یک‌سوم از پاسخگویان نیز گفته‌اند از مراجعه به وب سایت‌هایی که فقط متکی به گذواژه هستند، خودداری می‌کنند.

استفاده از گذواژه‌ها یکی از رایج‌ترین راهکار‌ها برای تامین امنیت در محیط اینترنت است، اما در عین حال بسیار دردسرساز است. بسیاری از افراد از گذرواژه‌های ضعیف استفاده می‌کنند و کسانی هم که از گذواژه‌های قوی استفاده می‌کنند، پیوسته نگران فراموش کردن آن هستند و به همین خاطر در جاهای مختلف از یک گذواژه استفاده می‌کنند.

مطالعه جداگانه‌ای که چندی قبل بر روی گذرواژه‌های لورفته کاربران پایگاه‌های Sony Picture و Yahoo Voice انجام شد نشان داد که ۶۰ درصد از این کاربران برای ورود به این دو پایگاه از یک گذواژه استفاده کرده بودند.

مطالعه دیگری نیز نشان داده است که اکثر مصرف کنندگان آمریکایی هر کدام حداقل پنج گذواژه دارند و حدود یک‌سوم از مصرف کنندگان نیز بیش از ۱۰ گذواژه دارند.
مطالعه شرکت پونمون نیز نشان داده است که علاقه کاربران به راهکارهای احراز هویت چند عاملی در حال افزایش است.

این شرکت با انجام مطالعه‌ای در کشورهای آلمان، بریتانیا و آمریکا دریافت که نیمی از پاسخگویان آمریکایی علاقمندند از اعتبار نامه‌های هویتی چندکاره استفاده کنند تا با امنیت بیشتری وارد برخی پایگاه‌ها و وب سایت‌های اینترنتی شوند.

۶۲ درصد بریتانیایی‌ها و ۴۵ درصد آلمانی‌ها نیز نسبت به استفاده از این روش ابراز علاقه کرده بودند. اعتبارنامه‌های هویتی به فناوری‌هایی مثل کارت‌های هوشمند و یا نرم افزارهای همراهی گفته می‌شود که هویت کاربران را تایید می‌کنند.

این اعتبار نامه‌ها چیزی را که کاربران دارند (مثل کارت هوشمند یا نرم افزار‌ها همراه و یا هر وسیله دیگری) با چیزی که آن‌ها می‌دانند (مثل یک گذواژه یا پاسخ یک سوال) ترکیب کرده و بدین وسیله هویت آن‌ها را تایید می‌کنند.

[tanha.2011]

ایتنا - اگرچه -- شدن حساب کاربری خبرگزاری آسوشیتدپرس شبیه به یک حادثه بوده است اما متاسفانه باید پذیرفت که اینگونه حوادث در همه جای دنیا و البته سازمان‌های مهم کم اتفاق نمی‌افتد.



حتماً به خاطر دارید، هفته گذشته حساب کاربری خبرگزاری آسوشیتدپرس در توئیتر -- و طی آن گزارشی مبنی بر زخمی شدن باراک اوباما رئیس جمهور امریکا به دلیل یک انفجار در کاخ سفید منتشر شد. بر اثر این دروغ ظرف مدت زمان کوتاهی وال استریت در بهت و وحشت فرو رفت.

شاید تصور کنید اتفاقاتی از این دست در نتیجه حملات بسیار پیچیده، با انواع سیستم‌های مخفی و اغلب دور از ذهن انجام می شود؟ خیر، وقوع چنین اتفاقاتی در اکثر مواقع ناشی از خطرات استفاده از رمزهای عبور ضعیف است که دامن کاربران خانگی و سازمانی را می‌گیرد.


به گزارش ایتنا از روابط عمومی شرکت ایمن رایانه پندار، نماینده رسمی و انحصاری شرکت پاندا سکیوریتی در ایران، طی سال‌های اخیر شبکه‌های اجتماعی به عنوان نقطه اتصال کاربران با شرکت‌ها و سازمان‌ها مورد توجه و استفاده قرار گرفته‌اند.
دقیقاً به همین دلیل است که کاربران باید بیش از گذشته نسبت به تقویت حساب‌های کاربری خود در شبکه‌های اجتماعی حساسیت نشان داده و آن را جدی بگیرند.

رمزهای عبور ضعیف بسیار ساده‌تر از آنچه که فکر کنید شما را گرفتار هکرهای همیشه در صحنه می‌کنند.
آنها برای اینکه راه نفوذ به سیستم شما را پیدا کنند، نیازی به طراحی حملات پیچیده و یا بکارگیری سیستم‌های مخفی ندارند بلکه آنها به سرعت رمزهای عبور ضعیف قربانیان خود را حدس می زنند.
در نتیجه این حملات به هیچ وجه پیچیده نیست اگر به دنبال شناسایی حملات پچیده هستید باید گفت اغلب حملات پیچیده آنهایی هستند که شما بدون اینکه متوجه باشید اطلاعات خود را دوبار بیشتر وارد می‌کنید در حالیکه اطلاعات شما در همان مرحله اول وارد و تائید شده است.

اما یک نکته دیگر! گروه هکری که پشت حمله به حساب کاربری خبرگزاری آسوشیتدپرس که هفته گذشته -- شد، قرار داشت، مسئولیت -- ارتش الکترونیک سوریه، سازمان دیده بان حقوق بشر، سرویس‌های خبری فرانسه و همچنین خدمات آب و هوای بی بی سی را نیز برعهده گرفته است.
این به این معنی است که اگرچه -- شدن حساب کاربری خبرگزاری آسوشیتدپرس شبیه به یک حادثه بوده است اما متاسفانه باید پذیرفت که اینگونه حوادث در همه جای دنیا و البته سازمان‌های مهم کم اتفاق نمی‌افتد.

به خاطر داشته باشید تنها حساب‌های کاربری توئیتر نیستند که نیاز به تامین امنیت کامل و همه جانبه دارند. به عنوان مثال سرقت‏های سریالی عکس‌های افراد مشهور از گوشی‌های موبایل ایشان که به وفور انجام می شود، نشان دهنده این واقعیت است که هکرها قادرند یک حمله سایبری را حتی بین گوشی‌های تلفن همراه و نهش فقط بین حساب‌های کاربری شبکه‌های اجتماعی راهبری کنند.

پس اگر می خواهید هدف مطلوب، در دسترس و مناسبی برای هکرهای تازه کار نباشید توصیه‌های زیر را جدی بگیرید:
- هرچه رمز عبور طولانی‌تر، امن‌تر
- اطلاعات شخصی و خانوادگی به عنوان رمز عبور: بدترین و کودکانه‌ترین انتخاب!
- چند حساب کاربری و یک رمز عبور: یک فاجعه امنیتی
- استفاده مداوم از یک رمز عبور برای سال‌ها: هکرها بهتر از شما رمز عبورتان را به یاد می‌آورند!
- ارسال رمز عبور با ایمیل و SMS: هکرها بین راه منتظر شمایند...

و در نهایت اینکه اگر به دنبال یک رمز عبور قوی هستید استفاده همزمان از حروف، اعداد و کاراکترهای خاص در کنار هم، حداقل هکرهای تنبل و تازه کار را از شما دور نگه می‌دارند.


itna.ir

[sansi]

اینترنت - فرایند ایجاد کلمه عبور در وب سایتهای مختلف، مانند ملاقات از یک کشور خارجی با آداب و رسوم ناآشنا است.


در حالی که اغلب سایتهای بانکی اجازه ساخت کلمه عبور/ پسورد با 8 کارکتر را به شما می دهد، یک سایت فقط از شما 8 کارکتر می خواهد، دیگری به شما اجازه ساخت پسورد با 64 کارکتر می دهد، یکی به شما اجازه ساخت پسورد با عدد و حروف می دهد، یکی با خط فاصله ، یکی دیگر با علامت تاکید، یکی با کارکترهایی مانند @#$&% بدون کارکترهایی مانند ^*()[]! می دهد، یکی دیگر زمان را در قواعد پسورد دخیل می کند و در یک بازه زمانی باید پسورد خود را عوض کنید، بعضی اوقات نیز باید از حروف درشت در پسورد استفاده کنید، برخی دیگر اجازه استفاده از عدد در پسورد را نمی دهدو ... شما چی فکر می کنید؟
به هر حال امروزه بدون داشتن اکانت، نمی توانید به سایتهای مختلف سر بزنید و اغلب آنها از شما می خواهند تا نام و رمز عبور username&password ساخته و بعد به مرور سایت ادامه دهید. دقیقا در همین جاست که ساخت نام و رمز عبور یکسان برای وب سایتهای مختلف مطرح شده و مشکل از همین جا آغاز می شود، چرا که کاربر حال ندارد برای هر وب سایتی پسورد جداگانه ای درست کند و نکته دیگر اینکه برای اینکه به آسانی به خاطر آورده شود، پسوردها به زندگی کاربر ربط پیدا کرده و کارکترهای نزدیک به فرد شیوع می یابد. استفاده از کلمات و جملات و اصطلاحات ساده باعث می شود تا مشکلات بیشتر شود.
توماس باکدال در کتاب خود - نوشته شده در سال 2007- ، راه ساختن پسورد از روی جملات را به صورت مخفف به کاربران آموزش می دهد و می گوید رمز عبور ساخته شده از یک سری کلمات کنار هم، می تواند کاربر پسند و محکم باشد، اما حتی این راه حل نیز در عمل بدلیل ایجاد محدودیت کارکتر در ساخت پسورد، در وب سایتهای مختلف مانع از ایجاد پسورد قوی و محکم می شود.
به نظر می رسد هر سایتی برای ایجاد پسورد، تعریف خاص خود را دارد اما به ندرت، اگر نگوییم هرگز، روشن است چرا ما نمی توانیم پسورد طولانی یا کوتاه، متنوع یا ساده بسازیم. صرف نظر از برنامه پسورد سازی، کلمه عبور طولانی خسته کننده به نظر می رسد و پسورد بدون نماد، کوتاه است....
از طرف دیگر هر کمپانی باید تعادل بین این موارد را به وجود بیاورد: آنچه که باعث به خاطر آوردن پسورد می شود، آنچه که یک پسورد را امن می سازد، و آنچه منجر به مدیریت سیستم هایشان می شود.
چرا ما محدودیم؟
کارگزاری مالی چارلز شواب، بعنوان سیستم مالی محدودیت بین حداکثر 8 کارکتر و حداقل 6 کارکتر برای کاربران خود تعریف کرده است. واقعیت این است که اطلاعات مالی مشتریان، نمی تواند بیشتر از 8 کارکتر، عدد و سمبل داشته باشد.
سارا بولگاتز، مدیر PR در چارلز شوآب تاکید می کند این کمپانی در حال ارزیابی این موضوع است تا ببیند آیا می شود از کارکترهای بیشتر از 8 ، برای مشتریان استفاده کند؟و اکانت های مظنون با سوال امنیتی اضافه کنترل شوند! (سوالات امنیتی به راحتی پس زده می شوند و بولگاتز دلیل قانع کننده ای نمی آورد که چرا کلمه عبور به 8 کارکتر محدود است)
احراز هویت (Authentication) دو مرحله ای، بهترین رویکرد برای جلوگیری از سرقت، از حساب کاربری محسوب می شود. چارلز شوآب ارائه رایگان توکن امنیتی که کد شش رقمی همراه با پسورد تولید می کند را پیشنهاد می کند که به هر حال احراز هویت دو مرحله ای به فیشینگ حساس است.
تعریف مایکروسافت جور دیگری است: کاربران باید پسورد خود را کمتر از 16 کارکتر و بیشتر از 8 کارکتر که شامل ترکیبی از حروف بزرگ و کوچک و اعداد و نماد ها است، تعریف کنند. مایکروسافت معتقد است با داشتن پسوردهایی با کارکترهای طولانی راه جلوگیری از -- شدن پسورد نیست، چرا که بزرگترین مشکل کاربران این کمپانی نرم افزارهای پسورد شکن بوده است.
سخنگوی مایکروسافت در این زمینه می گوید: ما دریافته ایم که مجرمان کامپیوتری از بدافزار، فیشینگ و ایمیلهایی که روی آن کلیک کرده و کاربر پسوردش را به مجرمان ناخوداگاه می فرستد، استفاده می کنند و طولانی تر کردن پسورد نمی تواند در این زمینه راه گشا باشد. از سوی دیگر اریک دوئر از مایکروسافت می گوید پیاده سازی سیاست طولانی کردن پسورد و عرضه محصولات جدید، بازار را دچار مشکل می کند.
کاربران نیز می گوید ایجاد پسورد طولانی تر باعث می شود تا آنها مجبور شوند پسورد را به صورت دستی در جایی ذخیره کنند که این موضوع خطر را افزایش می دهد.
کمپانی هایی مانند Evernote (عرضه کننده سرویس آرشیو) از 6 تا 64 کارکتر را در ساخت پسورد برای کاربران گنجانده و همه نمادها به جز space را در سیستم پسورد خود گنجانده اند. کلمات عبور مجاز در اینترفیس evernoteتعبیه شده است و حالا برخی برنامه های جانبی کارکتر space را در خود گنجانده است و این موضوع برای کمپانیevernote مشکل ایجاد کرده است.
وجود نماد در پسورد مورد دیگری از مشاجره و بحث درباره کلمات عبور برای کاربران است. مثلا کمپانی AT&T از 8 تا 24 کارکتر را برای کلمه عبور تعریف کرده که شامل نماد نیز می شود اما از آنجایی که مشتریان با این سیستم خیلی راضی نیستند AT&T می گوید باید نمادها را محدود کرد و سیاست تعریف کلمه عبور را تغییر دهیم چرا که مشتریان و کاربران خود را با مشکل مواجه دیده و کل سرویس و خدمات را کنار می گذارند.
بنابراین در ایده آل ترین مدل نیز بدلیل مقاومت کاربر، کمپانی مجبور به حذف قوانین سخت گیرانه می شود و دوباره این سوال مطرح می شود که سیاست بانکها مبنی بر انتخاب 8 کارکتر و اینکه نرم افزارهای پسورد شکن کارکترهای طولانی را می توانند بخوانند و نیز هکرها پسورد را از طرق دیگر به دست می آورند؛ آیا ضرورتی برای پیاده سازی کلمه عبور طولانی وجود دارد؟
ازسوی دیگر پسورد آسان نیز کاربران را تنبل می سازد و راه میانه می تواند مناسب تلقی شود.
در مجموع می توان گفت کلمه عبور طولانی و ایجاد محدودیت برای ساخت پسورد، بعید است اثرات قابل توجهی روی امنیت بگذارد.


khabaronline.ir

[tanha.2011]

ایتنا- ویروس‌ها و حملات و جرائم سایبری، در کشورهای آمریکای لاتین افزایش زیادی داشته‌اند.


یافته‌های مؤسسه امنیتی ترند میکرو از تبدیل کشورهای آمریکای لاتین به بهشت جدید بدافزارنویسان خبر می‌دهد.



به گزارش ایتنا از فارس به نقل از سیلوبرکر، تعداد حملات ویروسی و نرخ جرائم سایبری در کشورهای آمریکای لاتین افزایش چشمگیری داشته و این در حالی است که تا پیش از این جرائم یاد شده عمدتاً در آمریکا و اروپای شرقی گسترده بوده‌اند.

ترندمیکرو می گوید حملات پیچیده ای در ماه های اخیر در این منطقه از جهان علیه نهادهای دولتی و همین طور موسسات مالی صورت گرفته اند و نرخ جرائم سایبری در منطقه یاد شده در سال گذشته ۴۰ درصد افزایش یافته است.

این مطالعه که با همکاری مقامات محلی و نهادهای قضایی صورت گرفته نشان می دهد که تعداد حملات هدفمند رو به افزایش بوده و میزان خسارات وارده به دنبال این حملات فراتر از حد تصور بوده است.

-- کردن و هدف قرار دادن زیرساخت های بنیادین از جمله اهداف اصلی حملات یاد شده بوده است. در چند مورد از این حملات سیستم های کنترل صنعتی مورد هدف قرار گرفته اند و پیش بینی می شود تداوم این روند حتی رشد اقتصادی کشورهای در حال توسعه در آمریکای لاتین را کند کند.

کارشناسان ترندمیکرو می گویند برای تعیین دقیق ابعاد این حملات نیاز به کار کارشناسی و بررسی های دقیق تری است و آمار موجود تعداد دقیق حملات مذکور و شدت و وسعت آنها را نشان نمی دهد.


itna.ir

[tanha.2011]

ایتنا- رخنه‌ای در برنامه Adobe Reader می تواند به مهاجمان اجازه دهد تا زمان و محل باز شدن یك سند PDF را ببینند.



شركت مك آفی آسیب پذیری را در برنامه Adobe Reader پیدا كرده است كه زمان و محل باز شدن یك سند PDF را نشان می دهد.


به گزارش ایتنا از مرکز ماهر، Haifei Li از شركت مك آفی در وبلاگی نوشت: این مسئله یك مشكل جدی نیست و منجر به اجرای كد از راه دور نمی شود. اما شركت مك آفی آن را به عنوان یك مشكل امنیتی در نظر گرفته است و شركت ادوب را از این موضوع مطلع ساخته است. این آسیب پذیری تمامی نسخه های Adobe Reader را تحت تاثیر قرار می دهد.

Haifei Li نوشت: ارسال كنندگان فایل های مخرب می توانند از این آسیب پذیری به منظور جمع آوری اطلاعات حساس مانند آدرس IP و ارائه كننده سرویس اینترنت سوء استفاده نمایند. هم چنین این مشكل می تواند توسط مهاجمان برای شناسایی مورد استفاده قرار گیرد.

شركت مك آفی به كاربران Adobe Reader توصیه می كند تا جاوا اسكریپت را تا زمان انتشار اصلاحیه غیرفعال نمایند.

itna.ir

[tanha.2011]

ایتنا- محققان Core Security چندین آسیب‌پذیری در سفت‌افزار مورد استفاده در دوربین‌های مبتنی بر IP شركت D-Link كشف كرده‌اند.



به گفته محققین امنیتی، تعدادی از دوربین‌های مداربسته مبتنی بر IP تولید شده توسط D-Link دارای آسیب‌پذیری‌های سفت‌افزاری هستند كه می‌توانند به مهاجم اجازه دهند جریان ویدئو را قطع نماید.


به گزارش ایتنااز مرکز ماهر، شركت Core Security كه در بوستون واقع بوده و در تشخیص و تحقیق درباره آسیب‌پذیری‌ها تخصص دارد، روز دوشنبه جزئیات پنج آسیب‌پذیری سفت‌افزار D-Link را منتشر كرد كه حداقل ۱۴ محصول این شركت را تحت تأثیر قرار می‌دهند.

D-Link تولید كننده دوربین‌های اینترنتی مختلفی است كه به شركت‌های تجاری و سایر مشتریان عرضه می‌كند. این دوربین‌ها می‌توانند تصویر و ویدئو را ضبط كرده و از طریق پنل‌های كنترلی مبتنی بر وب، كنترل گردند.

یكی از مدل‌های آسیب‌پذیر به نام DCS-۵۶۰۵/DCS-۵۶۳۵، دارای ویژگی تشخیص حركت است كه D-Link برای بانك‌ها، بیمارستان‌ها و دفاتر تجاری پیشنهاد داده است.

محققان Core Security كشف كرده‌اند كه در مدل‌های آسیب‌پذیر، دسترسی بدون احراز هویت به یك جریان ویدئوی زنده از طریق RTSP و همچنین خروجی ASCII یك جریان ویدئو ممكن است. RTSP یك پروتكل سطح كاربرد برای انتقال داده‌های بلادرنگ است.

این محققان همچنین مشكلی را در پنل كنترلی مبتنی بر وب كشف كرده‌اند كه به هكر اجازه می‌دهد دستورات دلخواه خود را وارد نماید. Core Security در راهنمایی امنیتی خود نوشت كه در خطای دیگری اطلاعات لاگین كه به‌صورت كد درون این سفت‌افزار قرار گرفته‌اند می‌توانند به‌عنوان یك راه نفوذ مخفی عمل كرده و به مهاجم راه دور اجازه دهند به جریان ویدئوی RTSP دسترسی یابد.

بنا بر ادعای Core Security، این شركت در ۲۹ مارس در مورد این مشكلات به D-Link اطلاع‌رسانی كرده است.


itna.ir

[VAHID]

بنیاد [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] در گزارش سال 2013 خود، هشدار داده که برخی از شرکت ها نباید برای نگه داری داده های شما مورد اطمینان قرار بگیرند و در مقابل، برخی حتی در دفاع از کاربران خود، در دادگاه ها هم حاضر می شوند.

18 شرکت دنیای تکنولوژی و وب در گزارش مذکور حضور دارند که تنها 6 تا از آنها توانسته اند 5 از 6 ستاره این ارزیابی را به دست آورند. این 6 شرکت در صورت لزوم، داده های شما را از دسترس دولت ها مصون خواهند داشت و حتی به نیابت از شما در محاکم قضایی حضور یافته و از حق سری ماندن اطلاعات مذکور، دفاع می کنند.

در گزارش سال 2013 بنیاد EFF، توییتر و Sonic.net تنها دو شرکتی بودند که 6 ستاره به دست آوردند، در انتهای طیف هم Verizon و MySpace بی ستاره ماندن. Yahoo تنها یک ستاره برای دفاع از حقوق کاربرانش در دادگاه ها دریافت کرده و اپل و AT&T نیز با یک ستاره برای دفاع از حقوق کاربران در کنگره، در نزدیک آن هستند.

Dropbox تنها در دادگاه ها به دفاع از حقوق کاربرانش حاضر نمی شود ولی با 5 ستاره، در سایر حوزه ها عملکرد قابل تقدیری دارد. گوگل نیز در ارائه اطلاعات کاربران به دولت ها ستاره ای دریافت نکرده ولی در سایر بخش ها، 5 ستاره دارد. مایکروسافت نیز 4 ستاره دریافت کرده.

نتیجه کامل گزارش را در جدول زیر می بینید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

negahbaan.ir

[VAHID]

هفته‌های زیادی از حملات پی در پی به سایت‌ها و شبکه‌های اجتماعی نامدار نگذشته و در این بین نیز بعضی از این حملات از روش DDoS بهره برده‌ بودند. اما شاید بد نباشد یکبار دیگر آن را مطالعه کنید. DDoS یا distributed denial of service به طور بسیار خلاصه وارد کردن ترافیک بسیار زیاد و غیر قابل تحمل به یک سرور است که در نهایت منجر به زمین‌گیر شدن آن و غیر فعال شدن تمامی سرویس‌های آنلاین سرور می‌شود. به تازگی [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] که توسعه دهنده وبسایت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] که ارائه دهنده نرم‌افزار محبوب VLC نیز هست، ابزاری به نام [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] تهیه کرده است که قابلیت نمایش ترافیک وارده به یک وبسایت را دارد.

Fauvet به این وسیله توانسته است تا حمله اخیر ۲۳ آوریل را که به شیوه DDoS بر روی وبسایتش اتفاق افتاده شبیه سازی کند و آن را به نمایش بگذارد. می‌توانید ویدئوی کامل این تصویرسازی را [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ببینید. همانطور که در ویدئو نیز کاملا مشخص است ترافیک وارده به وبسایت به صورت یک بازی پینگ پنگ نمایش داده می‌شود که سرور مورد نظر باید به ضربات واکنش نشان دهد که در برخی موارد پاسخ داده شده اما بیشترین بار ترافیک بی‌پاسخ باقی مانده است. ترافیک وارده به میزان ۴۰۰ درخواست در ثانیه بوده است که مقدار زیادی تلقی می‌شود اما به خاطر [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده شده در سرور وبسایت چندان مشکل خاصی پیش نیامده و حتی در آن لحظه درخواست‌های عادی کاربران نیز پاسخ داده شده.
گاهی هکرها نیازی به استفاده از اطلاعات شخصی شما ندارند بلکه تنها از بار شبکه شما برای این گونه از حملات استفاده می‌کنند، در نتیجه رعایت نکات امنیتی نه تنها به حفظ اطلاعات شخصی شما کمک می‌کند بلکه در ایمنی شبکه اینترنت نیز تاثیر گذار خواهد بود. دقت داشته باشید که هر کدام از نقاط نمایش داده در تصویر یک درخواست ارسالی از سوی یک کامپیوتر تلقی می‌شود در نتیجه هر چقدر کاربران باهوش‌تری در اینترنت وجود داشته باشد این تعداد کمتر نیز می‌شود.






weblogina.com

[sansi]

محققان امنیتی، راه نفوذ مخفی جدیدی را در سرور آپاچی كشف كرده اند كه هیچ اثری از تغییر رفتار خود بر روی درایو هارد یا در فایل های ثبت وقایع سرور به جا نمی گذارد.


بر اساس تجزیه و تحلیل های صورت گرفته توسط شركت امنیتی ESET یا Sucuri، ماژول Linux/Cdorked.A یك چالش اساسی برای ادمین های وب می باشد.


به گزارش ایتنا از مرکز ماهر، برخلاف اكثریت چنین بدافزارهایی، بدافزار Cdorkedهیچ فایلی را بر روی درایو هارد نمی نویسد، پیكربندی خود را در یك حافظه اصلی چند مگابایتی ذخیره می كند كه به راحتی با فرآیندهای دیگر به اشتراك گذارده می شود.
Pierre-Marc Bureau از شركت امنیتی ESET اظهار داشت كه مهاجمان از دو طریق می توانند رفتار راه نفوذ مخفی موجود در سرور را كنترل نمایند.

مهندسان شركت ESET تخمین می زنند كه صدها سرور تحت تاثیر این بدافزار قرار دارند كه احتمالا این بدافزار از هزاران وب سایت برای تغییر مسیر سوء استفاده می كند.

به منظور تشخیص و خلاص شدن از این بدافزار باید یكپارچگی سرورهای آپاچی را بررسی كرد یا بهتر است تا نگاهی به روگرفت حافظه انداخت تا بدافزار را كشف كرد.
شركت ESET گفت: ما به مدیران سیستم توصیه می كنیم كه سرورهای خود را بررسی نمایند تا اطمینان حاصل شود كه تحت تاثیر این تهدید قرار ندارند.

قبلا ESET گزارش كرده بود كه كاربران اینترنتی بانك ها تحت تاثیر این بدافزار قرار گرفته اند. باید توجه داشت كه تمامی اصلاحیه ها را در زمان خود اعمال نمایید چرا كه در حال حاضر مهاجمان از آسیب پذیری سرورها برای اینگونه حملات استفاده می‌كنند.


itna.ir