توسعه سریع فناوری اطلاعات در عصر کنونی باعث شده است تا اکثر اطلاعاتی که تاکنون روی کاغذ نگهداری  می‌شد در فضای مجازی قرار گیرد. این تحولات منجر شده است تا اطلاعات در معرض هک و تهدیدات سایبری قرار گیرد. برای مقابله با تهدیدات فضای مجازی و بهبود امنیت اطلاعات سازمان خود می‌توانید خدمات امنیت اطلاعات شرکت پیشگامان را مرور کنید.

, , , ,

پیشتازی سیری در حفظ حریم شخصی

در اهمیت تنظیمات پیشفرض هیچ شکی نیست. در اکثر موارد تنظیمات پیشفرض به گونه‌ای تنظیم می‌شود تا بهترین کارایی را به کاربران داده و آن‌ها را راضی نگه دارد. همچنین در اکثر اوقات، کاربران تنظیمات پیش‌فرض دستگاه یا سرویس خود را تغییر نمی‌دهند، بنابراین شرکت‌ها موظف هستند تا این تنظیمات را به گونه‌ای تعیین کنند که حریم خصوصی کاربران حفظ شود.

اگر اخبار فناوری اطلاعات، به خصوص اخبار امنیت سایبری در این حوزه را دنبال کرده باشید، از حاشیه‌های پیرامون استراق سمع کاربران اطلاع دارید (میکروفن مخفی در دستگاه های گوگل و باگ امنیتی استراق سمع گوشی را بخوانید). یکی از این حاشیه‌ها، گوش دادن کارمندان اپل به صدای افرادی بود که از دستیار هوشمند سیری استفاده می‌کردند. گرچه اپل در پنهان کردن هویت صدای افراد نهایت تلاش خود را کرده بود، چیزی از جنجال پیرامون این خبر کم نشد.

مهم‌تر از همه اینکه اپل در این مورد از دستیار هوشمند گوگل و همینوطور الکسا (دستیار هوشمند آمازون) نیز بدتر عمل کرده بود. چراکه استفاده از سیری منوط به ذخیره صدای شما توسط اپل بود و راهی برای استفاده از سیری بدون ضبط صدای کاربران در سرورهای اپل وجود نداشت. دوم اینکه اپل راه ساده‌ای برای پاک کردن این صداها فراهم نکرده بود. این درحالی است که گوگل و آمازون هر دو راهکارهای آسانی برای پاک کردن آرشیو صدای کاربران فراهم کرده بودند.

حالا اپل با تغییراتی که در تنظیمات پیشفرض دستیار هوشمند خود اعمال کرده است، نه تنها مشکلات پیشین را حل کرده، بلکه مثل همیشه از رقبای خود هم پیشی گرفته است. حالا، نه تنها کاربران می‌توانند اجازه ضبط صدای خود را فعال و غیرفعال کنند، بلکه تنظیمات پیش فرض نیز به غیرفعال تغییر یافته تا خیال کاربران از حریم شخصی خود راحت باشد.

مقایسه امنیت حریم خصوصی دستیارهای هوشمند

سیریدستیار گوگلالکسا
تنظیمات پیشفرض ضبط صداغیرفعالفعالفعال
قابلیت استفاده بدون ضبط صدابلهبلهخیر
قابلیت پاک کردن آرشیو صداهای ذخیره شدهبله بلهبله
ارتباط صداهای ذخیره شده با حساب کاربریخیربلهبله

یکی از بهترین ویژگی‌های سیری، عدم ارتباط صداهای ضبط شده با حساب کاربری افراد است که باعث می‌شود شناسایی حساب کاربری افراد از طریق صداهایشان تقریبا غیرممکن شود.

/0 دیدگاه /توسط
, ,

هنوز همه آسیب‌پذیری‌های امنیتی آیفون توسط اپل رفع نشده‌اند

گوگل چندین نقص امنیتی در آیفون‌های اپل یافته است که اپل هنوز درصدد رفع برخی از آن‌ها اقدامی نکرده است.

مرکز تحقیقات امنیتی گوگل ۶ نقطه عمده آسیب‌پذیری در سیستم عامل اپل موسوم به iOS یافته است که شرکت تولیدکننده آیفون ”اپل”، هنوز موفق به برطرف کردن آن نشده است. به گزارش ZDNet این نقایص توسط ۲ محقق گوگل به نام های Samuel Grob و Natalie Silvanovich کشف شده‌اند که تعدادی از آن‌ها نیز در آپدیت هفته گذشته آیفون (iOS 12.4) که دربرگیرنده بروزرسانی‌های مختلف امنیتی نیز بود، برطرف شده‌اند.

گوگل در تحقیقات خود این رخنه‌های امنیتی را ”بدون تعامل” تعریف کرده است، بدین معنی که بدون کوچکترین اقدامی از سوی کاربر قابلیت اجرای خود به خودی را داشته و از یک نقطه آسیب‌پذیر در نرم‌افزار iMessage بهره برده تا وارد دستگاه شوند. طبق تحقیقات، ۴ مورد از این نقاط آسیب‌پذیر به این شکل فعال می‌شوند که شخص حمله‌کننده پیامی حاوی کد ویروسی برای کاربر ارسال کرده و به محض باز کردن پیام توسط شما، ویروس تلفن شما رو در بر می‌گیرد.

جزییات مربوط به پنج اشکال برطرف شده بصورت آنلاین منتشر شده است، اما اشکال نهایی تا زمانی که توسط اپل قابل رفع باشد، محرمانه باقی خواهد ماند. صرف نظر از این، اگر iPhone خود را به iOS 12.4 آپدیت نکرده‌اید ، حالا زمان مناسبی است. سیلوانوویچ در همایش امنیتی Black Hat در هفته آینده در لاس وگاس میزبان گفتگو در مورد حملات آیفون بدون تعامل خواهد بود.

خوشبختانه این آسیب‌پذیری توسط محققینی کشف و بررسی شد که علاقه‌ای به‌ گسترش آن در جهت منافع شخصی نداشته‌اند. به گزارش ZDNet باگ‌های امنیتی این چنین، برای افرادی که در زمینه سیستم‌های نظارتی-امنیتی فعالیت دارند بی‌ارزش بوده اما خریداران سودجو همواره حاضر به پرداخت میلیون‌ها دلار برای دسترسی به این اطلاعات هستند. این تیم نظارتی با افشا کردن و در اختیار گذاشتن این باگ‌ها به کمپانی اپل، خدمت بزرگی به کاربران iOS در سطح جهانی انجام داده است.

/0 دیدگاه /توسط
,

تصمیم وزارت دفاع آمریکا برای توسعه سپر امنیت سایبری بلاک چین

طبق سند منتشر شده توسط دولت آمریکا، به نظر می‌رسد وزارت دفاع این کشور قصد دارد از یک سپر دفاعی مبتنی برای بلاک‌چین برای تامین امنیت سایبری خود استفاده کند. این سند که «استراتژی مدرن‌سازی دیجیتال» نام دارد، ۱۲ جولای در سایت وزارت دفاع آمریکا منتشر شد. علاوه بر راهکارهای مبتنی بر بلاک‌چین، این سند شامل روش‌هایی مبتی بر پردازش ابری و کوانتومی، هوش مصنوعی و بهبود ارتباطات از طریق دفتر کل توزیعی است.

در واقع، دپارتمان تحقیق و توسعه این وزارت (دارپا)، تست این فناوری برای ساخت یک پلتفرم امن و کارا برای پیام‌رسانی و انجام تراکنش‌ها را آغاز کرده است. این واحد از سال ۲۰۰۰، به منظور رفع چالش‌های مربوط به افزایش قدرت پردازشیِ رقبا، فرآیند بروزرسانی سخت‌افزار و نرم‌افزارهای امنیتی خود را شروع کرده است.

این گزارش، ضمن استناد به ویژگی‌های شفافیت، تغییرناپذیری و عدم اعتماد در تکنولوژی بلاک چین، این چنین نوشته است:

شبکه‌های مبتنی بر بلاک‌چین نه تنها احتمال نفوذ به سیستم را کاهش می‌دهند، بلکه هزینه نفوذ به سیستم را برای رقبا بسیار زیاد می‌کند.

همچنین این وزرات برای مدیریت چندین پتابایت داده بین ادارات مختلف این وزارت، پروژه پلتفرم بیگ دیتا (کلان داده) را شروع کرده است. این پلتفرم قابلیت تجمیع، ارتباط و بررسی روند داده‌ها را داشته و می‌تواند بوسیله تشخیص الگو، وقوع حملات را پیشبینی کند.

/0 دیدگاه /توسط
,

اسلک پسورد هزاران کاربر را ۴ سال بعد از هک شدنشان عوض کرد

اسلک (Slack) طی بیانیه‌ای اعلام کرده که رمز عبور برخی از کاربران خود را عوض کرده است. این اتفاق بعد از انتشار گزارشی در مورد یک رخنه امنیتی در سال ۲۰۱۵ رخ داده است. تمام کاربرانی که قبل از مارچ سال ۲۰۱۵ حساب کاربری اسلک خود را ساخته‌اند و از آن زمان، پسورد خود را عوض نکرده بودند، شامل این تغییرِ پسورد خواهند شد. اسلک می‌گوید حدود یک درصد از کاربرانش شامل این جریان می‌شوند، که طبق گزارش ZDNet، حدود ۶۵ هزار نفر هستند.

این تصمیم بعد از لو رفتن تعداد زیادی از ایمیل‌ها و رمز عبور کاربران اتفاق افتاد. بعد از تحقیقات امنیتی انجام شده، مشخص شد که هکرها با نصب کی لاگر در نرم افزار اسلک توانسته بودند رمزهای عبور کاربران را ثبت کنند. همچنین هکرها به یک دیتابیس که شامل نام کاربری و هش رمز عبور آن‌ها بود نیز دست یافته بودند. اسلک از کاربرانش خواسته تا برای امنیت بالاتر تایید هویت دو مرحله‌ای را برای اکانت خود فعال کنند.

/0 دیدگاه /توسط
,

اپل اپلیکیشن واکی تاکیِ اپل واچ را به علت رخنه امنیتی غیرفعال کرد

بعد از کشف یک باگ امنیتی در برنامه واکی تاکی اپل واچ، اپل مجبور شد تا این اپلیکیشن را روی ساعت‌های هوشمند خود غیرفعال کند. این آسیب‌پذیری امنیتی به هکرها این اجازه را می‌داد تا به صورت مخفی به صحبت‌های طرف مقابل گوش دهند.

طبق اعلامیه اپل، سوءاستفاده از این باگ امنیتی نیازمند شرایط خاص بوده و مدرکی هم از استفاده هکرها از این رخنه وجود ندارد، با این حال با توجه به اینکه امنیت مجازی و حریم خصوصی افراد همیشه برای اپل اولویت داشته است، اپل اقدام به غیرفعال‌سازی موقت این اپلیکیشن کرده است.

برنامه واکی تاکی از قابلیت تماس صوتی فیس تایم استفاده می‌کند و سال گذشته با آپدیت WatchOS 5 منتشر شده بود. طی این سال، این بار دومی است که اپل مجبور می‌شود به دلایل امنیتی یکی از ویژگی‌های فیس‌تام را غیرفعال کند. سال گذشته اپل مجبور شده بود تا سرویس تماس گروهی فیس تایم را غیر فعال کند.

/0 دیدگاه /توسط
, ,

برنامه‌های اندرویدی بدون دسترسی مکان هم قادر به رهگیری کاربران هستند

طبق آخرین تحقیقات انجام شده در زمینه امنیت برنامه‌های موبایل، هزاران برنامه اندروید حتی زمانی که دسترسی مکان (location) آن‌ها را رد کرده باشید، قادر به ردیابی شما خواهند بود. این برنامه‌ها، با دسترسی به شناسه منحصر به فرد گوشی شما و بسیاری از داده‌های اشتراکی، راه‌هایی پبدا کرده‌اند تا با دور زدن گوگل به موقعیت مکانی شما دسترسی پیدا کنند.

حتی اگر به طور مستقیم برنامه مورد نظر را از دسترسی به شناسه گوشی خود منع کرده باشید،‌ این برنامه‌ها می‌توانند با دسترسی به فضای اشتراکی مورد استفاده بوسیله دیگر برنامه‌ها، به این اطلاعات دسترسی پیدا کنند. این اپلیکیشن‌ها لزوما با یکدیگر مرتبط نیستند و تنها کافی است از یک کیت توسعه نرم افزار (SDK) برای نوشتن اپلیکیشن اندرویدی خود استفاده کرده باشند. درست مانند زمانی که کودکی توسط یکی از والدین از خوردن بستی منع شده و به سراغ دیگری می‌رود.

به عنوان مثال، برنامه‌های سامسونگ و والت دیزنی، که هر کدام بیشتر از ۱۰۰ میلیون مرتبه دانلود شده‌اند، از SDK ابرشرکت چینی بایدو استفاده می‌کنند. این برنامه‌ها، و البته خود شرکت بایدو، می‌توانند به این اطلاعات اشتراکی دسترسی داشته و آن‌ها را به سرورهای خود بفرستند.

جدای از این آسیب‌پذیری، رخنه‌های امنیتی دیگری نیز کشف شده‌اند که سوءاستفاده اپلیکیشن‌های اندرویدی از اطلاعات SSID، MAC address و دیگر پارامترهای شبکه بیسیم را مهیا می‌کنند. همچنین برنامه‌هایی نیز کشف شده‌اند که بدون اجازه کاربر، موقعیت مکانی افراد را از متاتگ‌های عکس‌ها استخراج کرده و به سرورهای خود می‌فرستند.

این محققان که نتایج تحقیق خود را سال گذشته در اختیار گوگل قرار داده بودند، امیدوارند تا بسیاری از این آسیب‌پذیری و رخنه‌های امنیتی در نسخه جدید اندروید، یعنی آندروید کیو (Android Q) رفع شود. اما طبق روال گذشته می‌دانیم که اکثر گوشی‌های اندرویدی این آپدیت را دریافت نخواهند کرد.

/0 دیدگاه /توسط
,

وصله امنیتی اضطراری برای فایرفاکس،‌ هرچه سریع تر آپدیت کنید

رخنه امنیتی جدیدی در فایرفاکس پیدا شده است که هکرها هم اکنون در حال سوءاستفاده از آن هستند. طبق اعلام موزیلا، چنانچه از ورژن ۶۷.۰.۳ یا ESR ۶۰.۷.۱ فایرفاکس استفاده می‌کنید،‌ هر چه سریع‌تر نسبت به بروزرسانی آن اقدام کنید. موزیلا علت این آسیب‌پذیری را مشکلات Array.pop اعلام کرده که باعث می‌شود تا با دستکاری اشیاء جاوا اسکریپت،‌ از این رخنه امنیتی بهره‌برداری کرد.

شناسایی این رخنه امنیتی به ساموئل گراب،‌عضو تیم امنیتی کوین بیس (coinbase) و پروژه امنیت اطلاعات گوگل، نسبت داده شده است. هنوز مشخص نیست که هکرها با استفاده از این باگ امنیتی چه چیزی به دست آورده‌اند، اما بهترین حدس، ارزهای دیجیتال یا همان کریپتوکارنسی است.

/0 دیدگاه /توسط
, ,

انگشت اتهام تلگرام به سوی دولت چین

تلگرام دولت چین را عامل حملات DDoS اخیر به سرویس خود می‌داند. مدیر عامل تلگرام، پاول دورف، حملات اخیر DDoS به تلگرام را کار دولت چین می‌داند؛ او در توییتر خود اعلام کرد که وسعت این حملات به حدی زیاد بوده است که فقط از پس یک دولت با زیرساخت‌های کلان بر می‌آید. حجم این حملات ۴۰۰ گیگابیت در ثانیه بوده و آی پی اکثر حمله‌کنندگان هم از چین بوده است.

پاول دورف همزمانی این حملات با اعتراض‌های هنگ کنگ را تصادفی ندانسته و علت این حملات را اعمال محدودیت در سازماندهی معترضان در هنگ کنگ می‌داند. در روزهای اخیر معترضین هنگ کنگی برای مخفی نگه داشتن هویت خود از دولت چین، به استفاده از پیام رسان هایی مانند تلگرام روی آورده‌اند که از رمزنگاری سرتاسر (End-to-End Encryption) استفاده می‌کنند. این معترضان به لایحه استرداد مظنونان به چین اعتراض دارند.

/0 دیدگاه /توسط
, ,

ابزار جدید اپل برای لاگین آسان به سایت‌ها و برنامه‌ها

در سال‌های گذشته نام اپل بیش از پیش با حریم شخصی و امنیت اطلاعات در فضای مجازی گره خورده است. در همین راستا در کنفرانس WWDC 2019 اپل از ابزار جدید ورود به سایت (single sign-on یا SSO) خود به نام Sign In with Apple رونمایی کرد. این ابزار به گونه‌ای طراحی شده تا احراز هویت کاربران را بدون به اشتراک‌گذاری اطلاعات شخصی آن‌ها انجام دهد. این قابلیت جدید برای لاگین کردن به سایت‌ها در وب و همچنین در اپلیکیشن‌ها در دسترس خواهد بود. برخلاف رقبای اصلیِ «لاگین با اپل»، یعنی گوگل و فیسبوک، ابزار اپل کم‌ترین اطلاعات را به سایت‌ها و اپلیکیشن‌ها می‌دهد؛ این در حالی است که لاگین‌های گوگل و فیسبوک شما را به پروفایل تبلیغاتی بزرگی منتسب می‌کنند.

سیستم اپل، در هر لاگین یک ایمیل ناشناس جدید برای شما می‌سازد و آن را به ایمیل اصلی شما متصل می‌کند. بنابراین رهگیری اطلاعات شما توسط شرکت‌های ثالث بسیار دشوارتر می‌شود. همچنین، با توجه به اینکه اتصال شما به هر سایت یا اپلیکیشن بوسیله یک ایمیل رندوم صورت می‌گیرد، برای قطع ارتباط با هر سایت، کافی است ایمیل تصادفی مربوط به آن سایت را پاک کنید.

هنوز مشخص نیست که اپل چگونه می‌خواهد از این سیستم جدید درآمد کسب کند اما مشخص است که این سیستم ضربه سختی به فیسبوک و گوگل خواهد زد که با جمع‌آوری اطلاعات برای تبلیغات هدفمند، درآمد هنگفتی به دست می‌آورند. گرچه در این سیستم نیز اطلاعات کاربران در اختیار اپل خواهد بود، اما کاربران اعتماد بیشتری به اپل دارند تا شرکت‌های گوگل و فیسبوک که با مدل تجاری تبلیغاتی کار می‌کنند.

/0 دیدگاه /توسط