کانال تخصصی امنیت سایبری «کتاس»

14 января 2023 19:40

هشدار!!

گزارش ‎Bitdefender درباره یک جاسوس‌افزار ایرانی (20speed vpn) که در پوشش وی‌پی‌ان، اطلاعات خصوصی افراد شامل عکس‌ها، اسناد و گذرواژه‌ها را سرقت می‌کند.

به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report

https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

12 января 2023 19:43

🔻 آمریکا تحریم‌های اینترنتی را برای کاربران ایرانی لغو کرد

▫️ وزارت خزانه‌‌داری آمریکا با انتشار بیانیه‌ای، معافیت‌های اینترنتی کاربران ایرانی از تحریم‌های ایالات متحده را تشريح كرد.
▫️ تغییراتی کلیدی در مجوزهای دولتی پیشین، موسوم به مجوز‌ عمومی شماره یک ایران (General License D-1) که با هدف کمک به کاربران ایرانی در گردش اطلاعات اعمال شده است.
▫️با مجوز‌های تازه، نه تنها دسترسی کاربران ایرانی به شبکه‌های اجتماعی، ابزارهای ارتباطی، نرم‌افزارهای تماس ویدئویی، خدمات ابری، نقشه‌های آنلاین و مبتنی وب،‌ بازی‌های کامپیوتری، پلتفرم‌های آموزشی، ابزارهای ترجمه و احراز هویت، آنتی ویروس‌ها، تلفن‌های هوشمند و سیستم عامل آنها، تلفن‌های ماهواره‌ای، گجت‌های دیجیتال، سیم‌کارت، روتر، مودم، کامپیوترهای شخصی فراهم شد، بلکه ارائه خدمات شرکت‌های بزرگ ، تاثیرگذاری مانند گوگل، متا، اپل و دیگر شرکت‌های مشابه به ایرانیان نیز قانونی خواهد بود.

کانال تخصصی امنیت سایبری «کتاس»

28 декабря 2022 20:13

هم اکنون وصله کنید: حفره امنیتی جدی هسته لینوکس کشف شد
برای اطلاعات بیشتر:
/channel/linux_news/684

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

24 декабря 2022 14:36

هشدار جدی به کاربران LastPass: اطلاعات و داده های ذخیره رمز عبور شما اکنون در دست هکرها است

- مدیر رمز عبور LastPass به مشتریان هشدار داد که حمله سایبری به سیستم های آن در ماه اوت منجر به کپی کردن فایل های رمزگذاری شده حاوی رمز عبور توسط مهاجمان شد.

طبق گفته این شرکت، مهاجمان همچنین داده‌ها را از «خزانه مشتری» کپی کرده‌اند، فایلی که LastPass از آن برای نوشتن رمز عبور به مشتریان استفاده می‌کند.

- این بدان معنی است که مهاجمان رمز عبور کاربر دارند. اما آنها با "رمزگذاری 256 بیتی AES رمزگذاری شده اند و فقط با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر قابل رمزگشایی هستند."


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

17 декабря 2022 10:27

NSA می گوید هکرهایی که با دولت چین ارتباط دارند از آسیب پذیری Citrix سوء استفاده می کنند

طبق مشاوره آژانس امنیت ملی ایالات متحده (NSA)، گروه هک APT5 در حال سوء استفاده از آسیب‌پذیری کنترل احراز هویت در کنترلر تحویل برنامه Citrix و محصولات دروازه است. مشاوره NSA "راهنمایی هایی را برای ارائه اقداماتی که سازمان ها می توانند برای جستجوی مصنوعات احتمالی این نوع فعالیت ها انجام دهند" ارائه می دهد. Citrix برای رفع این آسیب‌پذیری به‌روزرسانی منتشر کرده است.

بیشتر بخوانید در:
- www.citrix.com : به‌روزرسانی امنیتی حیاتی اکنون برای Citrix ADC، Citrix Gateway در دسترس است
- support.citrix.com : Citrix ADC و Citrix Gateway Security Bulletin برای CVE-2022-27518
- media.defense.gov : APT5: Citrix ADC Threat Hunting Guidance (PDF)
- www.scmagazine.com : هکرهای چینی در حال سوء استفاده از اشکال در Citrix ADC، محصولات Gateway، NSA هشدار داد
- www.theregister.com : Citrix نقص حیاتی ADC را اصلاح می کند که NSA می گوید قبلاً از سوی چین مورد حمله قرار گرفته است.
- www.cyberscoop.com : NSA می گوید هکرهای چینی به طور فعال به نقص در دستگاه شبکه پرکاربرد حمله می کنند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

17 декабря 2022 10:25

درایورهای ویندوز امضا شده توسط مایکروسافت به طور مخرب استفاده می شوند

در ماه اکتبر، محققان SentinelOne، Mandiant و Sophos به مایکروسافت اطلاع دادند که "درایورهای تایید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور مخرب در فعالیت های پس از بهره برداری استفاده می شوند." مایکروسافت چندین گواهی توسعه دهنده را باطل کرده و حساب های توسعه دهنده مرتبط را به حالت تعلیق درآورده است.
پی نوشتها:
مایکروسافت خاطرنشان می کند که تحقیقات آنها "…نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت درگیر ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت بودند." مایلم بشنوم که مایکروسافت برای بهبود گواهینامه نرم افزار Microsoft "Partners" چه خواهد کرد، همانطور که دیدیم اپل و گوگل باید فرآیندهای توسعه دهندگان را برای دریافت برنامه ها از طریق مکانیسم های فروشگاه برنامه خود بهبود بخشند.

به نظر می‌رسد این درایورها پس از به خطر انداختن سیستمی برای فعالیت‌های پس از بهره‌برداری استفاده شده‌اند، که به احتمال زیاد به کمپین باج‌افزار کوبا (که هیچ ارتباط شناخته‌شده‌ای با جمهوری کوبا ندارد) مرتبط است. اعمال به‌روزرسانی‌های این ماه و لغو گواهی‌های مرتبط با این توسعه‌دهندگان توسط مایکروسافت، که باید از اجرای درایورها جلوگیری کند، دو مرحله مورد نیاز برای جلوگیری از این حملات است. همچنان باید از احراز هویت قوی، پشتیبان گیری آفلاین، بخش بندی و به روز نگه داشتن موارد استفاده کنید. بولتن CISA را برای IOCها، TTPها و کاهش‌های اضافه شده بخوانید.

در چند سال گذشته افزایش قابل توجهی در حملات زنجیره تامین گزارش شده است. در این حالت درایورهای امضا شده مخرب می توانند افزایش امتیاز و توانایی حرکت در سراسر شبکه قربانی را فعال کنند. اگرچه کاربر برای اصلاح نواقص در برنامه راننده امضا شده خود به MSFT وابسته است، اما همچنان می تواند با محدود کردن توانایی مهاجم برای دسترسی اولیه به شبکه خود، از خود محافظت کند. کاربران باید پیکربندی و فرآیندهای مدیریت پچ خود را مجدداً مشاهده کنند.

بیشتر بخوانید در:
- msrc.microsoft.com : راهنمایی در مورد استفاده مخرب درایورهای امضا شده مایکروسافت
- news.sophos.com : بدافزار راننده امضا شده در زنجیره اعتماد نرم افزار به سمت بالا حرکت می کند
- www.sentinelone.com : Driving Through Defences | حملات هدفمند درایورهای مخرب مایکروسافت را تحت تأثیر قرار می دهند
- www.wired.com : باج افزار باج افزار از گواهینامه های مایکروسافت برای امضای بدافزار سوء استفاده کرد
- www.theregister.com : درایورهای ویندوز مخرب امضا شده توسط مایکروسافت که در حملات سایبری استفاده می شوند
- www.darkreading.com : درایورهای مخرب امضا شده توسط مایکروسافت، باج‌افزارهای EDR-Killers را وارد می‌کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 декабря 2022 09:34

ایلان ماسک: Neuralink تا شش ماه دیگر کار کاشت تراشه در مغز افراد را آغاز خواهد کرد

- ایلان ماسک گفت که شرکت او Neuralink آزمایش‌های بالینی تراشه‌های عصبی بی‌سیم را که قرار است در بدن انسان کاشته شوند، روی انسان‌ها در شش ماه آینده آغاز خواهد کرد.

- حوزه اصلی کاربرد Neuralink ترمیم عملکردهای آسیب دیده مغز است. علاوه بر این، این سیستم دارای پتانسیل توانمندسازی انسانی است.

- Neuralink یک فناوری بسیار تهاجمی برای اتصال یک فرد به رایانه ارائه می دهد - برای این عمل، باز کردن جمجمه و ادغام مینی الکترودها در بافت مغز ضروری است. این شرکت در تلاش است تا اطمینان حاصل کند که وسایل الکترونیکی قابل کاشت برای مدت طولانی باعث پس زدن نشوند.

به گفته ایلان ماسک، Neuralink می تواند بینایی را حتی در افراد نابینا از بدو تولد بازیابی کند. این شرکت همچنین معتقد است که دستگاه Neuralink می تواند عملکرد کامل را به یک نخاع قطع شده بازگرداند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 декабря 2022 08:11

کمیسر حریم خصوصی نیوزیلند می‌گوید که در حال بررسی حمله باج‌افزار فناوری اطلاعات مرکوری هستند.

کمیسر حریم خصوصی نیوزلند بیانیه‌ای درباره حمله باج‌افزار اخیر علیه Mercury IT منتشر کرده است که "گستره وسیعی از خدمات فناوری اطلاعات را به مشتریان" در سراسر کشور ارائه می‌کند. این حادثه بر سیستم‌های چندین سازمان دولتی در سراسر نیوزیلند تأثیر گذاشت.
بیشتر بخوانید در:
- www.privacy.org.nz : کمیسر حریم خصوصی اقدامی را در مورد حمله باج افزار در نظر می گیرد
- www.infosecurity-magazine.com : کمیسر حریم خصوصی NZ در مورد حمله باج افزار IT Mercury تحقیق می کند
- www.theregister.com : تعطیلات اقیانوس آرام جنوبی ممکن است توسط باج افزار نابود شود
- www.govinfosecurity.com : حمله باج افزار در نیوزلند اثرات آبشاری دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 декабря 2022 08:08

هکرهای کره شمالی APT37 از موتور jScript9 اینترنت اکسپلورر Zero-Day سوء استفاده کردند

هکرهای مرتبط با کره شمالی از یک آسیب پذیری اشتباه نوع روز صفر در موتور JScript9 اینترنت اکسپلورر سوء استفاده کرده اند. Google Project Zero این آسیب‌پذیری را شناسایی کرد که بر روی ویندوز 7 اما 11 و ویندوز سرور 2008 تا 2022 قبل از وصله‌هایی که مایکروسافت در نوامبر منتشر کرد تأثیر می‌گذارد. APT از این آسیب پذیری برای گسترش بدافزارهای تعبیه شده در اسناد سوء استفاده کرده است.
یادداشت ویراستار

ممکن است در این مرحله اینترنت اکسپلورر را "میراث" در نظر بگیرید. اما همچنان ممکن است برای ارائه محتوا در اسناد آفیس استفاده شود.

کره شمالی، در حالی که یک کشور نسبتاً کم بودجه است، هنوز این تیم مبتکر از افراد را دارد که راه های جالبی برای سوء استفاده از ویندوز پیدا می کنند. توانایی های فنی آنها را دست کم نگیرید. آنها هنوز هم می توانند موثر باشند. چه کسی فکر می کرد IE11 هنوز موتور رندر اصلی HTML در آفیس در سال 2022 باشد؟ انگار که گفتم IE6 برای رندر HTML در Adobe Reader استفاده می شود. این نسبتاً تکان دهنده است، اما شاید تعجب آور نباشد.

بیشتر بخوانید در:
- googleprojectzero.github.io : CVE-2022-41128: تایپ سردرگمی در موتور JScript9 اینترنت اکسپلورر
- www.zdnet.com : هکرها همچنان در حال یافتن و استفاده از نقص های اینترنت اکسپلورر هستند
- arstechnica.com : هکرهای کره شمالی بار دیگر از بیت های باقی مانده اینترنت اکسپلورر سوء استفاده می کنند
- www.theregister.com : کره شمالی با استفاده از تراژدی هالووین سئول برای سوء استفاده از اینترنت اکسپلورر روز صفر به پایین ترین سطح خود رسید.
- www.darkreading.com : APT37 از Internet Explorer Zero-Day برای انتشار بدافزار استفاده می کند
- www.govinfosecurity.com : هکرهای کره شمالی به روزهای صفر اینترنت اکسپلورر نگاه می کنند
- duo.com : کره شمالی APT37 از اینترنت اکسپلورر روز صفر استفاده کرد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 декабря 2022 19:53

پینگ قدیمی و بی ضرر می تواند به مهاجمان اجازه دهد تا سیستم FreeBSD را تحت کنترل خود درآورند.

نگهبانان سیستم عامل FreeBSD یک خطای بحرانی سرریز بافر را در ابزار پینگ پیدا کردند که به عنوان CVE-2022-23093 ردیابی می شود.

این مشکل به طور بالقوه می تواند منجر به اجرای کد از راه دور به عنوان ریشه در هنگام پینگ کردن یک میزبان خارجی که توسط مهاجم کنترل می شود، شود. یک اصلاح قبلاً در به‌روزرسانی‌های FreeBSD 13.1-RELEASE-p5، 12.4-RC2-p2 و 12.3-RELEASE-p10 پیشنهاد شده است.

این آسیب‌پذیری مربوط به سرریز بافر در کد مورد استفاده در ابزار پینگ برای تجزیه پیام‌های ICMP در پاسخ به درخواست پروب است.

کد ارسال و دریافت پیام‌های ICMP در پینگ از سوکت‌های خام استفاده می‌کند و با امتیازات بالا اجرا می‌شود، زیرا ابزار با پرچم setuid root ارائه می‌شود و پاسخ در سمت پینگ از طریق بازسازی هدرهای IP و ICMP بسته‌ها پردازش می‌شود. دریافت شده از سوکت خام .

در واقع، سرصفحه‌های IP و ICMP استخراج‌شده توسط تابع pr_pack() در بافرها کپی می‌شوند، بدون در نظر گرفتن این واقعیت که هدرهای توسعه‌یافته اضافی ممکن است در بسته بعد از هدر IP وجود داشته باشد.

چنین هدرهایی از بسته استخراج می شوند و در بلوک هدر گنجانده می شوند، اما هنگام محاسبه اندازه بافر در نظر گرفته نمی شوند.

اگر میزبان، در پاسخ به درخواست ICMP ارسال شده، بسته ای را با هدرهای اضافی برگرداند، محتویات آنها در ناحیه خارج از مرز بافر در پشته نوشته می شود.

در نتیجه، مهاجم می‌تواند تا 40 بایت داده را روی پشته بازنویسی کند و به طور بالقوه امکان اجرای کد او را فراهم کند.

خطر مشکل با این واقعیت کاهش می یابد که در زمان بروز خطا، فرآیند در حالت ایزوله تماس های سیستم (حالت قابلیت) است که دسترسی به بقیه سیستم را دشوار می کند. پس از بهره برداری از آسیب پذیری

با این حال، محققان توصیه می‌کنند که سیستم‌های آسیب‌دیده را به نسخه پایدار FreeBSD ارتقا دهید.

همچنین هیچ اطلاعاتی در مورد اینکه آیا سایر سیستم‌های BSD تحت تأثیر آسیب‌پذیری شناسایی‌شده قرار می‌گیرند، وجود ندارد، زیرا گزارش‌های آسیب‌پذیری در NetBSD، DragonFlyBSD و OpenBSD هنوز ظاهر نشده‌اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 декабря 2022 12:15

Exploiting Active Directory With Linux

/channel/linux_news/682

#intelligence #cybersecurity #informationsecurity

کانال تخصصی امنیت سایبری «کتاس»

23 ноября 2022 17:13

پیشنهاد میکنم وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001 ورژن 2022 و تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، و آشنایی با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید را از لینک زیر دریافت کنید:
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://lnkd.in/eRmtpytB

کانال تخصصی امنیت سایبری «کتاس»

18 ноября 2022 18:01

ویدیوی این آسیب پذیری را در اینجا ببینید.
͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

16 ноября 2022 15:58

🎉🎊🎉🎊مژده:
تخفیف ویژه لحظه آخری برای علاقه مندان
با کد تخفیف
lastsec
تعداد محدود است

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

12 ноября 2022 10:57

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

14 января 2023 18:25

اختصاصی: GhostSec مسئولیت حمله اخیر ICS روسیه را بر عهده گرفته است

GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخش‌هایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیه‌ای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.

GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی می‌گوید: «با بیانیه‌ای در مورد حمله، می‌خواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما می‌خواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه خواهد داشت
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

05 января 2023 09:09

آزمایشگاه کسپرسکی گزارش می دهد که هکرهای کره شمالی BlueNoroff، بخشی از Lazarus، در حال به روز رسانی زرادخانه و روش های تحویل خود برای موج جدیدی از حملات هستند که بانک ها و شرکت های سرمایه گذاری خطرپذیر را هدف قرار می دهند.

BlueNoroff انگیزه‌های مالی روشنی دارد و در حملات سایبری متعددی که بانک‌ها، سازمان‌های ارز دیجیتال و سایر موسسات مالی را هدف قرار می‌دهند، دیده شده است.

پس از چندین ماه سکوت، این گروه حملات خود را با استفاده از بدافزار جدید، به روز رسانی روش های تحویل برای شامل انواع فایل های جدید، و همچنین راه هایی برای دور زدن حفاظت مایکروسافت Mark-of-the-Web (MotW) از سر گرفته است.

هکرها فایل‌های iso و vhd حاوی اسناد آفیس جعلی را توزیع می‌کنند و به آن‌ها اجازه می‌دهند از MotW که ویندوز معمولاً هنگام تلاش کاربر برای باز کردن یک سند دانلود شده از اینترنت نمایش می‌دهد، اجتناب کنند.

بر اساس فیشینگ، BlueNoroff سازمان‌های هدف را برای رهگیری نقل و انتقالات ارزهای دیجیتال و سرقت حساب‌های دارایی آلوده می‌کند.

به عنوان بخشی از کمپین جدید، BlueNoroff از حدود 70 دامنه به تقلید از موسسات مالی معروف استفاده کرد، با توجه به بخش ژاپنی. علاوه بر این، اهداف سازمان‌هایی را در امارات متحده عربی، ایالات متحده و ویتنام تحت پوشش قرار دادند. دامنه ها برای حملات فیشینگ که کارکنان استارت آپ را هدف قرار می دهند، استفاده شده است.

به گفته محققان Kaspersky، این گروه همچنین روش‌های جدیدی را برای بار نهایی اتخاذ کرده است، از جمله استفاده از اسکریپت‌های Visual Basic Script و Windows Batch و همچنین یک لودر جدید برای دریافت payload مرحله بعدی.

در ماه سپتامبر، یک قربانی در امارات متحده عربی توسط یک سند آفیس مخرب مورد حمله قرار گرفت که برای اتصال به یک سرور راه دور و دانلود فایل ieinstal.exe طراحی شده بود که می‌توانست از حفاظت‌های کنترل دسترسی کاربر (UAC) عبور کند.

پس از آلوده شدن، مهاجم از درب پشتی برای نصب بدافزار اضافی با امتیازات بالا استفاده کرد.

در حمله دیگری، این گروه از یک بوت لودر استفاده کرد که سیستم را برای راه حل های آنتی ویروس Avast، Avira، Bitdefender، Kaspersky، Microsoft، Sophos و Trend Micro اسکن کرد تا آنها را غیرفعال کند.

علاوه بر این، BlueNoroff از باینری‌های LOLBins و اسکریپت‌های مختلف برای نمایش سند فریبنده و استخراج مرحله بعدی استفاده کرد. همچنین یک لودر جدید از نوع اجرایی ویندوز وجود داشت که یک فایل رمز عبور جعلی ایجاد کرد و بارگذاری بارگذاری کرد.

اخیرا، این گروه تجارت مرتبط با ارزهای دیجیتال را نیز هدف قرار داده است. به گفته محققان، تغییرات در تاکتیک ها و ابزارها نشان می دهد که احتمال کاهش تعداد حملات BlueNoroff در آینده نزدیک وجود ندارد.

سازمان‌ها توصیه می‌شوند اقداماتی را برای آموزش کارکنان برای شناسایی حملات فیشینگ، انجام ممیزی‌های شبکه و حمایت گسترده از امنیت و حفاظت از نقطه پایانی انجام دهند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

24 декабря 2022 15:13

با کد تخفیف زیر میتوانید ویدئوی آموزشی آشنایی با الزامات ویرایش جدید ISO 27001:2022 را دریافت کنید
از شب یلدا تا ۹ دی-
­
کد تخفیف: yalda
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

21 декабря 2022 20:07

بدون شرح!!

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

17 декабря 2022 10:26

پایگاه داده InfraGard برای فروش در انجمن جرایم سایبری پیدا شد
پایگاه داده کاربران InfraGard FBI برای فروش در یک انجمن جرایم سایبری ارائه شده است. پایگاه داده حاوی اطلاعات تماس 80000 عضو بخش دولتی و خصوصی InfraGard است که در زمینه امنیت فیزیکی و سایبری در سازمان هایی که زیرساخت های حیاتی کشور را تشکیل می دهند، سمت دارند.

دو کمبود باعث شد که این دسترسی اعطا شود. اول، هویت مجری جعل هویت به اندازه کافی تأیید نشده بود، دوم، گزینه‌های MFA برای اجازه دادن به عامل دومی که هکر کنترل می‌کرد، مورد استفاده قرار گرفت. (در این مورد ایمیل کنید.) هر دوی این فرآیندها با سطح ریسک قابل قبولی اجرا شدند. اطلاعات هویتی درست بود و احتمالاً از طریق سرویس‌های آنلاین تأیید شده است، مانند برنامه‌های وام، و داشتن چندین گزینه MFA سناریوهای قفل کردن حساب را کاهش می‌دهد. هنگام اتخاذ این تصمیمات، خطرات/تهدیدهای حمله به احتمال زیاد بسیار متفاوت بودند. هنگامی که خدمات مهندسی مشابه این را انجام می دهید، تهدیدات و روندها را زیر نظر داشته باشید، تصمیمات خود را مجدداً بررسی کنید و کنترل ها را با تغییر محیط تهدید به روز کنید.

این واقعیت که داده های افراد برای فروش در یک انجمن جرایم سایبری است، جنبه نگران کننده این داستان نیست، زیرا همه داده های ما دائما خرید و فروش می شوند. نگرانی این است که مجرمان اکنون جزئیات افرادی را دارند که در یک شبکه مورد اعتماد دخیل هستند و می توانند از آن برای کلاهبرداری یا سوء استفاده از روابط اعتماد ذاتی افراد در آن شبکه سوء استفاده کنند. بنابراین یادآوری به کارکنان، به ویژه کارکنان ارشد، همیشه مفید است که همیشه مراقب ارتباطاتی که از دیگران دریافت می کنند باشند.

بسیاری از اعضای جمعیت مورد اعتماد اکثر اعضا بودند. هدف اصلی انجمن ایجاد سطح اعتماد است. این اعتماد با این نشریه کاهش می یابد. علاوه بر این، ارتباط نام، ایمیل و شرکت حساس است و ممکن است برای فریب دادن سایر اعضای شرکت در حملات مهندسی اجتماعی استفاده شود. در حالی که من در آن پایگاه داده هستم، با هیچ شرکتی مرتبط نیستم. سایت واکنش گرا نیست، بنابراین نمی توانم نمایه خود را بررسی کنم، اما فکر نمی کنم اطلاعاتی در آن وجود داشته باشد که در لینکدین موجود نباشد.

بیشتر بخوانید در:
- krebsonsecurity.com : شبکه اشتراک گذاری اطلاعات تایید شده FBI 'InfraGard' هک شد


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 декабря 2022 10:07

حمله Man-in-the-Disk و نحوه دفاع در برابر آن

اگر از یک دستگاه اندرویدی استفاده می کنید، پس باید از حمله Man-in-the-Disk (MitD) و خطرات ناشی از آن آگاه باشید. به طور خلاصه، به شما این امکان را می دهد که کنترل برنامه های قانونی (مثلاً محصولات Google، Yandex یا مرورگر شیائومی) را در دست بگیرید و از آنها برای تزریق برنامه های مخرب استفاده کنید. اما بیایید عمیق تر کاوش کنیم و دریابیم که حمله MitD چیست، چگونه کار می کند و چگونه در برابر آن دفاع کنیم!

حمله MitD چیست؟

Man-in-the-Disk نوعی حمله سایبری به دستگاه های اندرویدی دارای سیستم عامل اندروید است که در آن یک برنامه مخرب نصب شده توسط کاربر بر روی تلفن هوشمند یا تبلت شروع به آلوده کردن برنامه ها یا فایل های موجود در حافظه خارجی می کند. به محض اینکه قربانی برنامه مخرب را راه اندازی می کند و به آن اجازه دسترسی به حافظه خارجی را می دهد، کد مخرب راه اندازی می شود و به آن اجازه می دهد داده ها را در آن بخواند و بنویسد. این به مهاجم اجازه می‌دهد تا فایل‌ها را اصلاح یا حذف کند، کدهای مخرب را به برنامه‌های کاربردی قانونی تزریق کند یا برنامه‌ها را بدون اطلاع کاربر نصب کند.
آشنایی با اصول اولیه: Sandboxing در اندروید

سندباکس ها ستون فقرات امنیت اندروید هستند. ایده آن جدا کردن هر برنامه نصب شده و فایل های آن از سایر برنامه های نصب شده است. این کار به این صورت است: شما یک برنامه را روی دستگاه خود نصب می کنید، پس از آن فایل های آن در یک "sandbox" جداگانه قرار می گیرند که سایر برنامه ها به آن دسترسی ندارند.

ایده این است که حتی اگر یک برنامه مخرب به دستگاه اندرویدی شما وارد شود، نمی‌تواند داده‌هایی را که برنامه‌های قانونی ذخیره می‌کنند ( ورود به برنامه بانکی و رمز عبور یا مکالمات پیام‌رسان) تغییر داده و به سرقت ببرد. به این ترتیب، حتی اگر دستگاه شما بدافزار داشته باشد، داده های مهم شما ایمن می مانند.

اما هکرها در حالت آماده باش هستند و دائماً در تلاش برای " فرار از جعبه شن" هستند که گاهی اوقات موفق می شوند.
حمله Man-in-the-Disk چگونه کار می کند؟

همه چیز کاملا ساده است. اندروید علاوه بر قسمت‌هایی در سندباکس که برنامه‌ها و فایل‌های آن‌ها در آن‌ها ذخیره می‌شوند، یک فضای ذخیره‌سازی مشترک به نام External Storage دارد. برای دسترسی به آن، برنامه باید از شما اجازه بگیرد. و اگر آن را ارائه کنید، برنامه قابلیت خواندن و نوشتن داده ها را در حافظه خارجی دریافت می کند. اما هیچ چیز مشکوکی در این مورد وجود ندارد - اکنون تقریباً هر برنامه ای چنین مجوزی را درخواست می کند. علاوه بر این، بسیاری از برنامه ها از حافظه خارجی برای تبادل فایل ها با یکدیگر، برای انتقال فایل ها بین گوشی هوشمند و رایانه یا ذخیره موقت داده های دانلود شده از اینترنت استفاده می کنند.

به عنوان مثال، هنگامی که یک برنامه را به روز می کنید، افزونه های آن ابتدا در حافظه خارجی دانلود می شوند و سپس به منطقه ای جدا شده منتقل می شوند که فقط آن برنامه به آن دسترسی دارد. اینجاست که حمله MitD وارد می شود. از روشی که اندروید با حافظه خارجی کار می کند، بهره می برد. برخلاف سندباکس، هر برنامه‌ای که اجازه خواندن/نوشتن در حافظه خارجی را داشته باشد، می‌تواند فایل‌های موجود در آن را تغییر دهد. بنابراین، حتی اگر فایل های برخی از برنامه های خوب فقط به طور موقت در حافظه خارجی ذخیره شوند، یک برنامه مخرب می تواند با تزریق کد مخرب آنها را تغییر دهد.

به نظر می رسد که وقتی یک برنامه قانونی را به روز می کنید، ممکن است حتی مشکوک نباشید که به طور تصادفی بدافزار را به دستگاه خود آورده اید. و هنگامی که می خواهید یک برنامه آلوده را اجرا کنید، کد مخرب اجرا می شود و هکر کنترل دستگاه شما را به دست می گیرد.
💊چگونه از خود در برابر حمله MitD محافظت کنیم؟

هیچ چیز پیچیده ای در اینجا وجود ندارد:

دسترسی خواندن/نوشتن به حافظه خارجی را به هیچ برنامه ای که به آن نیاز ندارد ندهید.

همیشه برنامه ها را از منابع قابل اعتماد نصب کنید، سعی کنید از دانلود و نصب برنامه ها از وب سایت های شخص ثالث و فروشگاه های برنامه خودداری کنید.

سیستم عامل و برنامه های خود را به طور منظم به روز کنید تا حفاظت کلی دستگاه را بهبود بخشید.

برنامه های غیر ضروری را نصب نکنید؛

برنامه هایی را که استفاده نمی کنید حذف کنید.

یک راه حل آنتی ویروس قابل اعتماد روی دستگاه خود نصب کنید.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 декабря 2022 09:31

غول مجازی سازی VMware روز سه شنبه به روز رسانی های اضطراری را برای رفع سه مشکل امنیتی منتشر کرد.

یکی از آنها شامل خطای خروج از ماشین مجازی است که در مسابقه هک GeekPwn 2022 به میزبانی آزمایشگاه امنیتی Tencent Keen چین نشان داده شد.

آسیب‌پذیری فرار VM که با نام CVE-2022-31705 مستند شده است، توسط محقق Ant Security Yuhao Jiang بر روی سیستم‌هایی که محصولات VMware Fusion، ESXi و Workstation کاملاً اصلاح‌شده را اجرا می‌کنند، مورد سوء استفاده قرار گرفت.

VMware این باگ را یک آسیب‌پذیری نوشتن خارج از پشته در کنترلر USB 2.0 (EHCI) توصیف کرد. این اکسپلویت برنده جایزه برتر (https://twitter.com/danis_jiang/status/1592051275088424961) در Geekpwn شد.

با توجه به بولتن (https://www.vmware.com/security/advisories/VMSA-2022-0033.html)، VMWare به آن امتیاز CVSS 9.3 داد و هشدار داد که مهاجمی با امتیازات اداری محلی روی VM می تواند از آن سوء استفاده کند. این مسئله برای اجرای کد.

در ESXi، اکسپلویت در یک جعبه شنی VMX قرار دارد، در حالی که در Workstation و Fusion می تواند منجر به RCE در ماشینی شود که Workstation یا Fusion در آن نصب شده است.

این شرکت اصلاحاتی را منتشر کرده است که شامل چند باگ تزریق فرمان و پیمایش دایرکتوری می شود که بر VMware vRealize Network Insight (vRNI) تأثیر می گذارد.

آسیب‌پذیری در vRNI REST API نیز (https://www.vmware.com/security/advisories/VMSA-2022-0031.html) توسط VMware به عنوان Critical با حداکثر امتیاز پایه CVSSv3 9.8 رتبه‌بندی شده است، زیرا مهاجمی با دسترسی شبکه به vRNI REST API، می تواند دستورات را بدون احراز هویت اجرا کند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 декабря 2022 08:09

سیسکو آسیب‌پذیری را فاش می‌کند که میان‌افزار IP Phone 7800 و سری 8800 را تحت تأثیر قرار می‌دهد.

سیسکو یک آسیب‌پذیری را در ویژگی پردازش پروتکل کشف سیسکو در میان‌افزار سیسکو IP Phone 7800 و سری 8800 افشا کرده است. مشکل در اعتبار سنجی ورودی ناکافی بسته های پروتکل کشف سیسکو دریافت شده است و می تواند برای دستیابی به اجرای کد از راه دور یا شرایط انکار سرویس مورد سوء استفاده قرار گیرد. سیسکو قصد دارد به‌روزرسانی‌هایی را برای رفع این آسیب‌پذیری منتشر کند. یک راه حل پیشنهادی غیرفعال کردن پروتکل کشف سیسکو در دستگاه های سری IP Phone 7800 و 8800 است.
یادداشت ویراستار

تا الان هیچ پچی منتشر نشده. فقط در صورتی می توانید CDP را غیرفعال کنید که LLDP را فعال کرده باشید.
این آسیب پذیری برای گوشی های سیسکو بسیار جدی به نظر می رسد. CDP پروتکلی است که به خوبی مورد استفاده قرار می گیرد و نیازی به احراز هویت ندارد و عموماً به صورت رایگان در شبکه ارسال می شود. اگر یک بسته CDP می تواند منجر به اجرای کد از راه دور شود، اکنون این دستگاه ها را وصله کنید. من نمی توانم به اندازه کافی روی این موضوع تاکید کنم، اکنون وصله کنید. من هنوز دستگاه‌های شبکه بسیار آسیب‌پذیر را بدون وصله در شبکه می‌بینم، حتی زمانی که سوءاستفاده از آن‌ها بی‌اهمیت است، و این آسیب‌پذیری بیش از ده سال است که شناخته شده است. من نمی توانم تاکید کنم که یک بسته CDP که می تواند باعث RCE شود وحشتناک است. هنگامی که شخصی در یکی از این دستگاه‌ها قرار می‌گیرد، می‌تواند به سرعت به بخش‌های دیگر شبکه بپیوندد. اگر در حال حاضر نمی توانید وصله کنید، لطفاً مطمئن شوید که این دستگاه ها در شبکه خود هستند و این شبکه ها از شبکه های داده جدا شده اند.

بیشتر بخوانید در:
- tools.cisco.com : Cisco IP Phone سری 7800 و 8800 Cisco Discovery Protocol Stack Overflow Avulnership
- www.bleepingcomputer.com : سیسکو باگ تلفن IP با شدت بالا را با کد بهره برداری فاش می کند
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 декабря 2022 19:58

حمله دیگری که توسط یک باند اخاذی به موسسات پزشکی در فرانسه انجام شد.

این بار هکرها وحشت را در مرکز پزشکی ورسای ایجاد کردند که مجبور شد عملیات را متوقف کند و برخی از بیماران را به مکان دیگری منتقل کند.

وزارت بهداشت فرانسه گزارش داد که مرکز پزشکی ورسای که شامل دو بیمارستان و یک خانه سالمندان است، در حال حاضر به طور کامل فاقد هرگونه سیستم کامپیوتری است.

فرانسوا براون، وزیر بهداشت، گفت که این حمله به سازماندهی مجدد کامل بیمارستان منجر شد، زیرا به کارکنان اضافی در بخش مراقبت های ویژه نیاز بود، زیرا برخی از تجهیزات شبکه ای حیاتی نیاز به نظارت دقیق تری داشتند و در حال حاضر به سادگی غیرفعال شده است.

مهاجمان تقاضای باج کردند که مقدار آن هنوز فاش نشده است، اما مقامات قبلاً امتناع کرده اند، زیرا فرانسه قانونی دارد که مؤسسات دولتی را از پرداخت باج منع می کند.

اطلاعات محرمانه کارکنان و بیماران قبلاً در وب سایت مهاجم منتشر شده است و پلیس فرانسه گروه باج افزار LockBit را عاملان این حمله معرفی کرده است.

به گفته وزیر بهداشت، حملات به ارائه دهندگان خدمات بهداشتی و موسسات پزشکی در چند ماه گذشته به طور مرتب در فرانسه رخ داده است، اما از اکثر این حملات جلوگیری شده است.

با این حال، در ماه آگوست، بیمارستانی در حومه پاریس به نام Centre Hospitalier Sud Francilien مورد حمله باج افزاری قرار گرفت که چند هفته طول کشید تا بهبود پیدا کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 декабря 2022 19:51

⚠️ هشدار!
🔴 کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

🔷 این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

✅ به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

08 декабря 2022 08:07

تحقیقات Qualys Threat نشان داده است که چگونه می توان یک آسیب پذیری در لینوکس را به دو نقص به ظاهر بی ضرر دیگر به منظور به دست آوردن امتیازات superuser در سیستم آسیب دیده مرتبط کرد.

آسیب‌پذیری جدید به‌عنوان CVE-2022-3328 ردیابی شده است و Snap-confine را در Snapd تحت تأثیر قرار می‌دهد، ابزاری که توسط Canonical ایجاد شده و برای ایجاد یک محیط زمان اجرا برای برنامه‌های نرم‌افزاری Snap استفاده می‌شود.

برنامه پیش فرض در اوبونتو وجود دارد که توسعه دهندگان آن CVE-2022-3328 را به عنوان یک آسیب پذیری جدی توصیف کرده اند که می تواند برای افزایش امتیازات محلی و RCE استفاده شود.

محققان Qualys توانستند CVE-2022-3328 را با دو مشکل اخیراً کشف شده که Multipathd را تحت تأثیر قرار می‌دهند ترکیب کنند تا یک حمله قدرتمند را انجام دهند.

Multipathd دیمون بررسی مسیر است که به عنوان ریشه در نصب استاندارد اوبونتو و سایر توزیع‌ها اجرا می‌شود.

Multipathd تحت تأثیر یک مشکل دور زدن مجوز است که یک کاربر غیرمجاز می تواند از آن برای اجرای دستورات ممتاز در Multipathd (CVE-2022-41974) و یک حمله پیوند نمادین (CVE-2022-41973) استفاده کند که می تواند برای RCE استفاده شود.

ترکیب یک آسیب‌پذیری Snapd با دو نقص Multipathd می‌تواند به هر کاربر غیرمجاز این امکان را بدهد که در یک دستگاه آسیب‌پذیر امتیازات root را به دست آورد.

در نتیجه، Qualys یک اکسپلویت ایجاد کرد که به شما امکان می‌دهد هنگام نصب اوبونتو به‌طور پیش‌فرض، امتیازات کامل ابرکاربر را دریافت کنید.

اگرچه این آسیب پذیری نمی تواند از راه دور مورد سوء استفاده قرار گیرد، اما محققان هشدار می دهند که یک کاربر غیرمجاز می تواند از آن سوء استفاده کند.

Qualys توصیه هایی با اطلاعات فنی دقیق ارائه کرد و تصمیم گرفت با توجه به جدی بودن ترکیب، PoC را منتشر نکند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

19 ноября 2022 06:43

ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

18 ноября 2022 17:55

͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند. اشکال تشدید امتیاز به‌عنوان CVE-2022-20465 ردیابی می‌شود و توسط محققی به نام دیوید شوتز کشف شد که برای آن جایزه 70000 دلاری از گوگل دریافت کرد. بهره‌برداری به مهاجم اجازه می‌دهد تا با راه‌اندازی مکانیزم بازنشانی پین سیم‌کارت که کاربر را ملزم به وارد کردن کد PUK می‌کند، قفل گوشی اندروید را باز کند. در این سناریو، یک مهاجم با دسترسی فیزیکی به یک دستگاه قفل شده باید سیم کارت خود را جایگزین کند و سپس پین اشتباه را سه بار وارد کند تا فرآیند بازنشانی آغاز شود. این شامل درخواست یک کد کلید باز کردن قفل PUK 8 رقمی است. به محض اینکه مهاجم یک کد PUK را وارد می کند، بدون نیاز به وارد کردن رمز عبور یا الگو برای باز کردن قفل آن، به دستگاه دسترسی کامل دارد. این مشکل به دلیل یک اشکال در تابع .dismiss() است که پس از وارد کردن کد PUK فراخوانی می‌شود و دستگاه‌های دارای Android 10، 11، 12 و 13 را تحت تأثیر قرار می‌دهد. در نظر گرفته شده است که صفحه امنیتی فعلی را ببندد، که باید یک درخواست PUK به دلیل این آسیب‌پذیری، مؤلفه مانیتورینگ سیم‌کارت در پس‌زمینه، صفحه امنیتی را درست قبل از فراخوانی تابع .dismiss تغییر می‌دهد، که باعث می‌شود صفحه PIN/passcode بسته شود و در نهایت قفل گوشی باز شود. به عنوان یک راه حل، Google این تابع را تغییر داد تا پارامتر جدیدی را شامل شود که در آن تابع فراخوانی مشخص می کند که چه نوع صفحه امنیتی بسته شود. اما چیز دیگری جالب است: محقق این آسیب‌پذیری را در اواسط ژوئن به گوگل گزارش داد. بعد از یکی دو ماه به او گفتند که این گزارش تکراری است و آن را رد کردند. با این حال، شوتز تصمیم گرفت متوقف نشود و مشکل را در رویداد عمومی ESCAL8 در لندن نشان داد، که مورد توجه شرکت کنندگان از کارکنان مهندسی گوگل قرار نگرفت. در نتیجه غول مجبور شد اشتباه خود را بپذیرد و هزینه آن را بپردازد. این آسیب پذیری با انتشار وصله های نوامبر برای اندروید بسته شد. واقعیت این است که این به هیچ وجه یک باگ نیست، بلکه یک ویژگی است با توجه به سرعت بسیار زیاد و سهولت کار.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

13 ноября 2022 10:38

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای کانال
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

05 ноября 2022 19:17

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti