مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

انتشار شده در تاریخ 1392/08/12 - 21:24

تماس تلفنی، موثرتر از بدافزار

هر ساله در همایش امنیتی DEFCON، مسابقات CTF از پرطرفدارترین رویدادها است. در دوره‌ی ۲۱ این همایش نیز ۱۰ نفر مرد و ۱۰ نفر زن خود را علیه ۱۰ شرکت بزرگ آزمودند.

موسسه خبری سایبربان: هر ساله در همایش امنیتی DEFCON، مسابقات CTF از پرطرفدارترین رویدادها است. در دوره‌ی ۲۱ این همایش نیز ۱۰ نفر مرد و ۱۰ نفر زن با سطح مهارت‌های مختلف، توانایی‌های خود را علیه ۱۰ شرکت بزرگ، شامل اپل، بوئینگ، اگزان، جنرال داینامیکس و جنرال الکتریک آزمودند.

اکنون پس از گذشت مدتی از این مسابقات، نتایج کامل آن منتشر شده است که نشان می‌دهد اوضاع امنیتی این شرکت‌ها چندان مناسب نیست.

به گفته‌ی کریس هادنگی، از متخصصان مشهور مهندسی اجتماعی: «در حالی که کیفیت و آمادگی شرکت‌کنندگان در این مسابقات هر لحظه در حال افزایش است، شرکت‌ها هیچ پیشرفت چشمگیری جهت امنیت اطلاعات موجود در اینترنت و آموزش و آماده‌سازی کارمندان جهت مقابله با مهندسان اجتماعی ماهر نداشته‌اند. به عنوان مثال یکی از شرکت‌کنندگان توانست به یک سند مربوط به بخش پشتیبانی یک شرکت دسترس پیدا کند که حاوی اطلاعات لازم جهت ورود به پرتال کارمندان شرکت بود. این مسأله ناامیدکننده است که پس از سال‌ها حمله و هشدار، این اطلاعات ارزشمند هنوز به آسانی قابل دسترسی و سوءاستفاده هستند.»

در مسابقات SECTF شرکت‌کنندگان تلاش می‌کنند به دنبال «پرچم» بگردند؛ یعنی اطلاعات خاصی که می‌توان از آن‌ها برای نفوذ موفقیت‌آمیز به شرکت‌ها استفاده کرد. در بخش اول مسابقه، به شرکت‌کنندگان دو هفته زمان داده می‌شود تا تنها با استفاده از گوگل، LinkedIn، فلیکر، فیسبوک، توییتر، وبگاه شرکت و سایر وبگاه‌ها، به جمع‌آوری اطلاعات در مورد اهداف خود بپردازند. در این مرحله‌ی جمع‌آوری اطلاعات، شرکت‌کنندگان اجازه دارند تا حد امکان به یافتن پرچم‌های از پیش تعیین‌شده بپردازند، اما اجازه‌ی تماس گرفتن با شرکت یا کارکنان آن را ندارند.

پس از آن مرحله‌ی تماس گرفتن با شرکت در طی کنفرانس DEFCON صورت گرفت. در این بخش مسابقه، مهندسان اجتماعی با استفاده از اطلاعات جمع‌آوری شده در مرحله‌ی قبل، با کارکنان شرکت تماس گرفتند تا اطلاعات بیشتری کسب کنند.

دو مورد از بیشترین پرچم‌های یافته‌شده، مرورگر و سامانه‌ی عامل شرکت‌های هدف بود. با این دو قطعه اطلاعات، آسانترین راه برای نفوذ به شبکه، یک رایانامه‌ی فیشینگ خواهد بود که یا حاوی بدافزار بوده و یا دریافت‌کننده‌ی آن را به وبگاهی مخرب هدایت کرده و در نهایت از آسیب‌پذیری‌های مرورگر و یا سامانه‌ی عامل سوءاستفاده کند.

علاوه بر این، پرچم‌های یافته شده در مرحله‌ی جمع‌آوری اطلاعات می‌توانند برای ایجاد سناریوهای قوی – مانند جا زدن خود به عنوان یکی از کارمندان بخش نظافت – برای دسترسی به محل دفتر و جمع‌آوری اطلاعاتی که در محل امن قرار ندارند، استفاده شوند. همچنین قابل ذکر است که تمام پرچم‌های از پیش تعیین‌شده، در طی مسابقه توسط حداقل یکی از شرکت‌کنندگان یافته شدند.

هادنگی همچنین افزود: «بر اساس تمام داده‌ها و مشاهدات ما، می‌توان نتیجه گرفت که مهندسی اجتماعی هنوز خطر امنیتی بزرگی برای شرکت‌ها محسوب می‌شود. این پنجمین سال متوالی است که این مسابقات را برگزار می‌کنیم، و علی‌رغم رخنه‌های امنیتی بزرگ و متعدد در بخش تجاری، هیچ پیشرفت قابل توجهی در بهبود بعد انسانی امنیت سامانه‌ها شاهد نبوده‌ایم. هدف ما همیشه، امنیت از طریق آموزش، بوده و خواهد بود.»

مسابقات SECTF برای افزایش آگاهی در مورد تهدید مداوم از سوی مهندسان اجتماعی و نمایش زنده‌ی تکنیک‌ها و تاکتیک‌های مورد استفاده توسط مهاجیمن برگزار می‌شود.