آنتی ویروس ایمن با طعم بیت دفندر

چند روز پیش که به الکامپ هفدهم رفته بودم یک سی دی ایمن نسخه ققنوس را دریافت کردم. طبق عادت که همه‌ی آنتی ویروس ها را نصب می‌کنم، این رو هم بردم نصب کردم، قبل از نصب دیدم امضای فایل ستاپ بنام بیتدفندر هست. تفاوت حجمی 10-20 مگابابت به 230 مشخصه که اتفاقی طی این چند روز افتاده. البته مدیران ایمن با توجه به ضعف فاحش نرم افزار قبلی، بر حمایت و نقاط مثبت ایمن اتکا می کردند، کم اطلاع‌ترین کارشناسان IT هم می‌دونند که تولید آنتی‌ویروس بدون همکاری‌های بین‌المللی ممکن نیست، ولی آن مدیران همچنان بر طبل نرم افزار ضعیف خود می کوبیدند تا جایی که وقتی نتونستند حمایت مالی رو جلب کنند اعلام به جمع شدن شرکت کردند.

البته فروش Bitdefender فقط با تغییر لوگو به نام آنتی ویروس ایرانی و دریافت حمایت مالی، کاری غیراخلاقی به نظر می‌رسد، هرچند که این کار به طور رسمی و با انجام قرارداد با شرکت خارجی صورت پذیرفته باشد.

هم اکنون ایمن هم در کنار شید قرار گرفت با تغییراتی جزئی.

تصویر آنتی ویروس ایرانی ایمن نسخه ققنوس اینترنت سکیوریتی:

تصویر آنتی ویروس بیت دفندر:

انتشار آخرین وصله امنیتی مایکروسافت

MS11-085- آسیب پذیری در Windows Mail  و  Windows Meeting Space می تواند باعث اجازه ی اجرای از راه دور کد شود (۲۶۲۰۷۰۴).

این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به مایکروسافت ویندوز بود را رفع می کند. آسیب پذیری می‌توانست اجازه ی اجرای از راه دور کد شود اگر کاربر سعی می کرد یک پرونده مجاز (از قبیل فایل با پسوند .eml  یا  .wcinv) که در همان شاخه ی شبکه ی یک کتابخانه ی پیوند داینامیک (DLL) به طور خاص ساخته شده قرار دارد باز کند. سپس، هنگامی که سعی در باز کردن فایل مجاز می شد، Windows Mail یا  Windows Meeting Space فایل دی.ال.ال را بارگزاری نموده و کد آن را اجرا می نمود. برای موفق بودن حمله، یک کاربر می بایست یک مکان سیستم فایل غیرقابل اعتماد یا یک اشتراک WebDAV  را مرور کند و یک فایل مجاز (از قبیل فایل با پسوند .eml  یا  .wcinv) را از این مکان باز کند که بعدا توسط یک برنامه ی آسیب پذیر بارگزاری شده است.

MS11-086 – آسیب پذیری در  Active Directory می تواند باعث بالا بردن سطح دسترسی شود (۲۶۳۰۸۳۷).

این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به اکتیودایرکتوری، اکتیودایرکتوری حالت کاربردی، اکتیودایرکتوری سرویس دایرکتوری سبک را رفع می کند. اگر اکتیودایرکتوری طوری تنظیم شده باشد که LDAP را بر روی SSL (LDAPS) استفاده کند و مهاجم از یک شناسنامه ی ابطال شده ی یک دامین معتبر برای ورود استفاده کند می تواند اجازه ی بالا رفتن سطح دسترسی را دهد. به طور پیش فرض، LDAPS فعال نیست.

آسیب پذیری زیر متوسط است:

MS11-084- آسیب پذیری در درایورهای حالت هسته ی ویندوز می تواند باعث  Denial of Service شود.  (۲۶۱۷۶۵۷) این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به مایکروسافت ویندوز بود را رفع می کند. اگر کاربر یک فایل به خصوص فونت نوع صحیح را به عنوان ضمیمه ی ایمیل باز کند یا به مکان اشتراک گذاشته شده در شبکه یا WebDAV  برود و در آن یک فایل فونت نوع صحیح باشد می تواند اجازه ی Denial of Service را دهد. برای اینکه یک حمله موفقیت آمیز باشد کاربر باید یک فایل سیستم از راه دور یا WebDAV اشتراکی را که در آن فایل فونت نوع صحیح می باشد را مشاهده کند یا فایل را به عنوان ضمیمه ی ایمیل باز کند. در تمام این حالات مهاجم نمی تواند کاربر را اجبار کند بلکه باید کاربر را متقاعد کند یکی از این کارها را بکند نوعا از طریق یک پیوند در ایمیل یا مسنجر.

برای اطلاعات بیشتر به آدرس زیر رجوع کنید:

http://technet.microsoft.com/en-us/security/bulletin/ms11-nov

کوییک‌هیل به کاربران توصیه می کنیم به روزرسانی خودکار ویندوز را فعال کنند تا وصله های ضروری خودکار نصب شوند.

منبع: وبلاگ امنیتی

تجربه امنیت در اینترنت با ویژگی سندباکس مرورگر

امروزه بیشتر قربانی های آلودگی ها با دیدن سایتهای آلوده که کدهای مخرب در خود جای داده‌اند آلوده می شوند. اگرچه شهرت سایتها توسط همه ی نرم افزارهای ضد بدافزار مورد بررسی قرار می گیرد، همیشه تعدادی سایت باقی می مانند که به تازگی آلوده شده اند و نام آن ها در پایگاه داده شهرتها قرار ندارد. در نتیجه نیازی به ایجاد لایه‌ی دیگر حفاظت  برای بلاک و فیلتر مؤثر این تهدیدات با سرعت در حال افزایش وب به وجود می آید.

این احتمال وجود دارد که آلودگی را از سایتی آلوده بگیرد که اخیرا آلوده شده است و از بدافزارهای خاصی که برای این منظور طراحی شده که حتی توسط نرم افزار امنیتی به روز شده  پیدا نمی شود استفاده می کند. دلیلی که وجود دارد این است که این تروجان های سایتهای آلوده سعی می کنند از یک حفره ی جدید مستند نشده در ویندوز یا مرورگر اینترنت یا یک نرم افزار مانند ادوبی ریدر برای در اختیار گرفتن کنترل رایانه ی شخصی شما استفاده کنند.

در این صورت، سامانه سندباکسینگ مرورگر  یک لایه ی اضافی امنیتی ضروری را ارائه می دهد. سندباکسینگ مرورگر تکنیکی است که محیطی مجازی را ایجاد کرده و بروزر شما را از طریق این محیط مجازی ایجاد شده در رایانه ی شخصیتان اجرا می کند. زمانی که شما در حال مرور سایتهای اینترنتی توسط مرورگری که در محیط مجازی اجرا شده می‌باشید، باعث محافظت محیط واقعی رایانه ی شخصی شما در مقابل سایتهایی که ممکن است آلوده باشند و شما آنها را ببینید می شود. با این روش رایانه ی واقعی شما تحت تاثیر قرار نمی گیرد.

روش اجرای مرورگر در سندباکس چند سالی است که استفاده می شود. گوگل کروم ویژگی سندباکس را ارائه می دهد و اینترنت اکسپلورر این ویژگی را با نام «اجرا در حالت محافظت شده» دارد که محیطی مشابه را ارائه می دهد. هرچند محدودیت هایی برای این ویژگی توسط توسعه دهندگان مرورگرها تعبیه شده است. اول اینکه این ویژگی به صورت پیش فرض فعال نیست و کاربر مجبور است خود آن را فعال سازد. دیگر آنکه مجازی سازی محیط کامل نمی باشد و کاربر ممکن است با بدافزارهای هوشمندتر آلوده شود.

این باعث ایجاد جای خالی در مرورگرهای مشهور می شود که باید محیط سندباکس امن تری توسعه یابد که به طور پیش فرض فعال است و هر نوع بدافزار را از آلوده کردن وا می دارد. آقای راجش نیکام محقق ارشد کوییک هیل نتایج تحقیقات خود و یک دیدگاه عمیق در رابطه با سندباکسینگ مرورگر را در کنفرانس بین المللی آوار در هنگ کنگ در ۱۱ نوامبر ۲۰۱۱ ارائه می دهد. برای جزئیات بیشتر راجع به کنفرانس اَوار ۲۰۱۱ به این پیوند مراجعه کنید:
http://www.aavar.org/avar2011

مرجع: وب سایت امنیتی

روبات های گوگل جهت جلوگیری از هک

بات های جدید جستجوی گوگل باهوشترند، آیا برای جلوگیری از سوء استفاده به اندازه ی کافی باهوشند

ظاهرا گوگل اخیرا خدمات جستجوی خود را به روز رسانی نموده است. در میان ویژگی های جدید بسیار که اضافه شده اند یکی که از نظر کاربر بدخواه خیلی مهم است توانایی اش در خواندن توضیحات کاربر است. باتهای گوگل هم اکنون قادرند توضیحات پویای ارسال شده توسط کاربران را بخوانند.  بیشتر موتورها یا فریم ورکها که به کاربران در ارسال توضیحات کمک می کنند بر اساس جاوا اسکریپت می باشند و توسط باتهای گوگل قابل دیدن نیستند. به نظر می رسد گوگل بر این چالش چیره شده است زیرا هم اکنون باتهای گوگل قادرند جاوا اسکریپت و مؤلفه های آژاکس را اجرا کنند و توضیحات پویا را که بعدا در نتایج جستجو ایندکس می شوند بخوانند. هم اکنون این باعث ایجاد تکنیک بهینه سازی موتور جستجو (SEO) توسط ماشین آلات بازاریابی آنلاین می شود و همزمان می تواند توسط کاربران بدخواه نیز مورد سؤاستفاده قرار گیرد.

همانطور که همه آگاهی دارند مجرمان سایبری از تکنیکهای SEO برای بهبود موقعیت پیوند آلوده ی خود در جستجوی گوگل استفاده می کنند و این ویژگی جدید گوگل را به آسانی برای لیست کردن پیوندهای خود در نتایج گوگل مورد سؤاستفاده قرار میدهند. برای انجام آن از پستهای خودکار در مطالب داغ (که مانیتور نمی شود) به همراه پیوند به پایگاهای آلوده. می توان منتظر بود و اتفاق افتادن این را در اینترنت دید.

نرم افزار جعلی دکتر باطری اندروید

نرم‌افزار کلاهبردارانه (Scareware) جدید گوشی های موبایلی که سیستم عامل اندروید گوگل را اجرا می کنند ادعایی مبنی بر توانایی شارژ کردن باتری می کند.  این گوشی همچنین توانایی سرقت  اطلاعات را دارد.

وقتی پنجره برای اولین بار اجرا می شود، پنجره ی پیش نمایش زیر ظاهر می شود. همانطور که می بینید اطلاعاتی در باره ی باتری و برنامه های در حال اجرا و نمودار دایره ای در سمت راست میزان فضای قابل دسترس حافظه ی دستگاه را نشان می دهد.

برنامه یک سرویس به نام NotifAdSDK را بارگزاری می کند که هر چهار ساعت چک می شود و اطلاعات پروفایل شما را ارسال می کند.

Battery Doctor اطلاعات زیر را به سرور خانگی‌اش “push.m[xxxx]ze.com” ارسال می کند:
- اندازه ی صفحه اش
- نسخه ی مرورگر و سیستم عامل گوشی
- برنامه ای که ترافیک را اجرا می کند  (com.androidupgrade.battery)  و نسخه آن
- نام کامپین
- مدل و سازنده ی دستگاه
- شبکه‌ای که گوشی از آن استفاده می کند
- شبکه ی موبایل گوشی یا مکان مناسب جی پی اس
- IMEI  و شماره ی تلفن
- کلید API  برنامه
- یک شناسه ی یکتا برای دستگاه (گوشی)

از سندیپ برای آنالیز نمونه تشکر می کنیم. بسته ی امنیتی کوییک هیل فایل را به عنوان  Android.Batterydoctor.A می شناسد.

به کاربران توصیه می شود برنامه ها را فقط از سایتهای قابل اعتماد دانلود کنند.

مرجع: مقالات امنیتی IT

ویژگی آنتی ویروس های موبایل بر روی اندروید

چیزهایی که از یک موبایل سکیوریتی کامل انتظار می‌رود، بیش از یک آنتی‌ویروس ساده برای موبایل است. اگرچه گرایش تفکرات مخرب و ویروس‌نویسان در حال میل به سمت دستگاههای قابل حمل مانند موبایل و تبلت بیشتر شده، اما نباید سطح انتظار از یک پکیج امنیتی را تنها محصور به ویروسیابی نمود. 

در میان سیستم‌عاملهای فعال در گوشی‌های موبایل هوشمند و PDAها بی‌شک گوگل اندروید در صدر فهرست قرار دارد. برمبنای تئوری تمرکز تبهکاران سایبری بر روی پرطرفدارترین سیستم عامل‌ها، انتشار بدافزارهای اندروید روز به روز در حال رشد می‌باشد. 

شرکتهای بزرگ امنیتی مانند کوییک‌هیل، مکافی، سیمانتک، ای‌ست، کسپرسکی دست به تولید پکیج‌های امنیتی ویژه موبایل‌های اندروید نموده‌اند که هر یک دارای ویژگی‌هایی می‌باشند. از این بین تکنولوژی‌های کوییک‌هیل توانسته با استفاده تجربیات خود در زمینه امنیت و بکارگیری و اجتماع چندین تکنولوژی یک نرم‌افزار جامع طراحی و با قیمتی کمتر از رقبای خود وارد بازار نماید.

پکیج امنیتی کوییک‌هیل علاوه بر ماژول ویروسیابی، از امکانات دیگری مانند مسدود کردن پیامک‌های ناخواسته، مسدود کردن تماس‌های خاص، امکان ردیابی گوشی پس از سرقت و... برخوردار می‌باشد.

در ویژگی ضد سرقت، شما می‌توانید از راه دور گوشی خود را قفل نمایید و شماره و مکان گوشی خود را بیابید. همچنین در صورت تعویض سیمکارت، شماره سیمکارت جدید فوراً به شماره از پیش تعریف شده پیامک می‌شود.

با استفاده از ویژگی مسدود کردن تماس صوتی، می‌توانید یک یا چند شماره خاص را مسدود نمایید. علاوه بر این می‌توانید امکان تماس به شماره خاصی را از گوشی خود مجاز شمارید. این ویژگی در مواقعی که شما می‌خواهید گوشی را به کسی بدهید تا فقط بتواند با شما تماس بگیرد کاربرد دارد.

ماژول محافظت از داده‌های حساس، امکان رمزنگاری فایل‌ها، شماره‌ها، SMSها و... بر روی گوشی شما را فعال می‌سازد.

برای اطلاعات بیشتر به وب‌سایت آنتی‌ویروس مراجعه نمایید. قیمت پک کامل موبایل سکیوریتی اندروید کوییک‌هیل 12000 تومان می‌باشد که از طریق فروشگاه اینترنتی قابل تهیه است.

حمله جدید فیشینگ تویتر

امروز یک حمله ی جدید فیشینگ تویتر به سرعت در حال پخش شدن است و سعی می کند از طریق پیغام مستقیم اطلاعات ورودی اکانت را کسب کند. اگر شما یک پیغام «یک تصویر خنده دار از شما پیدا کردم» (Found a funny picture of you! ) را همراه با پیوند به mugweb.ru دریافت کردید، روی این پیوند کلیک نکنید.

کلیک روی این پیوند شما را به آدرس زیر می برد:

twittelr.com/verify-/session/login-/

کاربرانی که روی لینک کلیک می کنند و جزئیات اکانت خود را وارد می کنند سهوا اجازه می دهند فرستندگان هرزنامه اختیار اکانتشان را در دست گیرند و این چنین هرزنامه ای را توسط پیغام مستقیم به تمام دوستان آنها ارسال کنند.

صفحه ی وب twittelr.com تقلیدی است از صفحه ورود تویتر. اطلاعات اکانت خود را در این صفحه وارد نکنید. با این کار کنترل کامل اکانت خود را به هکرها می دهید.

اگر اطلاعات اکانت خود را وارد کردید، شما باید کلمه عبور خود را تغییر دهید. اگر نمی توانید وارد شوید، باید درخواست ریست پسوورد را به سایت تویتر بدهید.

کوییک هیل این دامین را می شناسد و بلاک می کند.