December 14, 2010

Heartbeat

Just to note that this blog is NOT dead,  just not updated for couple of months. I`ll try to resume it soon with some posts, both lightening and  usual technical ones.

July 24, 2010

Minor changes in blog

I'm experiencing some of new blogger features and playing with them to make the blog more readable for users. I've also added the blogger rating option too, as you may have already noticed. This will let you rate each of my posts and vote for available options. Please do so from now on and for past blog posts, so I know more about your taste of reading. As I found most of readers too lazy to comment about posts, though this might be easier to use ;)
Also please let me know if you've any suggestion about the voting options.


من در حال تست برخی از امکانات جدید بلاگر و استفاده از آنها هستم تا شاید بتوان وبلاگ را برای خوانندگان کمی قابل استفاده تر و بهتر کرد. همچنین همانطور که متوجه شدید در انتهای هر پست قابلیتی نیز برای رای دادن به هر پست اضافه شده که از امکانات جالب و جدید بلاگر است. این قابلیت به شما امکان می دهد تا نظر خود را در مورد هر یک از پست ها اعلام نمایید، تا من نیز بر این اساس شناخت بیشتری از سلیقه و نظر شما داشته باشم. با توجه به اینکه بیشتر خوانندگان این وبلاگ تنبل تر از آن هستند که از کامنت برای اعلام نظر استفاده کنند، شاید استفاده از این قابلیت راحت تر باشد. لطفآ پس از این و همچنین در مورد پست های قبلی وبلاگ با استفاده از این قابلیت نظر خود را در مورد هر پست اعلام کنید.
همچنین در صورتی که در مورد گزینه های موجود برای رای دهی پیشنهادی دارید، ذکر کنید.

July 23, 2010

The StuxNet VS Iran

مطلب این پست مربوط به (Malware) بدافزاری می باشد که اخیرآ توجه بسیاری از شرکت های امنیتی، ضد ویروس و همچنین مایکروسافت را به خود جلب کرده است. بد افزار StuxNet از چند جهت نمونه ایی بسیار قابل توجه می باشد. اول اینکه برای انتشار خود از چند ضعف امنیتی جالب و البته پیش از این ناشناخته استفاده می کند. دوم اینکه یک نمونه شاخص از بدافزارهای هدفمند می باشد که گروهی بسیار خاص از رایانه ها و کاربران را هدف قرار می دهد و سوم اینکه برای نصب بی سر و صدای خود در سیستم، علاوه بر بکار گیری تکنولوژی روت کیت، از گواهی های معتبر شرکت RealTek که به سرقت رفته است استفاده می نماید.


روش اصلی انتشار این بد افزار از طریق آلوده کردن فلش دیسک های متصل شده به سیستم می باشد که توضیحات در این خصوص در منابع ذکر شده در طول پست آمده است. البته این بد افزار از روش های دیگری نیز در حال انتشار می باشد که بگفته گزارش مایکروسافت، بیشترین گستردگی و آلودگی از طریق ایمیل و وب سایت های عرضه نرم افزارهای کرک و کد های تقلب بازی می باشد.





در خصوص نکته اول: ضعف امنیتی بکار گرفته شده در این بدافزار، مربوط به یک آسیب پذیری ناشناخته (0-day) می باشد که پیش از این، گزارش و یا مشاهده نشده بوده. این ضعف امنیتی که مربوط به فایل فرمت LNK (نوعی از همان Short-cut های ویندوز) می باشد به حمله کننده اجازه میدهد تا بصورت بسیار پایداری سیستم کاربر را مجبور به اجرای کد مورد نظر خود از طریق هدایت به DLL مد نظر نفوذگر کند. علت پایداری بالای این حمله این است که بر خلاف بسیاری از موارد مشابه، سرریز بافری در کار نیست! ضعف مذکور کلیه نسخ سیستم عامل های مایکروسافت را در بر میگیرد. نیاز به یاد آوری نیست که سیستم عامل ویندوز 2000 و همچنین ویندوز XP سرویس پک 2 و ما قبل آن دیگر توسط مایکروسافت پشتیبانی نشده و بنابراین اصلاحیه امنیتی ایی نیز برای آنها منتشر نخواهد شد.


درخصوص نکته دوم: بدافزار مذکور بصورت کاملآ خاص و مشخص، یکی از نرم افزارهای SCADA شرکت زیمنس (Simatic PCS) را هدف قرار می دهد. نکته جالب تر اینکه این بد افزار، کلمات عبور پیش فرضی که این نرم افزار از آنها برای تبادل اطلاعات با بانک اطلاعاتی خود مورد استفاده قرار می دهد را، بصورت hard-code شده در خود داشته و از آنها برای اتصال به بانک های اطلاعاتی و استخراج اطلاعات استفاده می کند. کاربری نرم افزار مذکور شرکت زیمنس نیز خاص بوده و منحصر به سیستم های هدایت و مانیتورینگ در صنایع، تاسیسات خاص و ... می باشد. شرکت زیمنس در این خصوص البته پاسخگو بوده و راهکارها و توضیحاتی را ارائه داده است.


در خصوص نکته سوم: حتمآ از راهکار امنیتی Driver-Signing مایکروسافت اطلاع دارید. هدف از بکار گیری این راهکار شناسایی سریع درایورهای غیرمعتبر و غیر مجاز نصب شده بر روی سیستم است. بد افزار یاد شده، برای فرار از این مورد، از گواهی های رسمی و معتبری استفاده کرده است که شرکت RealTek (یک تولید کننده معتبر سخت افزار) از آنها برای امضای دیجیتال درایورهای خود استفاده می نماید. مشاهده این مورد و اینکه درایورهای نصب شده توسط بد افزار با این امضای دیجیتال تآیید شده اند یک معنی و مفهوم واضح دارد : طراحان و تولید کننده گان این بد افزار بطور قطع به کلید خصوصی مربوط به این گواهی دسترسی داشته اند، که به معنی نفوذ موفقیت آمیز به سیستم های تولید کننده گان نرم افزار و درایورهای شرکت RealTek نیز میتواند باشد. البته با همکاری و پیگیری مایکروسافت، شرکت VeriSign گواهی های مورد استفاده را باطل کرده است. اظهار نظر و بررسی های متخصصین شرکت Kaspersky و همچنین ESET نیز در این خصوص مفید و خواندنی بوده، و در قالب یک FAQ به نکاتی در این خصوص اشاره می کند. شرکت RealTek تاکنون هیچ توضیح و یا اطلاعاتی در خصوص این رویداد امنیتی نداده است.






تصاویر، اعداد و ارقام و توضیحات گزارش اولیه ارائه شده مایکروسافت تقریبآ واضح هستند و نیازی به توضیح خاصی نیست. در صورتی که گزارش مایکروسافت به اندازه کافی شما را به فکر فرو نمی برد، شاید بررسی گزارش شرکت Symantec و مشاهده فعالیت بدافزار از دیدگاه و روش جالب بررسی آنها، کمی بیشتر شما را نگران کند. بر طبق این گزارش، بیش از 58% از تماس های برقرار شده (14000 آدرس IP واحد) از سیستم های آلوده که با سرور کنترل کننده (C&C) این بدافزار تماس گرفته اند، از کشور ایران بوده اند!




بررسی ASN های ذکر شده در گزارش Symantec مناطق و نواحی آلوده در ایران را نیز بصورت کاملآ مشخص اما کلی بازگو می نماید. با مراجعه به وب سایت هایی مانند Robtex میتوان براحتی به اطلاعات ثبت شده مربوط به هر ASN دست یافت. بطور مثال بیشترین آلودگی ثبت شده مربوط به route های شرکت دیتا می باشد(ASN 12880).



تنها دلیل ارسال این پست تآکید بر اهمیت این موضوع و پررنگ تر کردن آن می باشد. رسانه های خارجی بحث های زیادی در این مورد مطرح کرده اند اما گویا کمترین توجه و رسیدگی در روزهای اخیر در جایی وجود داشته، که بیشترین آلودگی و گسترش در آنجاست. و جالب تر آنکه دیگران، بسیار بیشتر از خود ما، درباره وضعیت ما اطلاع دارند و آنرا بصورت آزاد منتشر می کنند. در چنین رویداد های امنیتی است که می بایست این سوال مطرح شود: " خروجی آن همه هزینه که صرف راه اندازی تیم ها و گروه های امنیتی با پشتیبانی دولتی و دانشگاهی شده و میشود، در چنین مواردی چه بوده است؟!" . آیا اصلا خروجی ایی در کار است و یا گزارش های ارائه شده توسط این دسته نیز مبتنی بر اطلاعات ارائه شده توسط شرکت های غیر ایرانی است؟

 بررسی اینکه چرا ایران در صدر کشورهای مورد حمله این بدافزار قرار دارد نیاز به اطلاعات و جزئیات بیشتری دارد، اما می توان چند حدس مشخص داشت. اولین و پر رنگ ترین گزینه ممکن تلاش هدفمند برای کسب اطلاعات خاص از یکسری کشورهای خاص (از جمله ایران). گزینه بعدی عدم پیاده سازی و پس از آن رعایت قوانین در خصوص استفاده از ابزارهای ذخیره سازی (مثل فلش دیسک) در شبکه های ایرانی می باشد، که مثل سرطان همواره باعث و منشآ بسیاری از آلودگی ها و نشت های اطلاعاتی بوده است. گزینه سوم نیز تمایل و رواج استفاده از نرم افزارهای غیر معتبر (قفل شکسته، دزدی و نسخه های دریافت شده از سایت های غیر رسمی) می باشد، که گزارش منتشر شده توسط مایکروسافت نیز اشاره ایی کوتاه به آن دارد. با انتشار اطلاعات و گزارشات کامل تر و دقیق تر می توان نتیجه گیری واضح تری در این خصوص داشت.

قابل توجه برادران گرامی ایی که به شدت نگران نشت اطلاعات از کشور بوده اند و البته این روز ها هم با جدیت مشغول متلاشی کردن تیم های سایبری بیگانگان و حملات دندان شکن به آنها بوده اند... بهتر نیست دیدگاه خود را نسبت به حملات سایبری و شناخت آن کمی تغییر دهید؟


{بروز رسانی:}
یکی از دوستان من نیز از دیدگاه دیگری این رویداد امنیتی را بررسی کرده که خواندن آن را نیز توصیه می کنم.

July 16, 2010

Penetration-Test Plan (Farsi)

First of all, I've made some changes to blog and added few items. Hope these changes make the blog more user-friendly for non-rss visitors :) 

During long weeks that I was passing my conscription, I had a lot of free times beside the usual and daily works I could/had-to do in the research lab I was working in. These free times were good opportunities for studying and also writing. I wrote few papers and articles during those times and have already published some of them in this blog. Here`s another output from those days :)

This is kind of guidline, plan, framework or whatever you name it, to help novice users plan for a pen-test/assessment project. It is by no mean a complete/standard compliance/revised source, but just one of hundreds of available materials and refrences, available about the topic.



Also, this is NOT entirely provided by me. I've just grabbed a good source, and tried to translate/modify it for persian users, so the credit goes for vulnerabilityassessment.co.uk guys and others who've contributed to original work. Maybe the next time my students in pen-test training classes ask for the big easy to use how-to, this piece of information satisfy them for some days. 

File should be opened with Xmind, which is available free for download. Xmind is not my favorite brain-storming software, but using persian fonts forced me to switch to xmind, and now I`m happy with it. download it through below link. Ah, and please do not ask for an image export of the map. current version of Xmind is buggy and do not allow exporting of a map in this size. export simply fails! I've contacted developers few months ago about the case, but honestly forgot to investigate the case with them. So feel free to contact them, ask for a fix, export entire map in JPEG and let me know to upload it here ;)

Download the pen-test/assessment map
[updated: Finally could find a trick to make an image export!]
Click for full-size map



I`m releasing the complete source of plan , in easy to re-distribute form and with no restriction, BUT using this material without mentioning it`s source (vulnerabilityassessment.co.uk & me) is not allowed. A lot of friends has blamed me for sharing too much through what I write and release in persian, but I still believe in freedom and flow of information and hope to help some real looking minds, as I've learned what I know the same way, by reading from others...

June 24, 2010

تمام شد

دیروز بالاخره خدمت سربازی تمام شد و کارت منحوس پایان خدمت را گرفتم. بماند که که اولین و مفید ترین استفاده ایی که میتوان از این کارت کرد را در همان 45 دقیقه اول بعد از کارت انجام دادم...
خوشحال نیستم. نارحت هم نیستم. فقط کمی از این کلافه و عصبی هستم که 18 ماه از عمر ما چرا باید بیخود و به این شکل و البته بصورت کاملآ اجباری تلف شود؟  حتی برای من که بجز چند ماه اول، کل دوره خدمت ام  و نوع کاری که انجام می دادم نیز کاملآ با علاقه و تخصص و کاری که پیش از آن و در کنار آن انجام می دادم یکی بود، اما باز هم شدیدآ احساس می کنم که این مدت جز استهلاک  فکری هیچ خروجی مفیدی برای من نداشت. البته تغییر مهمی در من ایجاد کرد. پیش از سربازی روزانه حداقل 10-12 ساعت کار مفید می کردم اما این روزها حتی اگر تمام تلاش خودم را هم کرده باشم این خروجی مفید به 3-4 ساعت نخواهد رسید. مودبانه این مشکل را برخی به اسم سندورم کالیبر تحتانی می شناسند که امیدوارم هر چه زود تر در من درمان شود!
بعد از خدمت هم منتظر به نتیجه رسیدن یکسری تغییر و تحولات نیمه-اساسی هستم که امیدوارم تا یکی دو ماه آینده به نتیجه برسد و بعد از آن به سمع و نظر بینندگان و خوانندگان محترم خواهم رساند.
فعلآ قصد دارم بصورت حاد از سندرومی که به آن مبتلا هستم لذت ببرم و دکان نیز تا اطلاع ثانوی تعطیل است، حتی برای شما دوست گرامی!

June 12, 2010

2 New {old!} Articles

Trying to cleanup some of old pending works, I found two articles I've authored before that are not published publicly in blog. Both of them are written in Farsi.

First one is about foot-printing, talking about some basic and usual methods for information gathering phase of a penetration-test. This has been part of a larger write-up, but this is the only section that I'm authorized to release. I also warn about this article and note that I`m NOT responsible for how readers use these contents. As I've used real-world samples in this article, I though about masking them before release. But, considering all of gathered information being already public, I decided to leave it as it is. So DO NOT blame me why I've not masked samples.

Second and much dated one, is about hardening Microsoft SQL Server 2000 and is was written back in 2006. Considering SQL 2005 it`s kind ouf out-dated. but anyway, releasing it won`t hurt  and some people may find it useful. 

Third one...Nah, let`s leave third one for later post ;) watch for another release, maybe in next week.

you can download them from below links. Comments are welcome & appreciated, as always :)

May 24, 2010

داتک برای سرقت اطلاعات شخصی شما تلاش میکند

هدف از این پست در ابتدا اطلاع رسانی به کلیه کاربران اینترنت در ایران و بخصوص سرویس گیرندگان از شرکت داتک، و پس از آن اعتراض به عملکرد و سو استفاده های اخیر شرکت داتک از اعتماد کاربران خویش است. امیدوارم با اطلاع رسانی عمومی در خصوص موارد مشابه، شرکت ها و حتی دولت کمتر به خود اجازه پیاده سازی چنین فعالیت هایی بدین صورت و وقاحت را بدهند.

شرکت محترم داتک، اقدام به جعل گواهی SSL (SSL Man In The Middle Attack) وب سایت ها  و سرویس های شرکت های معتبری همچون یاهو و گوگل، خلاف قانون (حتی طبق قوانین ایران) بوده و قابل پیگرد بصورت قضایی و قانونی می باشد. شنود فعالانه ارتباطات (رمز شده) تنها و تنها به دستور کتبی مقامات قضایی مجاز می باشد، و مفتضحانه ترین اقدامی است که یک شرکت می تواند در قبال کاربران سرویس اینترنت خود انجام دهد. این پست اگر چه با 4 هفته تآخیر منتشر می گردد اما محتوای اصلی آن تغییری نکرده است. تنها علت به تعویق افتادن ارسال نیز دادن فرجه فنی و رسمی به شرکت داتک برای دادن جواب و پاسخی قانع کننده بوده که متآسفانه به نتیجه نرسید.
موارد نوشته شده در این پس نه صرفآ فرضیات بلکه حدس های فنی بر پایه تجربه و مدارک و مستندات فنی می باشد. با توجه به فرجه چند هفته ایی داده شده به داتک برای مشخص کردن علت موضوع، بعد از این هر نوع ماست مالی فنی قابل قبول نیست.

از بیش از 2 ماه پیش شاهد آن بودم که بطور کاملآ تصادفی و در بازه های زمانی نامشخص و کوتاهی، دسترسی به سرویس های POP3S و WebMail پست الکترونیک شرکت های گوگل و یاهو با اختلال مواجه می گردد. این اختلال بعد از چند روز تبدیل به اتفاقات جالب تری شد. جالب از این رو که با تلاش برای اتصال به سرویس های پست الکترونیک یاهو و گوگل، بجای گواهی معتبر SSL همیشگی، با یک گواهی غیر معتبر که کاملآ ناشیانه نیز جعل شده بود مواجه می شدم. با توجه به موردی بودن این پیشامد و مشاهده آن تنها بصورت موردی، ذهن من اول از همه به سمت آلوده بودن سیستم خودم و پس از آن به شیطنت های شرکت مخابرات کشیده شد. اما با اطمینان حاصل کردن از اینکه مشکل از سمت سیستم های من نیست، در آن دوره مشکل به فراموشی سپرده شد. با تکرار این موضوع پس از یک هفته موضوع کمی جالب تر شد. اینبار حمله کننده کمی سماجت خود را بیشتر کرده و ساعات و دفعاتی که حمله رخ میداد بیشتر شده بود بطوری که در بازه زمانی 40 تا 30 روز گذشته تقریبآ هر روز این مورد به مدت چند ساعت تکرار میشد. با تکرار حملات امکان دقت بیشتر به جزئیات آن نیز فراهم میشد.


با توجه به اینکه شک من به حمله بصورت هدفمند (Targetted) بود، با چند نفر از دوستان دیگری که از شرکت داتک سرویس دریافت می کردند نیز این موضوع را کنترل کردم که در ابتدا حدس من را بیشتر به یقین نزدیک کرد، اما با گذشت زمان، اعلام مشکل مشابه از سوی برخی دیگر از دوستان و بعد از تماس های مختلف با شرکت مشخص شد که این حمله بصورت نیمه هدفمند در حال انجام است. منظور از نیمه هدفمند این است که سیاست ظاهرآ بر این بوده است که در آن واحد کلیه کاربران و سرویس گیرندگان بصورت همزمان مورد حمله قرار نگرفته و تنها بخشی از آنها ( 40% کاربران) تحت پوشش نرم افزار/سیستم حمله قرار می گیرند. این درصد نیز اعلام شده از سوی واحد رسیدگی به شکایات شرکت داتک می باشد که به گفته مسئولی که پس از شکایت من به شرکت، با من تماس گرفت به این صورت اعلام شد : "طبق آمار ما که بر اساس تماس های گرفته شده با بخش پشتیبانی است، حدود 40% از کاربران ما مشکل شما ، یعنی اختلال در دسترسی به ایمیل را دارند..." . بسیار خوب. پس یک تلاش برای شنود و سرقت اطلاعات با این وسعت و به این شکل، از دید داتک تنها "مشکل و اختلال در دسترسی به ایمیل" خوانده میشود. علت انتخاب این سیاست و روش پیاده سازی حمله  را در ادامه توضیح خواهم داد.




از دید من بعنوان کسی که بیش از 8 سال است با این قبیل فعالیت ها آشنایی دارد و از بخت بد شرکت داتک با برخی از فعالیت های غیر رسمی این شرکت و روابط آن نیز آشناست، اینکه این مورد یک حمله و تلاش برای شنود و استخراج اطلاعات خاص بوده و نه یک اشتباه فنی (سهوی یا عمدی) در شرکت، و نه حتی یک حمله صورت گرفته توسط شخص سومی به داتک برای سو استفاده از سیستم های آنها، کاملآ مشخص است. همانطور که من برای این ادعا توجیه و دلایل فنی در اختیار دارم، و به شرکت داتک ارائه دادم، شرکت نیز در صورت خلاف بودن این ادعا می بایست به همان صورت و با دادن توضیحات فنی، و نه توجیه با مزخرفاتی همچون اختلال مقطعی در دسترسی به سرویس ایمیل و راهنمایی برای خاموش و روشن کردن مودم برای حل مشکل، پاسخگو می بود.


در زمان بروز حملات، با توجه به قابل پیش بینی بودن زمان بروز آنها و همچنین تکرار آن بصورت مداوم، برای من این سوال ایجاد شد که کدامیک از روتر ها و یا Gateway های مسیر، مسبب بروز مشکل است. با یک مقایسه ساده مسیر عبور (Route) ترافیک در زمانی که مشکلی وجود نداشت و در خلال فعال بودن حمله، این مورد به وضوح مشخص شد. یکی از Gateway های شرکت داتک مسبب بروز این مشکل بود. خروجی های Traceroute زیر نشان دهنده مسیر عبور ترافیک در هر دو حالت (معمولی و زمان حمله) می باشد. همانطور که در تصاویر مشخص است، در زمان بروز حمله، کلیه ترافیک بجای عبور از Gateway همیشگی (81.91.128.114)، از یک Gateway ثانویه (81.91.128.118) عبور می کند.  نکته جالب در زمان حمله این بود که ترافیک بصورت کاملآ انتخابی به Gateway شنود هدایت میگردید. بطور مثال تنها در زمان حمله و در صورت تلاش برای دسترسی به یکی از وب سایت های تحت حمله، ترافیک کاربر به سمت این Gateway خاص هدایت میشد. در موردی که من مشاهده کردم، در یکی از بازه زمانی حمله که تنها سرویس لاگین Google تحت حمله بود، در صورت تلاش برای دسترسی به سایر وب سایت ها ترافیک کاربر از 81.91.128.114 عبور داده می شد و تنها در صورتی که هدف کاربر دسترسی به سرورهای لاگین Google بود، ترفیک از طریق 81.91.128.118 هدایت می گردید.

مسیر ترافیک قبل از حمله

مسیر ترافیک در زمان حمله

دلیل انتخاب این روش نیز برای افرادی که با مکانیزم این حملات آشنا هستند مشخص است. در حملاتی از این دست، بمنظور جلوگیری از ایجاد گلوگاه (Bottleneck) بر روی سیستم شنود، سعی میشود همواره حداقل ترافیک ممکن و بصورت مشخص به سمت آن هدایت شود تا حمله کننده هم با Packet Loss کمتری مواجه باشد و هم قربانی حمله با اختلال و کندی محسوسی در دسترسی به وب سایت تحت حمله مواجه نباشد.
بیش از این نیازی به اثبات این اتفاق و آوردن دلایل فنی برای استفاده مشخص از لفظ حمله نیست، اما با کمی دقت بیشتر، می توان جزئیات بیشتری از ناشیگری شرکت داتک ( و سایر وابستگان) را در پیاده سازی این حمله بدست آورد. برای این منظور من سعی کردم اطلاعاتی راجع به Fingerprint گواهی جعلی مورد استفاده برای شنود بدست آورم. همانطور که قابل حدس بود این گواهی بصورت رسمی ثبت نشده است. اگرچه این گواهی به ظاهر مربوط به یکی از برنامه نویسان Debian بوده و یک گواهی رسمی نیست، اما همین گواهی شخصی نیست به ثبت نرسیده است.



تلاش زیادی لازم نیست. برای بدست آوردن کمی اطلاعات راجع به این مورد کافیست آدرس ایمیل ثبت شده در گواهی جعلی را با یک کلمه کلیدی مثل "MiTM" همراه کرده و  ( اصلاح میکنم که خروجی بدست آمده در این حالت و مورد آورده شده در کادر تصویر زیر، مشخصآ مربوط به آدرس ایمیل موجود در گواهی جعلی نیست. اما این چیزی از اصل موضوع را تغییر نمی دهد!) در گوگل جستجو کنید :


فکر نمیکنم توضیح خاصی لازم باشد! البته برای دست اندرکاران این موضوع متآسف هستم که حتی در چنین مواردی هم به بیگانگان و استکبارجهانی وابسته هستند اما باز هم فریاد " ما میتوانیم" آنها گوش فلک را کر کرده است. برادر من حداقل از یک گواهی Self-Sign بغیر از آن چیزی که برنامه نویس ابزار و سیستم به شما تحویل داده استفاده می کردید، تا بعدآ گند کار به این شدت مشخص نشود. بدون وجود این نشانه ها شرکت داتک شاید می توانست این توجیه فنی را بیاورد که مثلآ در تنظیمات Cache Server مشکلی رخ داده و یا ترافیک SSL نیز به اشتباه توسط سیستم ها مورد پردازش قرار گرفته است، و دلایل دیگری از این دست... اما با وجود چنین موارد و گاف های غیر قابل انکار، جایی برای توجیه باقی نمی ماند!
البته این اواخر سوتی فوق ظاهرآ پوشش داده شد و از یگ گواهی جعلی که کمی کمتر افشاگری کند مورد استفاده قرار گرفت. هر دو گواهی جعلی مورد استفاده در طول حملات از طریق لینک های زیر قابل دریافت است.
اینکه هدف از انجام این حمله چه بوده شاید بطور قطعی مشخص نباشد اما حدس هایی که در مورد آن می توان زد نیز چندان دور از ذهن نیست. با توجه به اتفاقات رخ داده در طی یکسال گذشته در کشور، دولت و برخی ارگان های خاص الزام و البته علاقه عجیب و خاصی به قابلیت سرک کشیدن در حریم خصوصی کاربران اینترنت را پیدا کرده اند که شنود ایمیل ها و فعالیت های اینترنتی ساده ترین موارد آن می باشد. البته و صد البته شنود و کنترل و نظارت بر فعالیت های اینترنتی کاربران در همه کشورهای دنیا عرف بوده و به هیچ عنوان چیز جدید و حل نشده ایی نیست، اما نه به این روشی که در ایران پیاده سازی و آزمایش می شود! با توجه به سیاست های شرکت گوگل و لحاظ کردن برخی تمهیدات ساده اما موثر امنیتی از همان ابتدای سرویس دهی، گوگل تبدیل به یک مشکل جدی در این زمینه شده است. با توجه به اینکه اخیرآ گوگل گزینه HTTPS Mail را نیز جزو تنظیمات پیش فرض سیستم خود در آورده است ( این مورد قبلآ انتخابی بوده و  می بایست توسط کاربر فعال میشد) کار بیش از پیش مشکل گردید زیرا در سرویس هایی مثل پست الکترونیک یاهو اولآ دسترسی به سرویس های POP  و IMAP برای کاربران معمولی وجود ندارد و ثانیآ از HTTPS تنها در زمان ورود به سیستم استفاده می شود.  از دید من این حمله و تمرکز آن تنها بر روی سروییس های گوگل تنها  یک کاربرد داشت : تلاش برای بدست آوردن کلمات عبور کاربران، در سطح گسترده. و البته شرکت داتک و کاربران آن در این پروژه ظاهرآ نقش موش آزمایشگاهی و قربانیان فاز پایلوت این پروژه بوده اند.

در صورتی که شما یا دوستان شما نیز جزو افرادی بوده اند که این حمله را مشاهده کرده اند، در بخش کامنت های بلاگ عنوان کنید. سایر افراد نیز ممکن است در این مورد مطلبی نوشته باشند که من تنها از یکی از آنها مطلع شدم. بررسی این مورد از دیدگاه سایرین نیز جالب توجه خواهد بود.


توصیه به کاربران اینترنت: اگر شما نیز جزو افرادی بوده ایید که قربانی چنین حملاتی شده ایید، نشانه ایی از حملات مشابه را دیده ایید و یا حتی اصلآ ندیده ایید!!! اولین توصیه دقت به توصیه های امنیتی و کنترل صحت گواهی های SSL ، و توصیه دوم و اکید، اقدام به تغییر کلمات عبور کلیه پست های الکترونیک خود بصورت دوره ایی و مکرر است. البته نه در زمانی که در حال شنود ترافیک شما هستند :)

این اتفاق، من را به یاد یکی از پست های قبلی خودم انداخت. از اینکه برادران با این جدیت و پشتکار در حال ادامه فعالیت هستند و به تلاش های خود ادامه می دهند به نوبه خودم سپاسگذاری میکنم و این پست را نیز با یک جمله به اتمام می رسانم : " خدا قوت اخوی..." .


May 3, 2010

بلاک شدن آی.پی های ایران و تبعات امنیتی آن برای کاربران


امروز متوجه شدم که شرکت Adobe نیز به جمع سایر شرکت های امریکایی پیوست که بر طبق قانون وضع شده، مانع از دسترسی کاربران کشور های تحریم شده (ایران، کوبا، ...) به برنامه ها محتویات اصلی وب سایت های خود می شوند. پیش از این نیز شرکت تجاری پشتیبان SourceForge نیز همین قانون را بر روی این سایت اعمال کرد و اگرچه با سیلی از اعتراض و ناراحتی جامعه اپن.سورس مواجه شد، اما  در عمل شرایط هیچ فرقی نکرد.
در نگاه اول و از دید بسیاری از کاربران عادی  و یا حتی حرفه ایی کامپیوتر، این موضوع آنچنان که باید هم جدی بنظر نرسد و به آن اهمیتی داده نشود. خیلی از افراد به اولین فکری که به ذهن می رسد یعنی استفاده از نرم افزارها و روش های عبور از محدودیت های فیلترینگ ویا VPN عمل می کنند و به ظاهر نیز مشکل آنها بصورت مقطعی حل می گردد. همه چیز بخوبی پیش می رود. درست است؟ خیر !!!
با افزایش چشمگیر حملات علیه کاربران اینترنت از طریق حمله به نرم افزارهای جانبی برای آلوده کردن سیستم ها و نصب بد-افزارها، و تمرکز بسیاری از نفوذگران به تکنولوژی های شایع و پرکاربرد سمت کاربر مانند مرورگرهای وب، فلش، جاوا و ... خطری جدی بسیاری از کاربران  اینترنت را تهدید می کند. اما به دلایلی که ذکر خواهم کرد، این خطر برای کاربران اینترنت در ایران چندین برابر بیشتر و جدی تر است. شاید با توضیح بیشتر، عمق فاجعه کمی برای شما مشخص تر شود.
ابتدا بهتر است نام چند نرم افزار که در طی سال های گذشته بیشترین توجه, ضعف های امنیتی شناسایی شده و همینطور حملات صورت گرفته، مربوط به آنها بوده است را مرور کنیم : مرورگر های اینترنت اکسپلورر، فایرفاکس، بسته اجرایی جاوا (JRE/JDK) ، محصولات اصلی شرکت Adobe یعنی Adobe Reader و Flash ، و نرم افزارهای بسته Microsoft Office. تقریبآ همه بد-افزارهای رایج و شایع از ضعف های امنیتی  حداقل یک یا چند مورد از نرم افزارهای ذکر شده برای آلوده کردن سیستم ها استفاده می کنند.
اولین قدم و توصیه برای مقابله با این حملات همواره بروز رسانی نرم افزارها و استفاده از اخرین اصلاحیه های امنیتی منتشر شدن بوده است. خوشبختانه اغلب نرم افزارهای پرکاربرد نیز به قابلیت هایی مانند بروز رسانی خودکار و یا اخطار به کاربر در مورد قدیمی بودن نسخه نرم افزار مجهز هستند. ساده ترین و شناخته شده ترین نمونه ان هم سیستم بروز رسانی ویندوز است. مکانیزم کاری این قابلیت نیز بسیار ساده است. نرم افزار با سرور های شرکت تولید کننده ارتباط برقرار کرده، در صورت تشخیص وجود نسخه جدید و یا اصلاحیه امنیتی (با اخطار به کاربر) اقدام به دریافت و نسب نسخه جدید یا اصلاحیه امنیتی می کند. نرم افزارهایی که نام آنها آورده شد نیز همگی از این قابلیت برخوردار هستند. تا اینجا همه چیز بسیار حساب شده است و بروز رسانی خود به خود جلوی بسیاری از حملات ممکن را می گیرد.
مشکل جدی اینجاست که هرچه بیشتر پیش می رویم  (به لطف تحریم های اعمال شده بر ایران) بر تعداد شرکت هایی که دسترسی به نرم افزارهای خود را برای کاربران اینترنتی ایرانی محدود می کنند بیشتر می شود. این محدودیت بصورت مستقیم مساوی است با عدم امکان دریافت و بروز رسانی به آخرین نسخ نرم افزارها طبق روال خودکاری که برای آنها طراحی شده. با وجود این محدودیت دیگر بسته های نرم افزاری مثل محصولات Adobe، Java و برخی دیگر از نمونه های پرکاربرد، قابلیت بروز رسانی خود را عملآ از دست داده اند. طیف بسیار زیادی از کاربران اینترنت به این بروز رسانی ها که بصورت خودکار انجام میشود در حالت عادی اهمیتی نمی دهند و حتی متوجه از کار افتادن این قابلیت نیز نیستند. از طرفی شاهد آن هستیم که در هر ماه چندین ضعف امنیتی جدید بر روی این نرم افزارها شناسایی و گزارش میشود که در اغلب موارد منجر به حصول دسترسی نفوذگر به سیستم و گسترش بد افزارها می گردد.  گواه این موضوع نیز بررسی لاگ های ثبت شده از کاربران بازدید کننده سایت های فارسی است. اگر شما نیز وب سایتی دارید که آمار بازدید کننده بالایی دارد کافیست نگاهی به اطلاعات ثبت شده از کاربران خود کنید. اغلب سیستم های کنترل و آمارگیری کاربران سایت (مثل Google Analytics و سایر سرویس های مشابه) به شما این امکان را می دهند تا گزارشی از کاربران سایت، بر طبق نسخه مرورگر، نسخه Flash و نسخه JRE مورد استفاده آنها داشته باشید. با همین بررسی ساده خواهید دید که چند درصد از کاربران از نسخه های قدیمی و یا دارای مشکلات امنیتی شناخته شده استفاده می کنند.

شرایط کنونی تحمیل شده به کاربران اینترنت در ایران، مثالی عینی از همان چوب دو سر طلاست ! دولت ایران از سویی استفاده از ابزارهای عبور از فیلترینگ را محدود کرده و با سرویس دهندگان و استفاده کننده گان VPN برخورد و مقابله می کند و مانع استفاده از این دسته سرویس ها می شود، و از سوی دیگر کاربران در صورتی که با آدرس های IP واقعی خود به مرور در اینترنت بپردازند با مشکلات ذکر شده و تهدیدات ناشی از آن روبرو هستند.  در هر دو صورت این کاربر نهایی است که مورد تهاجم قرار گرفته و آلوده می شود. جالب اینجاست که هر سال نیز میلیون ها تومان از بودجه مملکت صرف ساماندهی همین موارد و مقابله با چنین تهدیداتی میشود و این در شرایطی است که خود دولت و سیاست های آن بصورت غیر مستقیم باعث و بانی این مشکلات می باشد.

March 14, 2010

عبارت پیشوندی "سایبر" هم دیگه خز شده


پریروز جنگ سایبری.
دیروز ارتش سایبر ایران
امروز متلاشی شدن گروه های سازمان یافته جنگ سایبری امریکا علیه ایران...
فردا هم لابد اعلام موجودیت "بسیج سایبر"و دعوت از کلیه بسیجی های سایبری و ثبت نام از آنها و صدور کارت بسیج سایبری ( با 10 ساعت اینترنت رایگان ویژه بسیجیان گرامی)
پس فردا هم که مشخص است: گاه و بیگاه ایست های بازرسی سایبری برپا شده توسط یکه مشت نوجوان تازه بالغ شده برای سرک کشیدن به حریم خصوصی ترافیک سایبری مردم توسط اسنیفر با لوگوی ...
خنده ام میگیرد از این همه حماقت، از این همه مردم را مثل خود نادان و بی فکر تلقی کردن و از این همه ... توی پیت، برای بزرگ جلوه دادن چیزهایی که اصلآ وجود ندارند، از طریق سر و صدای ایجاد شده در پیت در بسته که همان مملکت خودمان باشد!
امروز عصر که خبر مسرت بخش حماسه ی غرور آفرین دیگری در زمینه سایبر را از اخبار شنیدم نا خودآگاه خنده ام گرفت. آقا جان مگر شبکه های سازمان یافته سایبری امریکا و ... هم گروهک عبدالمالک ریگی هستند که متلاشی شوند؟
به موارد سیاسی و فعالیت های سیاسی قید شده در خبر  و اتهامات زیر مجموعه آن کاری ندارم، چون نفرت انگیز ترین مقوله در زندگی شخصی من همین بحث های سیاسی است. اما مضحک تر از اصل موضوع، __برخی__ از اتهامات عنوان شده در خبر بود. فراهم کردن امکان عبور از فیتلر، تخلیه بانک های اطلاعاتی کشور، انجام اقدامات ایذایی و هکری...، اختلال در .... .
برادر من بجای اینکه مردم را دزد کنی مالت را محکم بچسب، البته اگر همان اندازه که در گمنامی و زیرکی شهره هستید، در حفاظت از مرزهای سایبر خود هم تخصص و تجربه داشته باشید. محکوم کردن استفاده از روش ها و ابزارهای دور زدن فیلتر توسط دولت همان اندازه غیر عقلانی و مسخره است که محکوم کردن یک فروشنده خرده پای مواد، و آزاد ماندن تولید کننده آن. قوانین جاری حاکم بر اینترنت در ایران هم همان تولید کننده مواد هستند. تا زمانی که کاربران بی جهت و بی حساب و کتاب در پشت قوانین فیلترینگ در ایران محبوس نشوند، هیچ دلیلی برای استفاده از ابزارهای به اصطلاح فیلتر شکن نیز وجود ندارد. قوانین بسیاری از کاربران را معتاد و مجبور به استفاده از چنین ابزارهایی میکند و از سوی دیگر هم دولت آنرا جرم دانسته و با آن برخورد می کند، و بجای رفع ریشه مشکل فقط همان ساقی های فیلتر شکن را شکار می کند! این آشی است که خود دولت پخته و حالا بد مزه از آب در آمده. و بعد از همه این سالها و میلیاردها هزینه، هنوز هم کسی از دست اندرکاران محترم درک نکرده است که "فیلترینگ" و محدود کردن اطلاعات در شبکه اینترنت عملآ غیر ممکن،مسخره و دور ریختن هزینه و سرمایه های صرف شده برای آن است. گیرم که تک تک گروه ها و باند ها و سرورها هم شناسایی شد و متلاشی شد... واقعآ دیگر راهی برای دست پیدا کردن به چیزی که کاربر اینترنت دنبال آن است وجود ندارد؟! اگر کسی به این سوال پاسخ مثبت دهد جدآ نیاز به مراقبت های ویژه پزشکی دارد.
از حملات ایذایی و هکری گفته شد و نشت اطلاعات و استخراج بانک های اطلاعاتی کشور. بدون نیاز به حملات ایذایی و
برنامه ریزی های پیشرفته اطلاعاتی دولت امریکا نیز همه مملکت و اطلاعات محرمانه و مهم آن روی هواست! در شرایطی که بسیاری از سرورها و سامانه های میزبان اطلاعات حساس در کشور سالهای سال است رنگ اصلاحیه های امنیتی را ندیده اند، کوچکترین راهکاری برای امن سازی آنها پیاده سازی نشده، بیش از 40% کاربران اداره ها  و ارگان ها هنوز از 10-12 پسورد مشخص و رایج و یکسان مثل 123456 استفاده می کنند و در شرایطی که خود مدیران شبکه هم سر از ساختار شبکه خود در نمی آورند، واقعآ امریکا نیاز به صرف چند میلیارد بودجه برای استخراج اطلاعات از شبکه های ایران را دارد؟!  برادران گمنام و محترم امام زمان کجا بودند وقتی در سال 2006 و 2007 در کنفرانس های BlackHat و Defcon ، نقشه ها و شما های شبکه های تآسیساتی مهم کشور و پلان های محرمانه مخابرات و شبکه دیتا ایران بعنوان "دمو" به حضار نشان داده می شد؟؟ کجا تشریف دارید زمانی که سالانه بیش از 1.5 میلیارد اسپم و ایمیل از شبکه های میزبانی شده در ایران به مقاصد مختلف و مشخص و نا مشخص فرستاده می شود؟
اگر یک هزارم این زرنگی ها و عملیات های پیشرفته اطلاعاتی صرف توجه به داخل کشور و اصل مشکل میشد، اوضاع IT کشور در وضعیت کنونی نمی بود. بله، فعالیت ها و حرکت های زیادی هم در این زمینه از یکی دو سال قبل به جریان  افتاده و در این مسیر اقداماتی انجام می شود که  از قضا خود من هم درگیر برخی از آنها بودم و هستم. اما این کجا و آن کجا! حتی همین حرکت های انجام شده نیز متآسفانه بسیار سطحی نگرانه بوده و تنها ظاهر مشکل را پوشش می دهد. یکی از این قبیل کارها که اخیرآ نیز بسیار به آن توجه می شود اقدام به ارزیابی امنیتی شبکه های ارگان های دولتی در قالب تست نفوذ، و گزارش موارد به آنها می باشد. کار کار خوبیست، اما نه برای وضعیت موجود! تست نفوذ و گزارش مشکلات به سازمان مربوطه در این اوضاع، درست مثل پانسمان کردن سطح یک زخم عمیق چرکین، بدون تمیز کردن عفونت های آن است. شاید ظاهر زخم پوشانده شود، اما وضعیت واقعی آن بهتر نخواهد شد. چه خوب بود اگر همین روال پیش گرفته شده و سر و ته را درست طی می کردند و بجای اینکه از آخر به سمت اولین قدم حرکت می کردند، از اول و از نقطه درست آن کارها آغاز می شد و ابتدا دستی به سر و گوش شبکه ها، تنظیمات آنها، روال مدیریت آنها و سازماندهی آنها کشیده می شد، و بعد از آن آزمون های نفوذ. شبکه های ما نیاز به تست نفوذ پذیری ندارند. بدون تست هم بی در و پیکر بودن همه آنها واضح و روشن است.
ایراد کار اینجاست که دولت تازه مزه این دکان و بازار "ارزیابی امنیتی" را چشیده و خوشش آمده ! فهمیده که از این راه نیز میتوان مثل راه هایی که پیش از این مطرح  شد، بودجه برایش اخذ شد و خورده شد (مثل "ملی" سازی همه چیز از در و دیوار گرفته تا سیستم عامل  و ...) تا مدتی از این جیب خود برای آن جیب اش هزینه کند. من نوعی بعنوان کسی که این وسط و در خلال این جیب به جیب شدن سود می کند و پول کار خود را میگیرد می توانم بسیار هم خوشحال باشم، اما اگر واقعآ به فکر حل مشکلات و بهتر کردن اوضاع هستید، این راهش نیست...

ادامه ندم بهتره... !

February 27, 2010

Talki-Walki or GSM cell-phone ?!

I wonder wtf is going on with MCI (mobile telecom co. of Iran). At current setting in (current) BTS, my cell-phone conversations are as safe as if they`re transmitted over an FM radio !
For the record, this is a sample screen-shot from my mobile, connecting to a BTS in Tehran.
There are A LOT to write on this (GSM security) topic but contents are too offensive to be covered in a blog.

January 23, 2010

Seminar Slides

Today I had a presentation in a seminar, covering some simple topics for administrators, guiding them through a more secure network. There`s nothing fancy or technically interesting about slides, and this post is  just to share the content. You can download it HERE

& I`m sorry for too much non-english  contents. Yes I read your comments and I respect them.