Tagامنیتی

محققین مشغول رفع نقص امنیتی LastPass هستند؛ توصیه هایی برای حفاظت بهتر

محققین مشغول رفع نقص امنیتی LastPass هستند؛ توصیه هایی برای حفاظت بهتر

پنجشنبه هفته گذشته که یکی از محققین امنیتی شرکت گوگل به نام «تاویس ارماندی» از کشف دست کم یک نقص بزرگ در پروتکل های امنیتی سرویس ذخیره سازی و مدیریت رمزهای LastPass خبر داد که به هکرها اجازه می دهد به راحتی به اطلاعات حساس کاربران دسترسی پیدا کنند.

طبق اصول آشنای فعالیت گروه های امنیتی، ارماندی اطلاعات ریز و دقیق این حفره را منتشر نکرده است؛ چراکه در مرحله اول فرصتی 90 روزه در اختیار تیم توسعه دهنده قرار داده می شود تا ماجرا را به صورت داخلی پیگیری کنند.

LastPass هم که طی روزهای اخیر از مشکل یافت شده مطلع گردیده ضمن اعلام صورت گرفتن اقدامات لازم برای رفع مشکل و آغاز فرآیند مسدودسازی حفره امنیتی مورد بحث، توصیه هایی را برای کاربران سرویسش ارائه کرده تا هنگام حل مسئله از خود حفاظت نمایند.

پیشنهاد اولیه این توسعه دهنده راه اندازی خدمات تایید هویت دو مرحله ای است؛ پس از آن نیز توصیه می کند به هیچ وجه ایمیل های مشکوک را باز نکرده و فایل های پیوستی که از سوی اشخاص نا آشنا به دست کاربر می رسد را باز نکنند.

در مرحله سوم نیز پیشنهاد می کند تمام رمزهای وارد شده در پروتکل LastPass را تغییر داده و سپس سایت های مربوطه را فقط از طریق سرویس Vault این سامانه باز کنند.

ناگفته نماند که بهره مندی از سرویس های مدیریت رموز اینترنتی یکی از بهترین خدماتی هستند که در اختیار کاربران پرکارکرد در شبکه جهانی قرار می گیرند؛ بنابراین توصیه می کنیم از استفاده از آنها نترسید، چراکه هر اپلیکیشن و نرم افزاری کاستی های خودش را دارد.

The post appeared first on .

محققین مشغول رفع نقص امنیتی LastPass هستند؛ توصیه هایی برای حفاظت بهتر

کشف یک نقص امنیتی بسیار خطرناک در سرویس LastPass

کشف یک نقص امنیتی بسیار خطرناک در سرویس LastPass

در روز گذشته یکی از محققین امنیتی شرکت گوگل اعلام کرد که دست کم یک نقص بزرگ در پروتکل های امنیتی سرویس ذخیره سازی و مدیریت رمزهای LastPass وجود دارد که به هکرها اجازه می دهد به راحتی به اطلاعات حساس کاربران دسترسی داشته باشند.

تاویس اُرماندی (Tavis Ormandy) از گوگل پیش از نیز برخی حفره های امنیتی در بخش های مختلف سرویس LastPass، از جمله در افزونه های اختصاصی آن برای مرورگرهای کروم و فایرفاکس را متذکر شده بود.

نقص جدید آشکار شده توسط اُرماندی خطرناک ترین موردی بود که تا کنون در خصوص این سرویس کشف شده، چرا که نه تنها دسترسی کاملی را به تمام رمزهای ذخیره شده یک کاربر می دهد، بلکه این امکان را نیز فراهم می کند تا هکر بتواند کدهایی را روی رایانه قربانی خود به اجرا بگذارد.

حال با گذشت یک روز از اعلام خبر بر کشف این خفره، LastPass اعلام کرده است که همکاری مستقیم خود را با متخصص امنیتی گوگل آغاز کرده و علاوه بر رفع نقص تازه کشف شده به دنبال اصلاح تمام مواردی است که به چنین حفره هایی منجر می شوند.

بر اساس بیانیه منتشر شده کاربران برای اطمینان از حفظ امنیت اطلاعات خود نیاز به انجام هیچ اقدامی ندارند و وصله های اصلاحی به طور خودکار در اپلیکیشن اصلی و افزونه های سرویس LastPass اعمال خواهند شد.

این شرکت همچنین اعلام کرده است که بررسی های گسترده آنها نشان می دهد تا کنون به واسطه وجود حفره امنیتی مورد بحث رمزهای هیچ کدام از حساب های کاربری افشا نشده است.

The post appeared first on .

کشف یک نقص امنیتی بسیار خطرناک در سرویس LastPass

رئیس اتاق اصناف ایران: اسنپ یک مشکل امنیتی دارد که باید حل شود

رئیس اتاق اصناف ایران: اسنپ یک مشکل امنیتی دارد که باید حل شود

رئیس اتاق اصناف ایران در نشست خبری که روز گذشته در محل این سازمان برگزار شد، پاسخگوی پرسش های مختلف خبرنگاران بود.

علی فاضلی در این جلسه در مورد سؤالات پرسیده شده پیرامون واقعه پلاسکو عنوان کرد که به دنبال یافتن مقصر آن نبوده و این کار از وظایف او خارج است. او همچنین بیان کرد: 40 درصد از بنگاه‌های اقتصادی خیابان لاله‌زار دچار مشکل ایمنی هستند و باید تخریب شوند.

وی همچنین در خصوص خروج بنگاه های ناامن از شهر گفت که در این زمینه قانونی وجود ندارد و طبق بند 20 ماده 55 قانون اساسی، تنها بنگاه های آلوده کننده محیط زیست موظف به خروج از منطقه شهری هستند.

40 درصد از بنگاه‌های اقتصادی خیابان لاله‌زار دچار مشکل ایمنی هستند و باید تخریب شوند

رئیس اتاق اصناف ایران در ادامه به عدم صحت مسائل بیان شده در رسانه ها در مورد نفع بردن از قراردادهای فروشگاهی پرداخت و در مورد صندوق های مکانیزه فروشگاهی اظهار کرد: اگر این طرح به صورت موقت متوقف شد دلیل مسئله این بود که شرکت مجری بدون هماهنگی و اطلاع اتاق اقدام به انعقاد قرارداد خودسرانه کرده بود و بنابر در همین راستا تفاهمنامه‌اش ملغی شد و مقرر شد تا آئین‌نامه راه‌اندازی صندوق‌های فروشگاهی نوشته شود. راه‌اندازی صندوق‌های مکانیزه فروشگاهی در دولت گذشته مصوب شد اما هیچ زیرساختی برای آن در نظر گرفته نشده بود.

علی فاضلی در ادامه نشست خبری روز گذشته از حمایت اتاق اصناف ایران از مشاغل نوین خبر داد و به بیش از دویست تقاضا جهت راه اندازی این نوع مشاغل اشاره کرد که به پرونده های آنها رسیدگی شده و مجوزهای لازم صادر گریده است.

وی همچنین عنوان کرد که در این بین تنها دو شرکت اسنپ و تپسی با مشکلاتی برای دریافت پروانه مواجه شده اند که پرونده اسنپ در حال تکمیل بوده و تنها حل یک بحث امنیتی باقی مانده است.

فاضلی با اشاره به درخواست اتحادیه تاکسیرانی برای بسته شدن اسنپ گفت: اتحادیه تاکسیرانی درخواست بسته شدن شرکت‌های اسنپ و تبسی را داده بود که با مخالفت مواجه شد و اعلام کردیم که باید مانند شرکت‌های نوین از تکنولوژی‌های روز دنیا استفاده کنند.

رئیس اتاق اصناف ایران با اشاره به ادغام اتحادیه های همگن عنوان کرد: 8300 اتحادیه در سراسر کشور وجود دارد که بودجه آنها به طور متوسط بین 6 تا 48 میلیون تومان است که چنین بودجه‌ای کفاف هزینه‌های آنها را نمی‌دهد.

علی فاضلی ضمناً بیان کرد که با دستگاه های قضایی تعاملی برقرار کرده تا نهادهای داوری اتاق های اصناف ایران تشکیل شوند و به امور 20 درصد از پرونده های قضایی که مربوط به این سازمان بوده و تعداد آنها به حدود 3 میلیون می رسد، رسیدگی شود.

وی همچنین در انتها به تعامل با دولت اشاره کرد و گفت: در برنامه ششم توسعه گلایه اتاق اصناف از مجلس و دولت این است که بر اساس فرمایشات مقام معظم رهبری که باید نهادهای مردمی در اجرای وظایف اقتصادی نقش داشته باشند، در حالی که اتاق اصناف آنگونه که باید نقشی در تصمیم‌سازی و تصمیم‌گیری داشته باشد ندارد.

The post appeared first on .

رئیس اتاق اصناف ایران: اسنپ یک مشکل امنیتی دارد که باید حل شود

مایکروسافت برخی از بهبودهای امنیتی جدید ویندوز 10 را معرفی کرد

مایکروسافت برخی از بهبودهای امنیتی جدید ویندوز 10 را معرفی کرد

با نزدیک شدن به کنفرانس امنیت RSA، روز گذشته مایکروسافت برخی از بهبودهای امنیتی و نقاط عطف ویندوز 10 را معرفی کرد. ردموندی ها پیش از این آخرین نسخه سیستم عامل خود را به عنوان یک محصول مناسب برای استفاده در شرکت های تجاری و سازمان ها عنوان کرده بودند و اخیراً به معرفی نوآوری های امنیتی آن پرداخته اند که با استفاده از محصولات سرفس و ویندوز 10 عملی خواهد بود.

مایکروسافت اعلام کرده است که ویندوز 10 به لیست مورد تأیید آژانس امنیت ملی آمریکا در آمده و به طور مشابه سرفس پرو 3، پرو 4 و سرفس بوک ها تنها دیوایس های مجهز به ویندوز 10 هستند که جوابگوی «نیازهای امنیتی بالا» هستند.

ردموندی های همچنین اعلام کرده اند که لایه امنیت سخت افزاری دیگری با عنوان «(Surface Enterprise Management Mode (SEMM» را به محصولات سرفس خود افزوده اند که به سبب آن مدیران IT در سازمان ها می توانند از طریق فیرمور دستگاه ها مالکیت آنها را در دست گیرند، آنها را قفل کنند و یا پیکربندی سخت افزاری را تغییر دهند. SEMM قابل استفاده در سرفس پرو 4، بوک و استودیو است.

علاوه بر آن اهالی ردموند اعلام نمودند که در بروز رسانی Creators، با گسترش بخش مدیریت دستگاه در ویندوز 10 تنظیمات امنیتی بیشتری برای کار با MDM مهیا خواهد شد.

مایکروسافت برای کنار گذاشتن رمز عبورها سازمان ها را به استفاده از ویندوز Hello دعوت کرده و قابلیت «قفل پویا» را معرفی کرده تا در مواقعی که کاربر در پشت سیستم خود حضور نداشت به طور خودکار آن را قفل کند.

در بخش دیگر نیز کمپانی به معرفی قابلیت «پذیرش آپدیت» در کنار تحلیل ویندوز پرداخت که به سازمان امکان بررسی پیشرفت و عیب یابی دیوایس های تحت ویندوز 10 را خواهد داد.

مایکروسافت با معرفی ویندوز 10 به عنوان امن ترین نسخه ویندوز، در کنفرانس RSA سان فرانسیسکو به ارائه توضیح درباره قابلیت های معرفی شده خواهد پرداخت.

The post appeared first on .

مایکروسافت برخی از بهبودهای امنیتی جدید ویندوز 10 را معرفی کرد

گزارش مهم ترین تهدیدات امنیتی اندروید در سال 2016 منتشر شد

گزارش مهم ترین تهدیدات امنیتی اندروید در سال 2016 منتشر شد

مؤسسه «سونیک وال» (SonicWall) به تازگی در قالب گزارش سالیانه خود، مهم ترین تهدیدات امنیتی دیوایس های اندرویدی در سال 2016 را معرفی کرده است. اگرچه سطح امنیت این سیستم عامل هر سال نسبت به قبل بهتر می شود، اما باز هم بسیاری از دستگاه های مجهز به OS گوگل در معرض خطرات بالقوه قرار دارند.

به گزارش این شرکت، پوشش صفحه نمایش (Screen Overlay)، نصب خودکار اپلیکیشن، DressCode و Metasploit و HummingBad متداول ترین روش های حمله بدافزاری به دیوایس های اندرویدی را در سال 2016 تشکیل می دادند.

نکته جالب این است که Metasploit در واقع یک ابزار تست نفوذ با اهداف تحقیقاتی به شمار می رود، اما هکرها از طریق آن به تکمیل بدافزارهای خود پرداخته اند. در واقع بدافزارها در سال 2016 از نظر فنی پیشرفت قابل توجهی داشته اند که به تشکیل بات نت های بزرگ و حملات محروم سازی از سرویس (DoS) گسترده در سال گذشته میلادی انجامید.

حملات Overlay یکی از روش های معمول برای سرقت داده های کاربران اندرویدی به شمار می رود، اما خوشبختانه طی سال گذشته استفاده از این ترفند کاهش یافته، و چنین وضعیتی به طور کلی برای بدافزارها نیز وجود دارد، به گونه ای که در سال 2016 تعداد 60 میلیون نمونه منحصر به فرد بدافزار شناسایی شده، که نسبت به سال 2015 چهار میلیون عدد کاهش یافته است.

تعداد کل حملات بدافزاری نیز در سال 2016 رقم 7.87 میلیارد را نشان می دهد، در حالی که در سال 2015 این رقم به 8.19 میلیارد مورد می رسید. SonicWall می گوید تعداد اپلیکیشن های آلوده در پلی استور طی سال گذشته میلادی به میزان قابل توجهی کاهش یافته، اما این موضوع برای مارکت های ثالث صحت ندارد.

یکی از روندهای رو به رشدی که توسط این مؤسسه شناسایی شده، افزایش نگران کننده باج افزارهاست که در سال 2016 تعداد 638 میلیون مورد حمله را در بر گرفته و افزایش 167 برابری را نسبت به سال قبلش نشان می دهد. سونیک وال همچنین به افزایش 34 درصدی انتقال ترافیک داده از طریق پروتکل های ایمن SSL یا TLS در سال 2016 اشاره کرده است.

گفتینست تمامی آمار فوق از شبکه جهانی GRID مؤسسه SonicWall به دست آمده که بیش از یک میلیون نود امنیتی را در بیش از 200 کشور و منطقه مختلف جهان در بر می گیرد و به صورت 24 ساعته وضعیت اینترنت را تحت نظر دارد.

The post appeared first on .

گزارش مهم ترین تهدیدات امنیتی اندروید در سال 2016 منتشر شد