خبرهای مهم:

تاریخ امروز برابر است با [ شنبه ۴ آذر ۱۳۹۶ ]

۱۰ روز از زمانی که هکر های Shadowbrokers بخشی از ابزار ها و اکسپلویت های آژانس امنیت ملی آمریکا با نام NSA را منتشر کردند میگذرد.

بخش مهم این اطلاعات اکسپلویت هایی بود که این آژانس برای اهداف خود و برای دسترسی به سیستم های مد نظر استفاده میکرده.

 

در این آدرس میتونید توضیحات ماکروسافت به همراه وصله امنیتی هرکدام از اکسپلویت ها رو ببینید و سیستم خود را بروز کنید.

اکسپلویت مد نظر ما  Eternalblue است ، که پرتکل smb را اکسپلویت میکنه و گستره وسیعی از سیستم عامل های خانواده ویندوز رو پوشش میده. این اکسپلویت ها هر کدام که با موفقیت اجرا میشده پس از دسترسی به سیستم قربانی از بکدوری به نام doublepulsar برای تثبیت دسترسی استفاده می کرده اند . (Doublepulsar بکدور یا درب پشتی ای است که NSA از آن برای نگهداشتن دسترسی به سیستم قربانی پس از اکسپلویت استفاده میکند. وجود این بکدور بر روی این سیستم ها به مفهموم این است که این سیستم قبلا مورد نفوذ قرار گرفته و برای دسترسی های بعدی هکر آماده است و به علت عمومی شدن ابزار هکینگ، دسترسی به آنها در کمتر از ۲۰ ثانیه توسط هر فردی که کمترین دانش هکینگ را دارد مقدور است . وجود این بکدور بر روی این سیستم ها به مفهوم نفوذ توسط NSA  نیست و این ابزار عمومی شده است و توسط هکر ها قابل استفاده است. )

در این آدرس  و این آدرس میتونید دو گزارش از بررسی آدرس های آیپی کل اینترنت و درصد آلودگی رو ببنید.

در گزارش های بالا افزایش چشمگیر و روز افزون سیستم های آلوده به صورت روزانه قابل توجه است.

اما هدف از این نوشته تنها بررسی آماری سیستم های در خطر ایرانی است برای همین در تاریخ ۲۴ آپریل آدرس های آیپی ایران برگرفته از اینجا  که  ۱۱۸۹۴۷۷۶ آدرس گزارش شده برای پیدا کردن سیستم های آلوده مورد بررسی قرار گرفت.

پویش در این تاریخ ۶ ساعت زمان برد و ۱۷۹۶۷ آدرس آی پی با پورت باز ۴۴۵ مشاهده شد. (این پویش از خارج از ایران انجام شده)

در همان تاریخ با استفاده از اسکریپت doublepulsar-detection-script این آدرس ها برای پیدا کردن وجود درب پشتی Doublepulsar مورد جستجو قرار گرفت.( این پویش از داخل ایران انجام شد.)

۱۸۷۵ سیستم آلوده به doublepulsar شناسایی شد . توجه کنید که این به مفهوم این نیست که بقیه سیستم ها آسیب پذیر نیستند بلکه این تعداد آلوده شده اند. بر اساس بررسی انتخابی سیستم ها تقریبا از هر ۵ آدرس آی پی انتخاب شده ۳ آدرس قابل نفوذ بود که آمار بسیار بالا و نگران کننده ای است.  چرا نگرانی برای ایران بیشتره؟ چون به صورت معمول سیستم های ویندوزی ایران نسخه های کرک شده است و در بسیاری موارد به روز رسانی بر روی آنها انجام نمیشود.

توجه کنید که اعداد و ارقام بالا در مورد سیستم های قابل دسترس در اینترنت بود و وضعیت سیستم های درون شبکه ای ناگفته پیدا است. در بین این سیستم ها از سیستم های بانکی تا هاستینگ ها و دانشگاه ها به راحتی یافت میشود.

خب در انتها برای من مهم و جالب بود که ببینم سازمان هایی که وظیفه اطلاع رسانی در مورد این موضوع را دارند چقدر اطلاع رسانی کردند که متاسفانه وب سایت مرکز ماهر با مشکل مواجه بود نه از داخل ایران و نه از خارج در زمان نوشتن این متن قابل دسترسی نبود ، همچنین با بررسی آی پی های ایران و خبر ها میشه به راحتی دید که مرکز ماهر اقدام به راه اندازی پروژه هانی نت ملی کرده که کار با ارزشی است و در نوشته ای جداگانه آن را بررسی میکنیم ، ولی هدف از این کار مشخص نیست چون حتی در برابر آسیپ پذیری های جدی و پر رنگی چون این مورد اخیر پس از گذشت ۱۰ روز مهم ، خبری از این دوستان نیست چه برسه به کشف آسیب پذیری های روز ۰ یا ۱ یا ۲۰ یا ۳۰ …  البته من تجربیات شخصی رو در این گزارش دخیل نکردم و دوس دارم به دور از پیشفرض  این متن رو بنویسم  ، سایت پلیس فتا هم خبری نبود و خوب من نمیدونم جز وظایف پلیس فتا هست این موضوع یا نه ، البته تقریبا ایران مرکزی برای اطلاع رسانی رخداد های امنیتی و تولید خبر بومی امنیت ندارد ، به دلایل زیاد که خوشبینانه ترین حالتش میتواند این باشد که هنوز اول راهیم .

در جایی که من زندگی میکنم آمریکا ، حداقل بخشی که من هستم رو بررسی کردم ، تمامی دسترسی ها  بر روی پورت ۴۴۵  از طریق ارایه دهنده های اینترنت مسدود شده و به عنوان یک راه حل اولیه تصمیم خوبی بوده .

نویسنده: محمد جرجندی

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*