July 24, 2010

Minor changes in blog

I'm experiencing some of new blogger features and playing with them to make the blog more readable for users. I've also added the blogger rating option too, as you may have already noticed. This will let you rate each of my posts and vote for available options. Please do so from now on and for past blog posts, so I know more about your taste of reading. As I found most of readers too lazy to comment about posts, though this might be easier to use ;)
Also please let me know if you've any suggestion about the voting options.


من در حال تست برخی از امکانات جدید بلاگر و استفاده از آنها هستم تا شاید بتوان وبلاگ را برای خوانندگان کمی قابل استفاده تر و بهتر کرد. همچنین همانطور که متوجه شدید در انتهای هر پست قابلیتی نیز برای رای دادن به هر پست اضافه شده که از امکانات جالب و جدید بلاگر است. این قابلیت به شما امکان می دهد تا نظر خود را در مورد هر یک از پست ها اعلام نمایید، تا من نیز بر این اساس شناخت بیشتری از سلیقه و نظر شما داشته باشم. با توجه به اینکه بیشتر خوانندگان این وبلاگ تنبل تر از آن هستند که از کامنت برای اعلام نظر استفاده کنند، شاید استفاده از این قابلیت راحت تر باشد. لطفآ پس از این و همچنین در مورد پست های قبلی وبلاگ با استفاده از این قابلیت نظر خود را در مورد هر پست اعلام کنید.
همچنین در صورتی که در مورد گزینه های موجود برای رای دهی پیشنهادی دارید، ذکر کنید.

July 23, 2010

The StuxNet VS Iran

مطلب این پست مربوط به (Malware) بدافزاری می باشد که اخیرآ توجه بسیاری از شرکت های امنیتی، ضد ویروس و همچنین مایکروسافت را به خود جلب کرده است. بد افزار StuxNet از چند جهت نمونه ایی بسیار قابل توجه می باشد. اول اینکه برای انتشار خود از چند ضعف امنیتی جالب و البته پیش از این ناشناخته استفاده می کند. دوم اینکه یک نمونه شاخص از بدافزارهای هدفمند می باشد که گروهی بسیار خاص از رایانه ها و کاربران را هدف قرار می دهد و سوم اینکه برای نصب بی سر و صدای خود در سیستم، علاوه بر بکار گیری تکنولوژی روت کیت، از گواهی های معتبر شرکت RealTek که به سرقت رفته است استفاده می نماید.


روش اصلی انتشار این بد افزار از طریق آلوده کردن فلش دیسک های متصل شده به سیستم می باشد که توضیحات در این خصوص در منابع ذکر شده در طول پست آمده است. البته این بد افزار از روش های دیگری نیز در حال انتشار می باشد که بگفته گزارش مایکروسافت، بیشترین گستردگی و آلودگی از طریق ایمیل و وب سایت های عرضه نرم افزارهای کرک و کد های تقلب بازی می باشد.





در خصوص نکته اول: ضعف امنیتی بکار گرفته شده در این بدافزار، مربوط به یک آسیب پذیری ناشناخته (0-day) می باشد که پیش از این، گزارش و یا مشاهده نشده بوده. این ضعف امنیتی که مربوط به فایل فرمت LNK (نوعی از همان Short-cut های ویندوز) می باشد به حمله کننده اجازه میدهد تا بصورت بسیار پایداری سیستم کاربر را مجبور به اجرای کد مورد نظر خود از طریق هدایت به DLL مد نظر نفوذگر کند. علت پایداری بالای این حمله این است که بر خلاف بسیاری از موارد مشابه، سرریز بافری در کار نیست! ضعف مذکور کلیه نسخ سیستم عامل های مایکروسافت را در بر میگیرد. نیاز به یاد آوری نیست که سیستم عامل ویندوز 2000 و همچنین ویندوز XP سرویس پک 2 و ما قبل آن دیگر توسط مایکروسافت پشتیبانی نشده و بنابراین اصلاحیه امنیتی ایی نیز برای آنها منتشر نخواهد شد.


درخصوص نکته دوم: بدافزار مذکور بصورت کاملآ خاص و مشخص، یکی از نرم افزارهای SCADA شرکت زیمنس (Simatic PCS) را هدف قرار می دهد. نکته جالب تر اینکه این بد افزار، کلمات عبور پیش فرضی که این نرم افزار از آنها برای تبادل اطلاعات با بانک اطلاعاتی خود مورد استفاده قرار می دهد را، بصورت hard-code شده در خود داشته و از آنها برای اتصال به بانک های اطلاعاتی و استخراج اطلاعات استفاده می کند. کاربری نرم افزار مذکور شرکت زیمنس نیز خاص بوده و منحصر به سیستم های هدایت و مانیتورینگ در صنایع، تاسیسات خاص و ... می باشد. شرکت زیمنس در این خصوص البته پاسخگو بوده و راهکارها و توضیحاتی را ارائه داده است.


در خصوص نکته سوم: حتمآ از راهکار امنیتی Driver-Signing مایکروسافت اطلاع دارید. هدف از بکار گیری این راهکار شناسایی سریع درایورهای غیرمعتبر و غیر مجاز نصب شده بر روی سیستم است. بد افزار یاد شده، برای فرار از این مورد، از گواهی های رسمی و معتبری استفاده کرده است که شرکت RealTek (یک تولید کننده معتبر سخت افزار) از آنها برای امضای دیجیتال درایورهای خود استفاده می نماید. مشاهده این مورد و اینکه درایورهای نصب شده توسط بد افزار با این امضای دیجیتال تآیید شده اند یک معنی و مفهوم واضح دارد : طراحان و تولید کننده گان این بد افزار بطور قطع به کلید خصوصی مربوط به این گواهی دسترسی داشته اند، که به معنی نفوذ موفقیت آمیز به سیستم های تولید کننده گان نرم افزار و درایورهای شرکت RealTek نیز میتواند باشد. البته با همکاری و پیگیری مایکروسافت، شرکت VeriSign گواهی های مورد استفاده را باطل کرده است. اظهار نظر و بررسی های متخصصین شرکت Kaspersky و همچنین ESET نیز در این خصوص مفید و خواندنی بوده، و در قالب یک FAQ به نکاتی در این خصوص اشاره می کند. شرکت RealTek تاکنون هیچ توضیح و یا اطلاعاتی در خصوص این رویداد امنیتی نداده است.






تصاویر، اعداد و ارقام و توضیحات گزارش اولیه ارائه شده مایکروسافت تقریبآ واضح هستند و نیازی به توضیح خاصی نیست. در صورتی که گزارش مایکروسافت به اندازه کافی شما را به فکر فرو نمی برد، شاید بررسی گزارش شرکت Symantec و مشاهده فعالیت بدافزار از دیدگاه و روش جالب بررسی آنها، کمی بیشتر شما را نگران کند. بر طبق این گزارش، بیش از 58% از تماس های برقرار شده (14000 آدرس IP واحد) از سیستم های آلوده که با سرور کنترل کننده (C&C) این بدافزار تماس گرفته اند، از کشور ایران بوده اند!




بررسی ASN های ذکر شده در گزارش Symantec مناطق و نواحی آلوده در ایران را نیز بصورت کاملآ مشخص اما کلی بازگو می نماید. با مراجعه به وب سایت هایی مانند Robtex میتوان براحتی به اطلاعات ثبت شده مربوط به هر ASN دست یافت. بطور مثال بیشترین آلودگی ثبت شده مربوط به route های شرکت دیتا می باشد(ASN 12880).



تنها دلیل ارسال این پست تآکید بر اهمیت این موضوع و پررنگ تر کردن آن می باشد. رسانه های خارجی بحث های زیادی در این مورد مطرح کرده اند اما گویا کمترین توجه و رسیدگی در روزهای اخیر در جایی وجود داشته، که بیشترین آلودگی و گسترش در آنجاست. و جالب تر آنکه دیگران، بسیار بیشتر از خود ما، درباره وضعیت ما اطلاع دارند و آنرا بصورت آزاد منتشر می کنند. در چنین رویداد های امنیتی است که می بایست این سوال مطرح شود: " خروجی آن همه هزینه که صرف راه اندازی تیم ها و گروه های امنیتی با پشتیبانی دولتی و دانشگاهی شده و میشود، در چنین مواردی چه بوده است؟!" . آیا اصلا خروجی ایی در کار است و یا گزارش های ارائه شده توسط این دسته نیز مبتنی بر اطلاعات ارائه شده توسط شرکت های غیر ایرانی است؟

 بررسی اینکه چرا ایران در صدر کشورهای مورد حمله این بدافزار قرار دارد نیاز به اطلاعات و جزئیات بیشتری دارد، اما می توان چند حدس مشخص داشت. اولین و پر رنگ ترین گزینه ممکن تلاش هدفمند برای کسب اطلاعات خاص از یکسری کشورهای خاص (از جمله ایران). گزینه بعدی عدم پیاده سازی و پس از آن رعایت قوانین در خصوص استفاده از ابزارهای ذخیره سازی (مثل فلش دیسک) در شبکه های ایرانی می باشد، که مثل سرطان همواره باعث و منشآ بسیاری از آلودگی ها و نشت های اطلاعاتی بوده است. گزینه سوم نیز تمایل و رواج استفاده از نرم افزارهای غیر معتبر (قفل شکسته، دزدی و نسخه های دریافت شده از سایت های غیر رسمی) می باشد، که گزارش منتشر شده توسط مایکروسافت نیز اشاره ایی کوتاه به آن دارد. با انتشار اطلاعات و گزارشات کامل تر و دقیق تر می توان نتیجه گیری واضح تری در این خصوص داشت.

قابل توجه برادران گرامی ایی که به شدت نگران نشت اطلاعات از کشور بوده اند و البته این روز ها هم با جدیت مشغول متلاشی کردن تیم های سایبری بیگانگان و حملات دندان شکن به آنها بوده اند... بهتر نیست دیدگاه خود را نسبت به حملات سایبری و شناخت آن کمی تغییر دهید؟


{بروز رسانی:}
یکی از دوستان من نیز از دیدگاه دیگری این رویداد امنیتی را بررسی کرده که خواندن آن را نیز توصیه می کنم.

July 16, 2010

Penetration-Test Plan (Farsi)

First of all, I've made some changes to blog and added few items. Hope these changes make the blog more user-friendly for non-rss visitors :) 

During long weeks that I was passing my conscription, I had a lot of free times beside the usual and daily works I could/had-to do in the research lab I was working in. These free times were good opportunities for studying and also writing. I wrote few papers and articles during those times and have already published some of them in this blog. Here`s another output from those days :)

This is kind of guidline, plan, framework or whatever you name it, to help novice users plan for a pen-test/assessment project. It is by no mean a complete/standard compliance/revised source, but just one of hundreds of available materials and refrences, available about the topic.



Also, this is NOT entirely provided by me. I've just grabbed a good source, and tried to translate/modify it for persian users, so the credit goes for vulnerabilityassessment.co.uk guys and others who've contributed to original work. Maybe the next time my students in pen-test training classes ask for the big easy to use how-to, this piece of information satisfy them for some days. 

File should be opened with Xmind, which is available free for download. Xmind is not my favorite brain-storming software, but using persian fonts forced me to switch to xmind, and now I`m happy with it. download it through below link. Ah, and please do not ask for an image export of the map. current version of Xmind is buggy and do not allow exporting of a map in this size. export simply fails! I've contacted developers few months ago about the case, but honestly forgot to investigate the case with them. So feel free to contact them, ask for a fix, export entire map in JPEG and let me know to upload it here ;)

Download the pen-test/assessment map
[updated: Finally could find a trick to make an image export!]
Click for full-size map



I`m releasing the complete source of plan , in easy to re-distribute form and with no restriction, BUT using this material without mentioning it`s source (vulnerabilityassessment.co.uk & me) is not allowed. A lot of friends has blamed me for sharing too much through what I write and release in persian, but I still believe in freedom and flow of information and hope to help some real looking minds, as I've learned what I know the same way, by reading from others...