آفسک - هکرهای ایران
9.33K members
603 photos
59 videos
89 files
456 links
آفسک، تحقیقات پیشرفته نفوذ و امنیت سایبری در ایران
میزبان هکرهای برگزیده‌ی ایران در کنفرانس سالانه‌ی آفسکانف

وبسایت: www.offsec.ir
توییتر: twitter.com/offsecmag
اینستاگرام: instagram.com/offsecmag

ایمیل: we @ offsec . ir
انتقاد و پیشنهاد: @offseque
Download Telegram
to view and join the conversation
مُردن حملات CSRF؟

تقریبا ۵ ماه پیش گوگل از نسخه ۸۰ مرورگر کروم، بطور پیشفرض برای سایت‌هایی که مشخصه SameSite رو به کوکی کاربران اختصاص نداده باشه، یه SameSite=Lax اضافه می‌کنه. این به این معنیه که درخواست‌های خارج از محدوده‌ی دامنه وبسایت (cross-origin) نمی‌تونن کوکی‌ها رو حمل کنن. در نتیجه، حملات CSRF دیگه به ظاهر معنی نداره. انواع دیگه‌ای از آسیب‌پذیری‌ها هم تحت‌الشعاع چنین سیاستی از مرورگر کروم می‌شن اما مهم‌ترین کلاس آسیب‌پذیری در بین حملات سمت مرورگر همون XSS هست که هنوز به قوت خودش باقیه. پیکربندی‌های نادرست CORS هم همون سایتایی‌ان که به قصد SameSite رو مقدار خطرناکی (*) دادن یا محدوده‌های قابل اکسپلویتی برای هکرها تعریف کردن که اینم بدیهتا با سیاست جدید کروم مشکلی نداره. اما جالبه بدونید که این محدودیت کروم روی متد GET کار نمی‌کنه و از این راه هم می‌تونید CSRF بزنید. در آخر قابل توجهه که حتی اگر در کروم چنین آسیب‌پذیری‌هایی محدودیت داشته باشه، در مروگرهای دیگه چنین خبری نیست و این شاید برای کاشفان باگ در ازای جایزه خبر خوبی تلقی بشه.

@offsecmag
🔺خیلی فوری: سازمان‌ها و شرکت‌های ایرانی حواسشون باشه که یه آسیب‌پذیری با درجه خطر ۱۰ از ۱۰ در سرویس DNS ویندوز پیدا شده که روی ویندوز سرورهای ۲۰۰۳ تا ۲۰۱۹ جواب میده! اونقدر خطرناکه که ممکنه تمام زیرساخت‌تون رو با دسترسی Domain Admin به مهاجم تقدیم کنه. همین حالا به‌روزرسانی‌هارو انجام بدید.

@offsecmag
پولی که امشب هکرها از هک حساب‌های مهم توییتری در اوردن تا این ساعت بیشتر از ۱۴ برابر مقداریه که خود توییتر در برنامه جایزه کشف باگ می‌داده!
@offsecmag
هکرهای سازمان یافته منتسب به جمهوری اسلامی، به اشتباه؟ فایل‌هایی رو از عملیات‌هاشون روی یک سرور قرار داده بودن که هوستی از دامنه‌های دیگر حملات‌شون بوده. توی این فایل‌ها ۴۰ گیگ فیلم آموزشی/poc از استخراج داده‌های ایمیل نظامی‌های رده‌بالای نیروی دریایی امریکا و یونان بوده که نشون میده حملاتشون موفقیت‌آمیز بوده. بقیه‌ش اسامی و شماره‌های مورد استفاده‌ی ایرانی و اطلاعات حملات ناموفق فیشینگ به خیرین ایرانی-امریکایی و مقامات وزارت خارجه امریکا و سفارت مجازی ایران در امریکا بوده. این حملات ۳ ماه پیش اتفاق افتاده!

اهداف این گروه در سال ۲۰۱۸ بیشتر آژانس‌های نظارتی مالی/هسته‌ای و محققین‌شون بوده‌ن، در سال ۲۰۱۹ بیشتر به سمت سیاست‌مدارهای امریکا و مقامات دولت امریکا رفته‌ن و در سال ۲۰۲۰ نهادهای دارویی امریکا.

این گزارشی از شرکت IBM بود که فایل‌ها رو پیدا کرده.
@offsecmag
براساس تحقیقی از گوگل، جالبه بدونید که Security Key (یه چیزی مثل Cloud Password تلگرام) از تمام راه‌حل‌های دیگر مقابله با حملات مختلف بدست‌گیری حساب‌های کاربری، قابل‌اتکاتر و در یک کلام بهترین راهکاره.

@offsecmag
🔺 آسیب‌پذیری‌های زیرساخت‌های ابری (گزارش جدید آژانس امنیت ملی امریکا)

هرچند که زیرساخت ابری در ایران بسیار جوان و نابالغه و بسیاری از تکنولوژی‌ها و خدمات به اسم «ابری»، در واقعیت امر فروش سرور مجازی و همون میزبانی و فضای کلاسیک اشتراکیه، اما بهرحال حالا که شرکت‌های ایرانی قدم به توسعه و انتقال به این زیرساخت برداشتن، خوندن این گزارش جدید از NSA بسیار مفیده و بایستی بدونید که ما در آفسک، در این زمینه هم مشاوره میدیم. پس cert@offsec.ir رو یادتون باشه.

اول گفته اصلا زیرساخت ابری چیه؟ که در واقع اجزاش رو خیلی سرراست و خلاصه میگه: «مدیریت دسترسی»، «پردازش»، «شبکه» و «فضا»

مدیریت دسترسی: به این اشاره داره که هر مشتری تا چه حد به منابعش دسترسی داره.
پردازش: منابع هر مشتری قراره با چه تکنولوژی‌ای محاسبه و پردازش بشه (Virtualization یا Containerization)
پردازش بصورت مجازی‌سازی: تمام اجزای زیرساخت ابری در یک سری محیطهای ایزوله پردازش، نگهداری و شبکه میشه.
پردازش بصورت کانتینرسازی: منابع مشتری (و نه خود زیرساخت ابری) در یک سری محیط های ایزوله قرار می‌گیرن و نسبت به تکنولوژی‌های مجازی‌سازی ناامن‌ترن چون خاصیت‌های کرنل رو به اشتراک می‌ذارن برای هر مشتری.
شبکه: ایزوله کردن شبکه‌های مشتری در یک سرویس ابری بسیار مهمه. در این زمینه تهدیداتی برای هر زیرساخت ابری وجود داره که بایستی نسبت بهش با تکنولوژی‌هایی مثل SDN مقاومت بشه.
فضا: تمام داده‌های مشتری بایستی در یک زیرساخت ابری، از گره ابری سایر مشتری‌ها جدا باشه و به هیچ عنوان افشای داده‌ای صورت نگیره. اینم تهدید دیگری برای سرویس‌های ابریه.

طبق تصویر اولی که گذاشتیم، می‌تونید ببینید که هرچقدر به سمت تکنولوژی‌های زیرساخت بعنوان یک سرویس (IaaS) میریم، به جهت ایزوله بودن دیگر اجزای زیرساخت، تنها امنیت سرویس «مجازی‌سازی» در معرض خطر از سمت تامین‌کننده‌ست و امنیت بقیه اجزا پای مشتریه. در پلتفرم بعنوان یک سرویس (PaaS) وزنه‌ی مسئولیت امنیت بیشتر به پای تامین‌کننده میره و فقط امنیت «پیکربندی و داده/برنامه» پای مشتریه. در مدل نرم‌افزار بعنوان یک سرویس (SaaS)، بغیر از پیکربندی، مسئولیت امنیت تمام دیگر اجزای زیرساخت ابری با تامین‌کننده‌ست و اگر چنانچه مدیریت آسیب‌پذیری توی این سرویس از سمت تامین‌کننده نقص داشته باشه مشتری بیچاره‌ست.

این گزارش به معمول‌ترین و مطرح‌ترین انواع آسیب‌پذیری‌های هر زیرساخت ابری می‌پردازه که بسته به سرویسی که ارائه می‌شه، هم تامین‌کننده‌ش می‌تونه این آسیب‌پذیری‌ها رو بوجود بیاره و هم مشتری. که این آسیب‌پذیری‌ها رو در چهار نوع ذکر می‌کنه:
۱. پیکربندی نادرست ۲. کنترل دسترسی ناقص ۳. آسیب‌پذیری‌های اشتراکات نرم‌افزاری و سخت‌افزاری ۴. آسیب‌پذیری‌های زنجیره تامین

دو مورد اول «بسیار» اتفاق می‌افته و بسیار هم تقریبا اکسپلویتشون «آسونه». دو مورد دوم اما، «کم» اتفاق می‌افته و اکسپلویتشونم بسیار «سخته». می‌تونید جزئیاتش رو خودتون در گزارش بخونید.

@offsecmag
یکی از دلایلی که فرمت PDF و Parse کردنش پیچیده‌ست و اگر یه وقت خوبی براش گذاشته بشه از محصولات PDF خوان باگ‌های مهمی میشه دراورد:
https://pdf-insecurity.org

@offsecmag
هوش مصنوعی و تشخیص تهدیدات درحال‌تحول

با فراگیری مدل‌های یادگیری ماشین، شرکت‌های مختلف فناوری به سمت بهره‌گیری از این مدل‌ها در عملیات‌ها و فعالیت‌های روزانه و خصوصا در مقیاس بالا هستند. مثلا چند روز پیش شرکت اسنپ (آمریکا) فناوریهای معرفی کرد که بر روی دستگاه کاربران، داده‌های حساس بدون تعامل با سرور اسنپ پردازش می‌شوند و مدل‌های جدیدی را بصورت توزیع‌شده از سرور دریافت می‌کنند. کاربرد این توزیع‌پذیری مدل‌ها در مواردی مثل تشخیص حملات فیشینگ می‌تواند پدیدار شود. یا امروز مایکروسافت مدلی از تلفیق شبکه‌های عصبی همگشتی با یک معماری از شبکه عصبی بازگشتی معرفی کرد که نمونه بدافزارهای زنجیره‌ای همچون Bondat را تشخیص می‌دهد و نسبت به الگوهای مشابه آن هشدارهای لازم را به تیم SOC ارسال می‌کند.
@offsecmag
یه خبر خوب: اعطای جایزه در ازای بازنویسی کد امن!

مجموعه‌ای پژوهشی به اسم Fish in a Barrel در اقدامی خداپسندانه برنامه‌ای راه انداخته که در ازای بازنویسی کدهای متن‌بازی که منجر به کمینه کردن آسیب‌پذیری‌های تخریب حافظه می‌شن «پول» میده که یا ۵۰۰ دلار یا ۱۰۰ دلاره. در حال حاضر این برنامه، این پروژه‌ها رو پشتیبانی می‌کنه:

- افزدون الحاقیه‌ای که کتابخونه‌های نرم‌افزاری رو برای زبان‌های Rust و Swift قابل استفاده کنه.
- تعویض بخشی یا تمامی یک پروژه به یک زبان با ایمنی حافظه (مثل Rust ولی محدودیتی در این زمینه وجود نداره)

نکته‌ی بعدی اینه که مثل همیشه کشور عزیز ایران در لیست مشکلات قانونی و تحریم‌های این برنامه‌ست ولی بقیه‌شو خودتون باید بدونید.
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
پروژه جدید Brandon Falk قشنگه!
بطور همزمان وقتی فازری روی برنامه‌ای برای کشف باگ اجرا می‌شه، این میاد نقاطی که از کد برنامه، پوشش داده می‌شه رو به تصویر می‌کشه (visualize به فارسی چی میشه؟)
اینطوری می‌شه فازرهای مختلف و کارایی‌شون رو بهتر مقایسه کرد و برای بهبودشون اقدامات لازم رو انجام داد.
@offsecmag
دست داشتن یک ایرانی در هک توییتر

واسه قضیه هک توییتر فهمیدید که از طریق مهندسی اجتماعی (گول زدن کارمندان توییتر) بوده؟ FBI یه فرد ۱۷ ساله در ایالت فلوریدا رو بعنوان سرکرده گروهی که توییتر رو هک کردن بازداشت کرده. ولی یه جوون ۲۲ ساله ایرانی به اسم «نیما فاضلی» از ایالت ارلاندو هم همراهش دستگیر و به ۵ سال زندان و پرداخت ۲۵۰ هزار دلار محکوم شده. داستانش رو اینجا بخونید.
@offsecmag
احتمالا این تحقیق هم بدرد مهاجمین می‌خوره هم اونایی که دستشون تو کار امنیته. با شیوه‌ها و فرکانس استفاده از پیلودهای مختلف حملات XSS می‌شه آشنا شد و استراتژی‌های بهتری برای حمله/امنیت اتخاذ کرد.
@offsecmag
شگفت انگیزه که در جایی که به ظاهر اکسپلویت شدنی نیست و مهاجم روش حساب باز نمی‌کنه، یه امکان یا پروتکلی وجود داره که احتمالا مهاجم ازش خبر نداره و می‌تونه با اون، به اهداف خودش برسه. در این جا، اون چیزی که ظاهرا اکسپلویت‌شدنی نیست یه آسیب‌پذیری از یه افزونه‌ی پروتکل از راه‌دور انتقال WebRTC هست (پروتکلی که مثلا باهاش تماس تصویری یا تلفنی نظیر به نظیر انجام می‌دید) و اون امکان یا پروتکلی که می‌شه این آسیب‌پذیری رو از طریق پیغام‌های ضمنی‌ش اکسپلویت کرد، STUN نام داره. این سلسله پست جدید از پروژه صفر گوگل در مورد نحوه اکسپلویت کردن پیام‌رسان‌های اندرویدی از جنس این آسیب‌پذیری‌هاست.
@offsecmag
مایکروسافت در یک سال گذشته نزدیک به ۱۴ میلیون دلار جایزه به پاس کشف آسیب‌پذیری به محققین داده. این عدد تقریبا یک سوم کل پرداختی برنامه‌های هکروان در سال ۲۰۱۹ بوده. مایکروسافت این جوایز رو در قالب ۱۵ برنامه میده و حتی برنامه‌ای جدید برای امنیت هوش مصنوعی هم راه انداخته.
@offsecmag
امشب بخش بزرگی از کدهای شرکت اینتل افشا شد! و یه نفر توشون این کامنت رو پیدا کرده! معنی خاص (و احتمالا منفی‌ای) نداره ولی جالب و قابل توجهه 😅
@offsecmag
This media is not supported in your browser
VIEW IN TELEGRAM
حمله جدید شنود مکالمات در ارتباطات نسل چهارم (LTE)

سرویس مکالمه روی بستر نسل چهارم (VoLTE) یه نقصی داره که می‌شه تماس‌های رمزنگاری‌شده‌ش رو با پیاده‌سازی یک حمله بازیابی کرد و اون رو از طریق بکارگیری دوباره‌ی کلیدها با فنّ XOR کردن، رمزگشایی کرد. هر دو اپراتور عمده‌ی ایران این قابلیت رو پشتیبانی می‌کنن.
@offsecmag
امشب گزارشی از NSA و FBI منتشر شد که از بدافزاری روسی پرده‌برداری می‌کرد که برروی سیستم‌ها و سرورهای مبتنی بر لینوکس عمل می‌کنه و خودش رو تکثیر میده. این گزارش دست کم برای سازمان‌ها و شرکت‌های ایرانی هم مفیده چون روسیه فقط امریکا رو تهدید نمی‌کنه.
@offsecmag