یک سوءتفاهم خطرناک وجود دارد.
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
❤3
Forwarded from Ping Channel (علی کیائیفر)
#مرکز_ملی_فضایمجازی
خبر، تحلیل، انتقاد - فناوری اطلاعات
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Mr. Nothing
app-release.apk
برای دوستانی که درباره امنیت پروژه و احتمال RAT بودن آن سؤال داشتند، بد نیست چند نکته را شفاف توضیح بدهم:
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
❤3
Mr. Nothing
هنوز هیچ ریسپانسی نداشتم 😂
اینو یبار دیگه هشدار دادم بهشون ،
ریسپانسی ندن حتا نگن داپلیکت
میزارمش همینجا
ریسپانسی ندن حتا نگن داپلیکت
میزارمش همینجا
امروز بعد مدتها گفتم بزار منم یه تست کنم
از کلاد استفاده کردم
پرامتم هم چت جی بی تی ساخت
واقعیتش ریزالت خوبی داشت
ولی در نهایت فقط در حد یه ایده میتونست باشه کدش نه اینکه واقعا من اون کد و ریلیز کنم،
پس الان که اینطور شد بنظرم همکاری باهاش جالب میاد ولی کپی پیست و قبول ندارم
از کلاد استفاده کردم
پرامتم هم چت جی بی تی ساخت
واقعیتش ریزالت خوبی داشت
ولی در نهایت فقط در حد یه ایده میتونست باشه کدش نه اینکه واقعا من اون کد و ریلیز کنم،
پس الان که اینطور شد بنظرم همکاری باهاش جالب میاد ولی کپی پیست و قبول ندارم