اگر قرار باشه به عنوان یک هکر قانونمند البته ، به شبکه یک شرکت و یا یک سازمان حمله ای انجام بدم ، اولین مرحله اسکن کردن پورتهای باز شبکه هست ، اگر در همین حین متوجه بشم که پورت 3389 روی سیستم هدف باز هست حتما به این نتیجه میرسم که من میتونم به این سیستم با استفاده از پروتکل RDP و استفاده از Remote Desktop Connection متصل بشم ، خوب تا اینجاش مشکلی نبود اما اگر من نتونم پورتی با این شماره رو باز توی سیستم هدف پیدا کنم چطور ؟ یا اینکه پورتی پیدا میکنم که شماره عجیبی داره و تا حالا شمارش به گوشم نخورده ، خوب در این نکته میخایم به شما آموزش بدیم که چطور می تونیم پورت پیشفرض معروف پروتکل RDP که شمارش 3389 هست رو تغییر بدیم و از طرفی به شما آموزش میدیم که بعد از اینکه این شماره پورت رو عوض کردید چطور به این سیستم از طریق Remote Desktop متصل بشید ، هدف از انجام اینکار رو در ابتدا عرض کردم که تا حد زیادی می تونه در مراحل اولیه شناسایی شبکه توسط هکرها جلوی شناسایی سیستم ها رو بگیره و از نظر امنیتی درجه خوبی رو برای ما ایجاد کنه ، چون فقط اون کسی که شماره پورت جدید رو داره توانایی برقراری ارتباط با سیستم هدف رو خواهد داشت ( البته خوب ما اینطور می گیم ، در اصل هکر اگر واقعا هکر باشه خیلی ساده به این موضوع پی می بره اما به هرحال کار از محکم کاری عیب نمی کنه ) ، برای انجام این کار ما بایستی پورت TCP 3389 رو مثلا به شماره پورت 3345 تغییر بدیم ، شماره پورتی که انتخاب می کنید کاملا می تونه دست خودتون باشه ، مراحل زیر رو دنبال کنید :
1-وارد قسمت Registry ( در RUN عبارت regedit را بزنید.)
و وارد مسیر زیر شوید:
2-عبارتی به نام Port Number را پیدا کنید و روی اون دابل کلیک کنید.
3-عدد 3389 موجود رو تغییر بدید به عدد دلخواه خودتون ، ممکنه که به جای 3345 به صورت d3d نمایش داده بشه که base را باید به decimal تغییر دهید تا عبارت عددی آن نشان داده شود . فقط توجه داشته باشید که با پورت های دیگه تداخلی نداشته باشه ، ترجیحا Well Known Ports نباشه .
4-تایید کنید و از registry خارج بشید.
5- حالا این پورت را باید در فایروال ویندوز خود با پروتکل TCP و در قسمت Inbound Rules باز کنید . اگر از فایروالی به جز ویندوز استفاده می کنید ، پورت جدید را باید در آن باز کنید .
سیستم عامل را ریست کنید .
5-بعد از بالا اومدن سیستم شما میتونید از طریق سیستم های دیگه و با استفاده از Remote DeskTop و وارد کردن شماره پورت پس از : درانتهای آی پی به سیستم ریموت کنید.
مانند زیر :
بسیاری از مواقع ممکن است پس از نصب گواهینامه امنیتی SSL بر روی سایت خود نوار مرورگر شما سبز نشود و به جای Secure با عبارت Not Secure مواجه بشوید .
بسیاری از کاربران فکر می کنند که مشکل از گواهینامه امنیتی SSL هست ، اگر گواهینامه امنیتی SSL را از جای معتبر خریده باشد و تاریخ آن به اتمام نرسیده باشد به احتمال بسیار زیاد با مشکل Mixed Content مواجه شده اید .
در مرورگر کروم اگر به توضیحات توجه کنید عبارت زیر را می بینید :
This page is trying to load scripts from unauthenticated sources این عبارت به این معنا هست که لینک هایی هستند که از سورس معتبر لود نمی شوند . سورس معتبر به معنای این هست که همه لینک ها باید از آدرس SSL لود شوند .
راه فهمیدن این مشکل بسیار ساده هست و هر کسی به سادگی می تواند مشکل را دریابد !
در مرورگر کروم راست کلیک کنید گزینه inspect را بزنید :
به تب Security بروید.
در این قسمت از معتبر (valid ) بودن گواهینامه امنیتی SSL خود اطمینان پیدا کنید .
در این قسمت پیغام خطای Mixed Content مشخص هست .
برای این که بدانیم در قالب سایت چه آدرس هایی از http لود می شود و ایجاد مشکل Mixed Content را کردند به تب console بروید در این قسمت همه لینک هایMixed Content موجود هستند و باید یکی یکی در قالب به آدرس https تغییر کنند .
اگر از وردپرس استفاده می کنید وارد Admin سایت بشوید
سپس به تنظیمات همگانی بروید و آدرس سایت را در قسمت های
نشانی وردپرس (URL)
نشانی سایت (URL)به صورت https وارد کنید .با این کار بسیاری از آدرس های قالب به صورت https لود می شوند.برای اطلاعات بیشتر :
و پرداخت فاکتور ، لینکی برای تکمیل درخواست SSL به ایمیل کاربری شما ارسال می شود.
روند تکمیل سفارش SSL به صورت زیر است:
بر روی لینک کلیک کنید صفحه زیر برای شما باز می شود .
در این صفحه در قسمت Domain دامنه ای که می خواهید برای آن SSL بگیرید را وارد کنید در فیلد پایین آن لیستی از ایمیل هایی که می توانید از آن برای تایید مالکیت دامنه استفاده کنید به شما نشان داده می شود. ایمیلی را انتخاب کنید که به آن دسترسی دارید . ( به این ایمیل لینکی برای تایید فرستاده می شود )
بعد از آن برای صدور SSl نیاز به ایجاد ( CSR ( Certificate Signing Request هست . CSR در واقع درخواست شما برای صدور SSl هست که شامل نام دامنه و اطلاعاتی در مورد شخص درخواست کننده می باشد . پس از ایجاد CSR یک فایل با پسوند .key به نام private key ایجاد می شود که برای نصب SSL روی هاست به آن احتیاج دارید و بدون فایل .key در واقع SSL بلا استفاده می باشد.
برای ایجاد CSR راه های مختلفی وجود دارد . آسان ترین راه استفاده از کنترل پنل هاست هست . برای ایجاد می توانید از
آموزش ایجاد CSR برای گواهینامه SSL رهیار سرور استفاده نمایید .
در بخش Organisation و Contact Information اطلاعات خود را وارد کنید. سپس place Order را بزنید .
ایمیلی که در قسمت اول انتخاب کردید را چک کنید ، بعد از کلیک روی لینک داخل ایمیل ، دامنه تایید شده و صفحه زیر به شما نشان داده می شود .
SSL آماده شد ! حالا می توانید به ناحیه کاربری خود بروید و SSL را دانلود کنید !
اگر در محیط اینترنت رفت و آمد داشته باشید حتما خبرهای متوالی جعل گواهی امنیتی سرویسهایی مانند Gmail را بارها شنیدهاید. هشدارهای پی در پی و اخبار متفاوت از جعل گواهی امنیتی وبسایتهایی مانند گوگل، مایکروسافت، یاهو و … .
اما چگونه میتوان این گواهیهای امنیتی را جعل کرد؟ در این مقاله قصد دارم با زبانی ساده و روان به بررسی روند جعل این گواهیهای امنیتی پرداخته و شما را با نحوهی دستیابی به اطلاعاتتان آشنا کنم.
وقتی شما برای جستجو در اینترنت وارد سایتی مثل گوگل میشوید و عبارت مورد نظر را در فیلد جستجو وارد کرده و کلید جستجو را میزنید، این عبارت توسط کامپیوتر شما به سرور گوگل فرستاده شده و نتایج حاصل از جستجو برای شما نمایش داده خواهد شد. اما این کار چگونه انجام میشود؟
1. ابتدا شما وارد سایت گوگل میشوید.
2. عبارت مورد نظر را در کادر جستجو وارد کرده و دکمه جستجو را میزنید.
3. این عبارت ابتدا به سرور ISP یا مرکزی که شما از آن سرویس میگیرید فرستاده میشود.
4. سپس از آنجا به سرور مرکز اصلی که در بیشتر مواقع در مراکز استانها دایر است فرستاده میشود.
5. سپس از شبکه کل کشور خارج میشود و تازه به دست آن طرفیها میرسد که دیگر با مراحل آنجا کاری نداریم و تا همینجا برای توضیح کار بس است!
6. سپس سرور گوگل درخواست شما را پاسخ داده و از همین مسیر دوباره اطلاعات جدید به دست شما میرسد.
حالا تصور کنید یک نفر در این میان اطلاعات شما را رصد کند. یعنی شخص سومی در بین مسیر قرار گرفته و اطلاعات شما را قبل از رسیدن به سرور بعدی و در بین راه سرقت نماید. چه اتفاقی میافتد؟ قطعا عبارت مورد جستجو نمیتواند هیچگونه خطر امنیتی داشته باشد اما اگر این عبارت کلمهی عبور حساب بانکی شما باشد چطور؟ اگر کلمه عبور ایمیل شما باشد چطور؟ اینجاست که امنیت اطلاعات معنی پیدا میکند.
SSL چگونه کار میکند؟
به زبان ساده وقتی شما درخواست یک صفحهی ایمن (معمولا با https) میکنید، سرور یک کلید عمومی (Public Key) ساخته و به همراه یک درخواست گواهینامه SSL که تمامی اطلاعات شرکت درخواست کننده در آن قرار دارد به سرویسدهندهی خدمات SSL میفرستد. سرویس دهنده خدمات SSL با استفاده از الگوریتمهای پیشرفته اقدام به رمزگذاری کلید عمومی کرده و پس از رمزگذاری آن، کلید جدیدی ساخته و آن را به سرور بازمیگرداند (که به این کلید جدید، کلید خصوصی یا Private Key گفته میشود). در مبحث امنیت شبکه، مهمترین قسمت در سرویسدهی SSL حفظ و نگهداری همین کلید خصوصی است و در صورتی که بتوان به کلید خصوصی دسترسی پیدا کرد یعنی میتوان اطلاعات را خواند. کلید عمومی را هر کسی میتواند مشاهده کند اما کلید خصوصی را نه!
پس از دریافت کلید خصوصی، ارتباط امن شما با سرور برقرار شده و میتوانید با خیالی تقریبا راحت در وبسایت به گشت و گذار بپردازید!
SSL چگونه امنیت دادهها را تضمین میکند؟
پروتکل SSL اطلاعاتی که قرار است تبادل شود را با الگوریتمهای پیچیدهای رمزنگاری میکند تا اگر در بین راه شخص سومی این اطلاعات را به سرقت برد نتواند آن را بخواند. این اطلاعات فقط و فقط به وسیله کدهای Private Key قابل خواندن هستند و در صورتی که این کدها در دسترس دیگری قرار بگیرد به راحتی میتواند اطلاعات شما را شنود کند. یک شرکت سرویسدهندهی SSL نیز همیشه به دنبال این است که کسی نتواند به کلید خصوصی دسترسی داشته باشد.
آیا SSL قابل اعتماد است؟
وقتی شما فرمی را بدون پروتکل SSL در یک وبسایت تکمیل کرده و ارسال میکنید، این اطلاعات به صورت یک فایل متنی به مقصد فرستاده میشود. اما وقتی پای SSL به میان میآید، این کدها به صورت ایمن یا در اصطلاح داخل یک تونل امنیتی انتقال داده میشوند که افراد بیگانه نمیتوانند آنها را بخوانند. یعنی اگر سارق در میانه راه به این کدها دسترسی پیدا کند فقط کدهای نامفهومی را میبیند که با روشهای پیشرفتهای کدگذاری شدهاند و فقط در مرورگر کاربر و کامپیوتر سرور قابل رویت هستند اما اخیرا همین کدهای SSL نیز توسط دو پژوهشگر شکسته شدند.
SSL یک پروتکل امنیتی با الگوریتمهای رمزنگاری پیشرفته است که تبادل اطلاعات بین سیستم کاربر و سرور را کنترل کرده و با رمزنگاری دادهها کاری میکند که اطلاعات در بین مسیر برای شخص سومی قابل خواندن نباشند. یا به اصطلاح، اطلاعات را در یک تونل امنیتی رد و بدل میکند. این پروتکل برای اولین بار در مرورگرNetscape برای انتقال امن دادهها میان مرورگر و سرور ایجاد گردید و امروزه به یکی از اصلیترین راههای تامین امنیت وبسایتها تبدیل شده است که هماکنون میلیونها وبسایت از این پروتکل استفاده میکنند.
گواهینامهها از کجا پشتیبانی میشوند؟
شرکتهای متعددی وجود دارند که این گواهینامهها را صادر میکنند و در سرویسهای متفاوتی آنها را ارائه میکنند که ارزانترین آنها در حال حاضر معادل 57 هزار تومان برای هر سال میباشد و در صورتی که هر مشکلی پیش بیاید این شرکت طبق توافقی که با شما دارد که به آن گارانتی می گویند خسارت را پرداخت خواهد کرد. البته نوع رمزنگاری هر شرکت ارائه کننده گواهینامه نیز متفاوت است و نوع پرداخت خسارت احتمالی نیز مشخص که چیزی شبیه به بیمه هست ! سایتی که SSL دارد اما گواهینامه معتبری ندارد تفاوت چندانی با سایتی که SSL ندارد نخواهد داشت !
خوب با این توضیح مشخص میشود که چرا برخی مواقع برای سایتهایی که از https استفاده میکنند در هنگام ورود با پیغامی روبرو می شویم که مرورگر نسبت به اعتماد به این صفحه از شما پرسش میکند و نیاز به تایید از سمت کاربر است. (بطور مثال یکی از بانکهای کشور هنوز این گواهینامه را تهیه نکردهاند و بانک پارسیان و سامان این گواهینامه را دارند!)
رمزنگاری چگونه است ؟
رمزنگاری (Cryptography) علم به رمز در آوردن (encryption) اطلاعات است. توضیح روشهای بسیار پیچیدهای که امروزه برای رمزنگاری استفاده میشود از حوصله این مطلب خارج است، اما برای رفع ابهام، در زیر به یکی از سادهترین روشهای رمزنگاری میپردازیم: میدانیم که هر حرف در الفبا جایگاهی دارد. مثلا حرف «الف قبل از ب» و «حرف م قبل از ن» قرار دارد. حال، اگر بخواهید یک جمله را به رمز در آورید. در سادهترین شکل ممکن، هر حرف را با حرف بعدی خود در الفبا جایگزین میکنید.یعنی به جای «الف» حرف «ب»، به جای «ب» حرف «پ»، … ، به جای «ه» حرف «ی» و به جای حرف «ی» حرف «الف» را میگذارید.
با این کار میتوان جمله «بابا آب داد» را به جمله بی معنی «پبپب بپ ذبذ» تبدیل کرد که اگر فردی کلید رمز را نداشته باشد، به هیچ وجه از آن سر در نمیآورد.
نحوه عملکرد SSL چگونه است ؟
تبادل اطلاعات میان مرورگر و سایتی که در حال مرور شدن است، بوسیله کلیدهای خصوصی (private key) کد میشود و چنانچه در طول مسیر اطلاعات شنود شود، قابل استفاده نخواهد بود. بنابراین بخوبی میتوان از این پروتکل برای کاربردهای تجاری استفاده کرد. در حال حاضر بسیاری از وب سایت ها علاوه بر پروتکل معمول http از SSL نیز حمایت میکنند و شما میتوانید برای دسترسی امن به اطلاعات این سایتها از طریق یک لینک SSL ، از https استفاده کنید.
اس اس ال در واقع پروتکلی است که در آن ارتباطات بوسیله یک کلید، رمزگذاری (Encryption) میشوند. زمانی که قرار است یکسری اطلاعات را به صورت SSL به یک سایت که سرور (Server) آن گواهینامه SSL را دارد (در آدرس سایت https است) ارسال شود. ابتدا باید از یک کلید به عنوان قالبی برای به رمز در آوردن اطلاعات بین خدمات گیرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. برای ساخت این کلید نیاز به چند مرحله هماهنگی به شرح زیر است.
1. وقتی سروری بخواهد پروتکل SSL را فعال کند. ابتدا یک کلید عمومی (Public Key) میسازد.
2. سپس کلید عمومی را همراه با یک درخواست گواهینامه SSL به یکی از صادرکنندگان این گواهینامهها مثل وریساین (Verisign) میفرستد.
3. وریساین نیز ابتدا مشخصات و میزان قابل اعتماد بودن و امنیت سرور را ارزیابی کرده و کلید عمومی را دوباره رمزگذاری میکند و برای سرور میفرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کلید جدید کلید امنیتی (private key) میگویند.
4. حال هر زمان که کاربر بخواهد از طریق پروتکل SSL به این سایت دست یابد، ابتدا کامپیوتر کاربر یک کلید عمومی برای سرور میفرستد (هر کامپیوتری کلید مخصوص به خود را دارد).
5. سرور نیز این کلید عمومی را با کلید امنیتی خود مخلوط کرده و از آن کلید جدیدی میسازد. سپس آن را به کامپیوتر کاربر میفرستد.
6. از این به بعد تمامی اطلاعاتی که بین کاربر و سرور جابجا میشوند با این کلید جدید رمزگذاری میشوند.
یکی دیگر از کاربردهای SSL چیست ؟
هنگامی که به فروشگاهی وارد میشوید ، میدانید که با چه وضعیتی روبرو هستید.کالاها ، مارک آنها و راهنمای فروشگاه را میبینید. می توانید مطمئن باشید که اگر در خرید شما اشکالی پیش بیاید ، مدیر فروشگاه یا صاحب آن برای مراجعه در دسترس خواهند بود.
اما بر روی اینترنت ، مراجعه کنندگان به پایگاههای وب هیچ راه قابل اطمینانی برای آگاهی از اینکه چه کسی صاحب پایگاه “فروشگاه مجازی” است ، دردست ندارند. هنگامی که مشتریان با قصد انجام یک خرید اینترنتی ، به یک پایگاه وب وارد می شوند ، علاقه دارند بدانند که پول را به چه کسی میپردازند. آنها خواستار اثبات هویت صاحب پایگاه بوده ، و میخواهند بدانند که اطلاعات شخصی ارسالی آنها به پایگاه مزبور توسط سایر کاربران اینترنتی قابل ردگیری و تداخل نیست. اینجاست که گواهینامه های الکترونیکی SSL اهمیت خود را نشان می دهند.
رهیار سرور نماینده فروش SSL شرکت های Certum COMODO، Symantec و GeoTrust می باشد و تمام محصولات SSL این شرکت ها را با پایین ترین قیمت در اختیار شما کاربران گرامی قرار می دهد .
گواهينامهEV، معتبرترین و پیچیده ترین نوع گواهینامه مي باشد. اين گواهينامه ها جهت وب سايت هایی که از تراکنش های مالی بسیار بالایی برخوردار و نیازمند امنيت بالایی ميباشند، توصيه مي شود. در اين گواهينامهها نوار آدرس بار و یا بخشی از آن به رنگ سبز نشان داده مي شود که نشان از اعتبار بالای آن سازمان و یا شرکت است و بیانگر اين مطلب است که شرکت و یا سازمان مذکور به صورت قانونی تصديق شده است و نام آن در نوار آدرس نمایش داده ميشود که اطمينان خاصی را جهت مشتريان فراهم می آورد.
کاملاً معــــتبر در سطــــــح بین المللی
ســــبز شـدن رنگ آدرس بار!
ارائه دهنده بالاترین سطح اعتماد و اعتبار
افـــزایش اعـــتماد بازدید کـــــننده
پشـــــتیبانی توسط تمامی مــــرورگرهای معــــتبر
گواهـــــینامه SSL به صورت اســـــتاندارد صنعــــتی 2048 بیتی
قابل اســـــتفاده جهت شــــــرکتها، بانکـــها، ســــازمانها و ادارات بزرگ
بازگـــــرداندن مبلغ در صــورت عدم دریافت گواهـــــینامه
پشـــــتیبانی کامل از طــــریق تلفن، ایمـــیل و وب
صـــــدور گواهـــــینامه
این نوع از گواهینامه ها تنها جهت اشخاص حقوقی صادر می گردند.
مدارک لازم جهــــت صــــدور گواهـــــــينامه های EV
مدارک لازم جهت شرکتهای خصوصی
ترجمه رسمی آگهی تاسیس شرکت و کپی برابر با اصل نسخه فارسی آن
ترجمه رسمی اساسنامه شرکت و کپی برابر با اصل نسخه فارسی آن
ترجمه رسمی آگهی آخرین تغییرات روزنامه رسمی شرکت و کپی برابر با اصل نسخه فارسی آن
تهيه گواهينامه از شرکتی که دامنه شما را ثبت کرده است بدين شرح که شما مالک و تنها استفاده کننده از دامنه هستید.
کپی صفحه اول پاسپورت مدیر عامل
کپی قبض تلفن به نام شرکت
کپی برگ ثبت نام کد اقتصادی
مدارک لازم جهت شرکتها و ادارات دولتی
ترجمه رسمی آگهی تاسیس، اساسنامه و یا هر مدرک ثبتی دیگر و کپی برابر با اصل نسخه فارسی آن
ترجمه رسمی آگهی آخرین تغییرات انجام گرفته و کپی برابر با اصل نسخه فارسی آن
تهيه گواهينامه از شرکتی که دامين شما را ثبت کرده است بدين شرح که اداره مذکور مالک و تنها استفاده کننده از دامين ميباشد.
کپی صفحه اول پاسپورت مدیر عامل
کپی قبض تلفن به نام شرکت
کپی برگ ثبت نام کد اقتصادی
رهیار سرور نماینده فروش SSL شرکت های COMODO، Symantec و GeoTrust می باشد و تمام محصولات SSL این شرکت ها را با پایین ترین قیمت در اختیار شما کاربران گرامی قرار می دهد .
شما میتوانید با استفاده از یک گواهینامه Wildcard SSL چندین سایت را امن کنید. برای شرکتها و مؤسساتی که تحت یک سایت چندین زیر سایت(Sub Domain) را میزبانی می کنند و نیاز دارند که یک یا چند عدد از آنها را امن کنند گواهینامه های Wildcard SSL بهترین و ارزان ترین نوع گواهینامهSSL می باشد. به عنوان مثال شما میتوانید با یک گواهینامه Wildcard SSL دامین هایی مانند
www.rahyarserver.com
secure.rahyarserver.com
anything.rahyarserver.com
را امن کنید.
کاملاً معــــتبر در سطــــــح بین المللی
پشـــــتیبانی توسط تمامی مــــرورگرهای معــــتبر
گواهـــــینامه SSL به صورت اســـــتاندارد صنعــــتی 2048 بیتی
امن ساخــــتن چــــندین زیر سایت تنها با خرید یک گواهـــــینامه
قابل اســـــتفاده جهت شــــــرکتها، بانکـــها، ســــازمانها و ادارات بزرگ
بازگـــــرداندن مبلغ در صــورت عدم دریافت گواهـــــینامه
پشـــــتیبانی کامل از طــــریق تلفن، ایمـــیل و وب
امکــــــان ویــــــژه
بسته به اینکه شما یک شرکت بزرگ یا کوچک و یا یک شرکت ارائه سرویس میزبانی وب هستید ممکن است که تحت یک دامین نیاز به امن کردن چندین زیر دامنه را داشته باشید. به عنوان مثال گواهینامه ای از نوع Wildcard SSL برای سایت rahyarserver.com.* می تواند برای هر کدام از سایتهای زیر استفاده شود :
www.rahyarserver.com
login.rahyarserver.com
secure.rahyarserver.com
manage.rahyarserver.com
rahyarserver.com.*
رهیار سرور نماینده فروش SSL شرکت های COMODO، Symantec Certum و GeoTrust می باشد و تمام محصولات SSL این شرکت ها را با پایین ترین قیمت در اختیار شما کاربران گرامی قرار می دهد .
شرکتهای خصوصی امنیتی در سراسر جهان اعلام کردند موفق به شناسایی باتنتی شدهاند که بیش از 770 هزار کامپیوتر در 190 کشور جهان را مورد حمله قرار داده و به سرقت اطلاعات شخصی و حساس کاربران همچون مدارک بانکی پرداخته است. این باتنت با ایجاد یک درب پشتی (backdoor) همچنین به نصب بدافزارهای مخرب دیگر میپردازد. بر همین اساس سرورهای مستقر در کشورهای هلند، لهستان، آمریکا، روسیه و لوکزامبوگ بیشترین میزان آلودگی را به خود دیدهاند. پلیس اینترپل یک عملیات جهانی برای از میان برداشتن این باتنت را آغاز کرده است.
اینترپل باتنت سیمدا را به عنوان یک خطر و یک هدف مشترک جهانی اعلام کرد؛ باتنتی که از تاریخ 9 آوریل به طور همزمان به سرورهای کشور هلند حمله کرده و کنترل آنها را به دست گرفت. در ادامه این حمله سرورهای مستقر در کشورهای آمریکا، روسیه، لوکزامبوگ و لهستان نیز به یکباره در معرض این حمله قرار گرفتند. اینترپل میگوید، سیمدا برای چندین سال فعال بوده و برای نصب و توزیع نرمافزارهای غیرقانونی و انواع دیگر نرمافزارهای مخرب مورد استفاده قرار میگرفته است. (همچنین بنابر گزارشها و آمارهای منتشر شده از سوی مایکروسافت به عنوان یکی از شرکای اینترپل در این زمینه، این باتنت نزدیک به شش ماه به فعالیت مشغول بوده است.) این بدافزار به طور گسترده توسط جنایتکاران برای به دست آوردن دسترسی و کنترل از راه دور به کامپیوترها و سرقت اطلاعات شخصی از قبیل جزییات مربوط به حساب بانکی و گذرواژهها مورد استفاده قرار گرفته است.
بنابر گزارشها و به گفته پلیس بینالملل اینترپل، نرمافزارهای مخربی که قدرت لازم را در اختیار باتنت سیمدا قرار میدادند به نامهای Backdoor.Win32.Simda، Simda.AT و BKDR_SIMDA شناسایی شدهاند. این باتنت در مجموع بیش از 770 هزار کامپیوتر را در بیش از 190 کشور جهان در شش ماه گذشته آلوده ساخته است. مناطقی که بیشترین آلودگی را به خود دیدهاند در کشورهای آمریکا، انگلستان، کانادا و روسیه قرار دارند. بنا به گفتههای اینترپل، در دو ماه اول سال 2015 میلادی 90 هزار مورد آلودگی فقط در کشور امریکا شناسایی شده است. پلیس بینالملل بخشی تحت عنوان مرکز جرائم دیجیتال (IDCC) را در سنگاپور راهاندازی کرده است که با مایکروسافت، کسپرسکی، ترندمایکرو و مؤسسه دفاع سایبری ژاپن به تجزیه و تحلیل این بدافزار پرداخته است. نتیجه این تحقیقات نشان میدهد، باتنت سیمدا برآیند یک نقشه مهندسی دقیق برای گسترش آلودگی در سراسر جهان است. اینترپل با همکاری بخش جنایتهای دیجیتالی مایکروسافت و دیگر شرکا خود و پس از تجزیه و تحلیل حجم زیادی از دادهها دریافتهاند که میزان شیوع و گسترش آلودگی به باتنت در سراسر جهان بسیار سریع بوده است. در این عملیات سراسری افسران واحد ملی جرایم فناوری هلند، دفتر تحقیقات فدرال ایالات متحده، پلیس بخش فناوری Nouvelles در لوکزامبورگ و بخش مقابله با جنایات اینترنتی کشوری موسوم به K در وزارت داخلی روسیه که توسط دفتر مرکزی اینترپل در روسیه پشتیبانی میشوند، حضور داشتند. سانجی ویرمانی، مدیر IDCC درباره این عملیات گفت: « این عملیات موفقیتآمیز ارزش و ضرورت همکاریهای بین المللی و ملی با بخش خصوصی در ردیابی و مبارزه با جنایات آنلاین را نشان داد.» ویرمانی در ادامه گفت: « این عملیات ضربه قابل توجهی به باتنت سیمدا وارد کرده است. اینترپل برای حفاظت از شهروندان کشورهای عضو این سازمان در مقابل جنایات سایبری و شناسایی دیگر تهدیدات به کار خود ادامه خواهد داد.»
بنا به گفتههای مایکروسافت، Simda.AT معمولا از طریق کیت اکسپلویت Fiesta ارسال میشود. نمودار زیر فعالیتهای این باتنت را در شش ماه گذشته نشان میدهد.
همچنین بر طبق بررسیها و تحقیقاتی که توسط اینترپل و مایکروسافت انجام شده است، ایالات متحده با 22 درصد و هند با 2 درصد به ترتیب بیشترین و کمترین میزان آلودگی را به خود اختصاص دهند. میزان آلودگی در ایران نیز 3 درصد اعلام شده است.
آمارها همچنین نشان میدهند میزان آلودگی در اروپا و آمریکا بیش از سایر قارهها بوده است.
نحوه شیوع و گسترش
با گذشت زمان خانواده سیمدا از شیوههای زیر برای گسترش استفاده کردهاند:
•BlackHat SEO
•Exploit kits (such as Blackhole, Styx, Magnitude and Fiesta)
•Mass SQL injection
•Other malware (such as Kelihos, Waledac, Winwebsec)
•Spam mail
•Social engineering
در مورد نسخه Simda.AT شایعترین روشی که برای آلودهسازی از آن استفاده شده است، از طریق کدهای جاگذاری یا تزریق شده جاوااسکریپت در سایتها بوده است. سایتهای مخاطرهآمیز به تغییر ترافیک کاربران به سایتهای دیگری که در اصطلاح دروازه نامیده میشوند، استفاده میکردهاند . تصویر زیر یک مثال از تزریق کد جاوااسکرپیت را که به نام Trojan:JS/Redirector شناسایی شده است، نشان میدهد:
این سایت دروازه، به عنوان بخشی از زنجیره ابزارهای اکسپلویت عمل کرده و مرورگر را به صفحه اکسپلویت هدایت میکند. دروازه باتنت Simda.AT بهنام Exploit:JS/Fiexp شناسایی شده است. Fiexp انواع مختلفی از اکسپلویتها را سرویسدهی میکند. به عنوان مثال، از طریق فایلهای آلوده SWF که بهنام Exploit:SWF/Fiexp شناسایی شده است، فایلهای مخرب اپلت جاوا که بهنام Exploit:Java/Fiexp شناسایی شده است، فایلهای مخرب سیلورلایت که به نام Exploit:MSIL/CVE-2013-0074 شناسایی شده است، استفاده کرده است.
برای آگاهی از جزییات دقیقتر وابسته به اکسپلویتهایی که به آنها اشاره شد به آدرسهای زیر مراجعه کنید:
دروازه (Gate) شامل اسکرپیتی است که مرورگر را به صفحه Fiesta هدایت میکند. از این صفحه فیستا تلاش میکند تا با یکی از سه روش اکسپلویت که در بالا به آن اشاره شد به سوءاستفاده از یک ماشین بپردازد. تصویر زیر فرآیند تحویل Simda.AT را نشان میدهد:
اینرپل میگوید با اطلاعات به دست آمده اکنون میتوان به شناسایی هویت عاملانی که در پشت صحنه باتنت سیمدا قرار دارند پی برد؛ چه کسی از یک مدل تجاری برای فعالیتهای جنایی استفاده کرده و چه کاربرانی به طور ناخواسته مجبور به نصب این بدافزار که بدافزارهای مخرب دیگر را با موفقیت نصب میکند، آلوده شدهاند. آزمایشگاه کسپرسکی اقدام به راهاندازی یک سایت خودبررسی برای اطلاع کاربران از این موضوع که آیا آدرس IP آنها توسط سرورهای تحت کنترل و فرمان دهی سیمدا مورد استفاده قرار گرفته است یا نه کرده است. برای اطلاع از این موضوع از آدرس checkup.kaspersky استفاده کنید.
اگر سیستم شما به این بدافزار آلوده نباشد، پیغام آدرس IP شما در بانک اطلاعاتی کامپیوترهای آلوده به این باتنت قرار ندارد را مشاهده میکنید.
کسپرسکی روز جمعه اعلام کرد، محققان این شرکت امنیتی یک آسیبپذیری در هسته داروین کشف کردند، این هسته اساس و پایه سیستمعاملهای OS X و iOS را شکل میدهد. شرکت امنیتی روسی میگوید این آسیبپذیری که به نام Darwin-Nuke نامیده میشود، دستگاههای مجهز به سیستمعاملهای iOS 8 و OS X 10.10 را در معرض حمله عدم سرویسدهی راه دور قرار داده که توانایی آسیب رساندن به دستگاه کاربر و ضربه زدن به هر شبکهای که با این دستگاهها به آن متصل میشوند را دارد. با این حال، کسپرسکی میگوید در حالیکه این آسیبپذیری با پردازش بسته IP با یک اندازه خاص و با گزینههای آدرس IP نامعتبر قابل بهرهبرداری است اما در نگاه اول یک آسیبپذیری ساده است که برای اکسپلویت بتوان از آن استفاده کرد نیست. آنتون ایوانف، تحلیلگر ارشد نرمافزارهای مخرب میگوید: «بهرهبرداری از این باگ کار سختی است. به دلیل اینکه باید شرایط حمله برای هکرها آماده باشد و این یک مسئله ساده و ناچیزی نیست. اما مجرمان اینترنتی میتوانند این کار را به طور مداوم برای شکستن دستگاهها یا حتی تأثیرگذاری مؤثر روی فعالیتهای شبکه انجام دهند. مسیریابها و دیوارهای آتش معمولا بستههای نادرست با اندازههای نامعتبر را رها میکنند، اما ما چند ترکیب نادرست از آدرسهای IP که از طریق اینترنت عبور کردند را کشف کردیم.» کسپرسکی اعلام کرده است کاربران سیستمعاملهای iOS و OS X باید دستگاههای خود را به سیستمعامل OS X 10.10.3 و iOS 8.3 بهروزرسانی کنند. این نسخه از سیستمعاملها از این آسیبپذیری در امان هستند.
پشتیبانی 
up.kaspersky