Gap messenger
Download
10 August 2018 | 05:19
17 July 2018 | 07:32

برگزاری دوره‌های آموزشی در زمینه امنیت اسکادا با محتوای دوره‌های SANS اعم از اسلاید، کتاب، تمرینات و سیستم‌های عامل های تمرینی.
http://www.icsdefender.ir/trainingcourse.html
#دوره_امنیت_اسکادا
@ICSdefender

27 June 2018 | 12:07

دوره مدیریت امنیت سایبری در زیرساخت‌های صنعتی
مشاهده اطلاعات بیشتر در لینک زیر:
https://bit.ly/2tzWq4q
@ICSdefender

24 June 2018 | 06:15

استفاده از دستگاه اسکنر و گیرنده لیزری در نفوذ به AirGap با روش ScanGate

در این روش با استفاده از یک پهپاد که یک دستگاه تصویربرداری لیزری بر روی آن نصب شده است، نفوذ پیاده سازی می‌شود. به این صورت که پهپاد به ساختمان مورد نظر نزدیک می‌شود، تمرکز بر روی اسکنر هدف و سپس منتظر بدافزاری برای راه اندازی اسکن می‌شود. بدافزار یک اسکن را راه اندازی می کند و دستگاه تصوریبرداری لیزری کدها را به عنوان دنباله نور دریافت می‌کند و پس از ذخیره‌سازی آن‌ها را مدل‌سازی و سپس کد برگردان می‌کند. ادامه این روش را در لینک زیر مطالعه کنید:
http://www.icsdefender.ir/detail.html?i=NWIvZFpiRWNhYVk9
#Air_Gap
#ICS_Security
@ICSdefender

18 June 2018 | 05:43

ﺧﺪﺍﯾﺎ !
ﺧﺮﻭﺝ ﺍﺯ ﻣﺎﻩ ﻣﺒﺎﺭﮎ ﺭﺍ ﺑﺮﺍﯼ ﻣﺎ ﻣﻘﺎﺭﻥ ﺑﺎ ﺧﺮﻭﺝ ﺍﺯ ﺗﻤﺎﻣﯽ ﮔﻨﺎﻫﺎﻥ ﻗﺮﺍﺭ ﺑﺪﻩ...
ﺍﻟﻬﯽ ﻧﺼﯿﺮﻣﺎﻥ ﺑﺎﺵ ﺗﺎ ﺑﺼﯿﺮ ﮔﺮﺩﯾﻢ، ﺑﺼﯿﺮﻣﺎﻥ ﮐﻦ ﺗﺎ ﺍﺯ ﻣﺴﯿﺮ ﺑﺮﻧﮕﺮﺩﯾﻢ.
ﺍﻟﻬﯽ ﮐﯿﻨﻪ ﺭﺍ ﺍﺯ ﺳﯿﻨﻪ ﻫﺎ ﯾﻤﺎﻥ ﺑﺰﺩﺍﯼ، ﺯﺑﺎﻧﻤﺎﻥ ﺭﺍ ﺍﺯ ﺩﺭﻭﻍ ﻭ ﺗﻬﻤﺖ ﻧﮕﻪ ﺩﺍﺭ
ﺍﮔﺮ ﻧﻌﻤﺘﻤﺎﻥ ﺑﺨﺸﯿﺪﯼ ﺷﺎﮐﺮﻣﺎﻥ ﮐﻦ، ﺍﮔﺮ ﺑﻼ ﺍﻓﮑﻨﺪﯼ ﺻﺎﺑﺮﻣﺎﻥ ﮐﻦ ﻭ ﺍﮔﺮ ﺁﺯﻣﻮﺩﯼ ﭘﯿﺮﻭﺯﻣﺎﻥ ﮐﻦ .
"ﺁﻣﯿﻦ یارب العالمین"
عید سعید فطر مبـارک باد.
@ICSdefender

15 June 2018 | 10:38

ایجاد VisiSploit کانال مخفی نوری برای دور زدن محیط‌های Air-Gap

در سال‌های اخیر، کانال‌های پنهانی مختلف برای دسترسی به شبکه‌های با معماری Air-Gap ارائه شده ااست که امکان دسترسی به داده ها را از طرق متفاوت بدون نیاز به اتصال به شبکه انجام می‌دهد. کانال‌های نوری به طور گسترده ای برای نفوذ به این شبکه‌ها در نظر گرفته شده اند، چرا که روش مذکور توسط چشم انسان قابل مشاهده نیست و از این رو نمی‌توان آن‌را تشخیص داد. VisSploit یک نوع جدید از کانال پنهانی اپتیک که بر خلاف سایر روش‌های نوری، نیز خفا است. روش مذکور محدودیت‌های ادراک بصری انسان را به منظور نادیده گرفتن داده ها از طریق نمایشگر LCD کامپیوتر استاندارد در نظر می‌گیرد.سند مقاله مربوط به این سند را به همراه ادامه این مطلب در لینک زیر مطالعه فرمایید.
http://www.icsdefender.ir/detail.html?i=Y2FOU2ZBbkhDZEk9
@ICSdefender
#Air_Gap
#ICS_Attack

13 June 2018 | 06:23

مقاله حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT)
در این مقاله بنده چند بدافزار صنعنی را مورد بررسی قرار دادم و توضیح مختصری در مورد هر کدوم از آنها دادم و در نهایت با بررسی مفهوم Kill Chain نحوه شناسایی اونها را توضیح دادم. البته به اعتقاد بنده بررسی هر کدام از این بدافزارها به خودی خود نیاز به حداقل ۲۰ ساعت توضیح دارد.
این مقاله را میتوانید از طریق آدرس زیر مطالعه فرمایید.
http://www.icsdefender.ir/detail.html?i=YlJDdURLeDNNNGc9
@ICSdefender

5 June 2018 | 05:31

آسیب پذیری محصولات نظارتی و نرم‌افزارهای رابط میان انسان و ماشین در زیمنس

بررسی اجمالی آسیب پذیری
آسیب پذیری GHOST در کتابخانه glibc، برنامه های کاربردی SINUMERIK و SIMATIC HMI Basic شرکت زیمنس را تحت تاثیر قرار داده است. به همین منظور شرکت زیمنس نسخه بروز رسانی شده ای از محصولات آسیب پذیر را در راستای کاهش آسیب پذیری ارائه کرده است. نسخه های Ruggedcom APE که در حالت پیکربندی پیش فرض هستند، آسیب پذیر نمی باشند؛ اما بر اساس اجزای دیگری که بر روی سیتم نصب می شود امکان دارد آسیب پذیر باشد.

 سابقه محصول آسیب پذیر
زیمنس یک شرکت بین المللی می باشد که دفتر مرکزی آن در مونیخ آلمان می باشد.

SINUMERIK ، SIMATIC HMI Basic و Ruggedcom به عنوان محصولات آسیب پذیر می باشند. این محصولات به عنوان واسط بین اپراتور و سیستم های مربوطه (سطح فیلد) می باشند. این محصولات به صورت جهانی در سراسر دنیا در حوزه هایی چون شیمیایی، انرژی، غذا و کشاورزی و سیستم های آب و فاضلاب به کار رفته است. شرکت زیمنس برآورد کرده است که این محصولات در ابتدا در ایالات متحده و اروپا و درصد کمی هم در آسیا مورد استفاده واقع شده است.

 محصولات آسیب پذیر
۱. تمامی نسخه های SINUMERIK مدل 808D، 828D، 840D sl تا قبل از نسخه 4.7
۲. نسل دوم پنل های SIMATIC HMI Basic

 بهره برداری از آسیب پذیری
تجزیه و تحلیل نادرست توابع gethostbyname() و gethostbyname2() در کتابخانه glibc می تواند موجب شودتا سیستم مورد نظر DoS کند. شناسه CVE-2015-0235 به این آسیب پذیری اختصاص یافته است. به منظور بهره برداری از آسیب پذیری SINUMERIK و SIMATIC HMI Basic نیاز است تا یک مهاجم در ابتدا به تجهیزات (با احراز هویت) دسترسی محلی داشته باشد. در ادامه به منظور بهره برداری از آسیب پذیری Ruggedcom APE مهاجم نیازمند توانایی در دور زدن پارامترهایی در توابع آسیب پذیر می باشد. این مسئله تنها در صورتی امکان پذیر است که کاربری توابع آسیب پذیر را در سیستم مورد هدف اجرا کرده تا مهاجم بتواند از سیستم مورد هدف دسترسی بگیرد. یک مهاجم با سطح توانایی پایین می تواند از این آسیب پذیری بهره برداری موفق داشته باشد. ادامه این مطلب را در لینک زیر مشاهده فرمایید:

http://www.icsdefender.ir/detail.html?i=T3ZhNFRaWlFKVUk9
#Vulnerability
@ICSdefender

30 May 2018 | 06:16
20 May 2018 | 07:14

روش BitWhisper از ایجاد یک کانال حرارتی که با مجاورت دو سیستم در کنار هم و سنسور حرارتی استفاده می‌کند و از این طریق می‌تواند از سیستمی که در محیط Air-Gap قرار دارد داده‌ها را منتقل کند. حمله مذکور بسیار پیچیده است، اما به دلیل اینکه برای پیاده‌سازی آن نیاز به ایجاد تغییری در سخت‌افزار و شبکه نیست کاربرد بالایی در نفوذ به محیط‌های Air-Gap دارد. در این روش محققان توانستند دو رایانه‌ای که در فاصله 15 اینچی(0 تا 40 سانتی‌متر) از یکدیگر قرار دارند را مجاب به انتقال یک الی هشت بیت در ساعت کنند.

این میزان سرعت انتقال داده برای انتقال مواردی مثل کلمات عبور و یا کلید‌های رمزنگاری کافی است. از این جهت این روش، کاربرد زیادی در دور زدند محیط‌های Air-Gap دارد. در ویدیویی که در کانال قرار دهده شده، می‌توانید نحوه استفاده از این روش برای دور زدن محدودیت‌های محیط Air-Gap را مشاهده کنید. همچنین می‌توانید مقاله مرتبط با این روش را از لینک زیر تصاویر دانلود کنید.
http://www.icsdefender.ir/detail.html?i=TmxPMFZ2RVE1eFE9
#Cyber_Attack
#ICS_Attack
@ICSdefender

20 May 2018 | 07:07

Network Vision

بررسی اجمالی آسیب‌پذیری
محققی به نام Jürgen Bilberger از شرکت Daimler TSS GmbH آسیب‌پذیری تزریق کد را در نرم‌افزار IntraVue محصول شرکت Network Vision شناسایی کرده است. در همین راستا شرکت Network Vision نسخه جدیدی از نرم‌افزار خود را به منظور کاهش آسیب‌پذیری گزارش شده ارائه کرده است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. بهره‌برداری موفق از این آسیب‌پذیری به مهاجمان اجازه می دهد که از راه دور به عنوان یک کاربر بدون احراز هویت دستورات (در سیستم عامل) دلخواه خود را اجرا کند. اجرای این کدها می تواند محرمانگی، یکپارچگی و دسترسی را در سرورهای آلوده تحت تاثیر قرار دهد. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر
Network Vision یک شرکت آمریکایی می باشد که دفتر مرکزی آن در نیوبوریپورت (ماساچوست) است. بسته نرم‌افزاری IntraVue که به منظور بصری سازی شبکه مورد استفاده قرار می گیرد، به عنوان محصول آسیب‌پذیری می باشد. بر اساس گزارشات شرکت Network Vision، بسته نرم‌افزاری IntraVue به صورت گسترده در حوزه هایی نظیر زیر ساخت های حساس، سیستم های حمل و نقل و سیستم های آب و فاضلاب مورد استفاده واقع شده است. شرکت Network Vision برآورد کرده است که این محصول به صورت جهانی و با نسبت بالایی در آمریکای شمالی و اروپا مورد استفاده قرار گرفته است.

محصولات آسیب پذیر
نرم‌افزار IntraVue در تمامی نسخه های Windows تا قبل از نسخه 2.3.0a14

بهره‌برداری از آسیبپذیری
این آسیب‌پذیری می تواند توسط یک کاربر بدون احراز هویت بهره‌برداری شود. در این آسیب‌پذیری مهاجم می‌تواند از راه دور کدهای OS (سیستم عاملی) دلخواه خود را از راه دور بر روسیستم سرورها تاثیر بگزارد. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهره‌برداری موفق از این آسیب‌پذیری داشته باشد.

توصیه نامه
در همین راستا شرکت Network Vision نسخه جدیدی از نرم‌افزار IntraVues را ارائه کرده است که آسیب‌پذیری تزریق کد را کاهش می دهد. در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی
۲.ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
۳. تست‌نفوذ زیرساخت کنترل صنعتی
۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)
#Vulnerability #Industrial_control_system
@ICSdefender

20 May 2018 | 06:41