🎯📱 چرا #مهاجمان_سایبری ، #تلفنهای_همراه را هدف قرار میدهند؟
👁 @intsec
🔸 شکی نیست که تلفنهای همراه بخش اصلی زندگی روزمرهی افراد را تشکیل میدهند و کاربران میتوانند تمامی وظایف روزمرهی خود را آسانتر و لذتبخشتر انجام دهند.
در حالیکه تلفنهای همراه تلاش دارند زندگی را برای کاربران راحتتر کنند، از طرفی میتوانند به هدفی برای مهاجمان سایبری نیز تبدیل شوند.
🔸 تلفن همراهِ شما، همهچیز در مورد شما میداند.
در سالهای اخیر، میزان اطلاعاتی که در تلفنهای همراه ذخیره شده، سر به فلک کشیده است. ارتباط بین برنامهها باعث شده تا ما تمامی اطلاعات را دربارهی خود عرضه کنیم خواه این اطلاعات جزئیات حسابهای بانکی باشد یا سلیقهی ما در انتخاب پیتزا.
برای مهاجمانی که میخواهند هویت کاربران را سرقت کنند، تلفنهای همراه همچون معدنی از طلا هستند.
🔸 تلفنهای همراه به وسیلهای در شرکتها و سازمانها تبدیل شده است.
استفاده از فناوری «دستگاه خود را بیاورید» (DYOD) در حال تبدیل شدن به روشی است که بسیاری از سازمانها در سراسر جهان از آن استفاده میکنند.
نتایج پژوهشهای محققان نشان میدهد در سال ۲۰۱۵ میلادی، ۷۴ درصد از شرکتها با فناوریهای DYOD سازگار شدهاند.
برای مهاجمان سایبری، در این شرایط دستگاههای تلفن همراه بهعنوان دروازهای برای سرقت اطلاعات حساس سازمانها محسوب میشود.
🔸 در امنیت ممکن است سهلانگاری رخ دهد
ظهور #BYOD برای بسیاری از سازمانها نیز دردسرساز شده است چرا که رویکرد یکپارچهای برای حفظ امنیت این دستگاهها اتخاذ نمیشود. در یک بررسیِ تحقیقاتی از مدیران و کارکنان سازمانها، ۴۵ درصد از پاسخدهندگان اعلام کردند دستگاههای تلفن همراه بیشترین خطر را برای زیرساختهای شرکت بههمراه دارند و ماهیت پراکندهی تلفنهای همراه دلیل اصلی این خطرات عنوان شده است.
🔸 گزینهی تکمیل خودکار به بهترین دوست ما تبدیل شده است.
یکی از دلایلی که باعث شده در تلفنهای همراه ما اطلاعاتی بسیار بیشتر از گذشته وجود داشته باشد، این است که ما بهدنبال راحتی هستیم.
با استفاده از سرویسها و برنامههای متعدد، شاهد هستیم که در صفحات ورود به سرویسها، جزئیات و گواهینامههای متعددی را مشاهده میکنیم.
با این اوصاف ما رفتهرفته تنبلتر میشویم. بهعبارت دیگر ترجیح میدهیم تا از گزینههای تکمیل خودکار استفاده کرده و خود را در معرض خطرات مختلف قرار دهیم.
🔸 تلفن همراه شما، مسیری به سمت کیف پولتان است.
ما میتوانیم از تلفن همراه خود برای انتقال پول، پرداخت صورتحسابها و بهطور کلی بهعنوان روشی برای پرداختها استفاده کنیم.
کیف پول گوگل، سامانههای پرداخت اپل و سامسونگ را در بسیاری از تلفنهای همراه مشاهده میکنیم و بهگفتهی کارشناسان تعداد این برنامهها در آینده بیشتر نیز خواهد شد.
البته تنها اشکالی که این مسئله دارد این است که توجه مهاجمان سایبری به سمت تلفن همراه ما جلب میشود.
🔸 تلفنهای همراه میدانند شما کجا هستید و کجا کار میکنید.
در بسیاری از موارد ممکن است در پسِ پردهی ردیابی شما، نیّت خوبی وجود داشته باشد و فناوریهای مختلف بخواهند شما را از شرّ دادهها و اطلاعات اضافی خلاص کنند.
بهطور مثال فرض کنید از منزل خارج شده و میخواهید به رستوران بروید، یک برنامه با ردیابی شما میتواند نزدیکترین رستوران را به شما معرفی کند.
با اینحال، نفوذ به سامانهی GPS یک تلفن همراه کار خیلی سختی نیست.
🔸 بلوتوث
سالها است که بلوتوث در تلفنهای همراه مورد استفاده قرار میگیرد. اینک بلوتوث نیز مانند GPS به هدفی برای مهاجمان سایبری تبدیل شده است.
تأثیر حملات بر روی بلوتوث میتواند باعث آلوده شدن اطلاعات کاربران شده و یا کم و بیش، کنترل دستگاه را در اختیار مهاجمان قرار دهد.
🔸 برخی از نفوذگران بهطور ویژه بر روی تلفن همراه متمرکز شدهاند.
روشهای مختلفی وجود دارد که مهاجمان از آنها برای سرقت پولها از طریق تلفن همراه استفاده میکنند.
در کشورهایی مانند چین، بهطور مثال، میتوان با استفاده از بدافزار به دستگاهها نفوذ کرده و با استفاده از شمارهی بیمه، مبلغ زیادی را به سرقت برد.
این کلاهبرداریها نه تنها سودآور است بلکه میتواند به دستگاههای زیادی منتشر شود.
🔸 روشهای بسیار عالی برای ارسال هرزنامه وجود دارد.
همه از هرزنامه متنفرند. با اینحال هرزنامهها بخش جداییناپذیر بسیاری از حملات سایبری هستند.
دلایل زیادی وجود دارد که مهاجمان میتوانند تصمیم به ارسال هرزنامه بگیرند ولی بسیاری از مهاجمان، تلفنهای همراه را بستر ایدهآلی برای ارسال هرزنامه میدانند.
این همان دلیلی عمدهای است که ارائهدهندگان سرویس بهسختی میتوانند نفوذگران را ردیابی و مسدود کنند.
👁 @intsec
👁 @intsec
🔸 شکی نیست که تلفنهای همراه بخش اصلی زندگی روزمرهی افراد را تشکیل میدهند و کاربران میتوانند تمامی وظایف روزمرهی خود را آسانتر و لذتبخشتر انجام دهند.
در حالیکه تلفنهای همراه تلاش دارند زندگی را برای کاربران راحتتر کنند، از طرفی میتوانند به هدفی برای مهاجمان سایبری نیز تبدیل شوند.
🔸 تلفن همراهِ شما، همهچیز در مورد شما میداند.
در سالهای اخیر، میزان اطلاعاتی که در تلفنهای همراه ذخیره شده، سر به فلک کشیده است. ارتباط بین برنامهها باعث شده تا ما تمامی اطلاعات را دربارهی خود عرضه کنیم خواه این اطلاعات جزئیات حسابهای بانکی باشد یا سلیقهی ما در انتخاب پیتزا.
برای مهاجمانی که میخواهند هویت کاربران را سرقت کنند، تلفنهای همراه همچون معدنی از طلا هستند.
🔸 تلفنهای همراه به وسیلهای در شرکتها و سازمانها تبدیل شده است.
استفاده از فناوری «دستگاه خود را بیاورید» (DYOD) در حال تبدیل شدن به روشی است که بسیاری از سازمانها در سراسر جهان از آن استفاده میکنند.
نتایج پژوهشهای محققان نشان میدهد در سال ۲۰۱۵ میلادی، ۷۴ درصد از شرکتها با فناوریهای DYOD سازگار شدهاند.
برای مهاجمان سایبری، در این شرایط دستگاههای تلفن همراه بهعنوان دروازهای برای سرقت اطلاعات حساس سازمانها محسوب میشود.
🔸 در امنیت ممکن است سهلانگاری رخ دهد
ظهور #BYOD برای بسیاری از سازمانها نیز دردسرساز شده است چرا که رویکرد یکپارچهای برای حفظ امنیت این دستگاهها اتخاذ نمیشود. در یک بررسیِ تحقیقاتی از مدیران و کارکنان سازمانها، ۴۵ درصد از پاسخدهندگان اعلام کردند دستگاههای تلفن همراه بیشترین خطر را برای زیرساختهای شرکت بههمراه دارند و ماهیت پراکندهی تلفنهای همراه دلیل اصلی این خطرات عنوان شده است.
🔸 گزینهی تکمیل خودکار به بهترین دوست ما تبدیل شده است.
یکی از دلایلی که باعث شده در تلفنهای همراه ما اطلاعاتی بسیار بیشتر از گذشته وجود داشته باشد، این است که ما بهدنبال راحتی هستیم.
با استفاده از سرویسها و برنامههای متعدد، شاهد هستیم که در صفحات ورود به سرویسها، جزئیات و گواهینامههای متعددی را مشاهده میکنیم.
با این اوصاف ما رفتهرفته تنبلتر میشویم. بهعبارت دیگر ترجیح میدهیم تا از گزینههای تکمیل خودکار استفاده کرده و خود را در معرض خطرات مختلف قرار دهیم.
🔸 تلفن همراه شما، مسیری به سمت کیف پولتان است.
ما میتوانیم از تلفن همراه خود برای انتقال پول، پرداخت صورتحسابها و بهطور کلی بهعنوان روشی برای پرداختها استفاده کنیم.
کیف پول گوگل، سامانههای پرداخت اپل و سامسونگ را در بسیاری از تلفنهای همراه مشاهده میکنیم و بهگفتهی کارشناسان تعداد این برنامهها در آینده بیشتر نیز خواهد شد.
البته تنها اشکالی که این مسئله دارد این است که توجه مهاجمان سایبری به سمت تلفن همراه ما جلب میشود.
🔸 تلفنهای همراه میدانند شما کجا هستید و کجا کار میکنید.
در بسیاری از موارد ممکن است در پسِ پردهی ردیابی شما، نیّت خوبی وجود داشته باشد و فناوریهای مختلف بخواهند شما را از شرّ دادهها و اطلاعات اضافی خلاص کنند.
بهطور مثال فرض کنید از منزل خارج شده و میخواهید به رستوران بروید، یک برنامه با ردیابی شما میتواند نزدیکترین رستوران را به شما معرفی کند.
با اینحال، نفوذ به سامانهی GPS یک تلفن همراه کار خیلی سختی نیست.
🔸 بلوتوث
سالها است که بلوتوث در تلفنهای همراه مورد استفاده قرار میگیرد. اینک بلوتوث نیز مانند GPS به هدفی برای مهاجمان سایبری تبدیل شده است.
تأثیر حملات بر روی بلوتوث میتواند باعث آلوده شدن اطلاعات کاربران شده و یا کم و بیش، کنترل دستگاه را در اختیار مهاجمان قرار دهد.
🔸 برخی از نفوذگران بهطور ویژه بر روی تلفن همراه متمرکز شدهاند.
روشهای مختلفی وجود دارد که مهاجمان از آنها برای سرقت پولها از طریق تلفن همراه استفاده میکنند.
در کشورهایی مانند چین، بهطور مثال، میتوان با استفاده از بدافزار به دستگاهها نفوذ کرده و با استفاده از شمارهی بیمه، مبلغ زیادی را به سرقت برد.
این کلاهبرداریها نه تنها سودآور است بلکه میتواند به دستگاههای زیادی منتشر شود.
🔸 روشهای بسیار عالی برای ارسال هرزنامه وجود دارد.
همه از هرزنامه متنفرند. با اینحال هرزنامهها بخش جداییناپذیر بسیاری از حملات سایبری هستند.
دلایل زیادی وجود دارد که مهاجمان میتوانند تصمیم به ارسال هرزنامه بگیرند ولی بسیاری از مهاجمان، تلفنهای همراه را بستر ایدهآلی برای ارسال هرزنامه میدانند.
این همان دلیلی عمدهای است که ارائهدهندگان سرویس بهسختی میتوانند نفوذگران را ردیابی و مسدود کنند.
👁 @intsec
📵 #توصیه های نوروزی #پلیس_فتا
مراقب اینترنت رایگان باشید❗️
سرهنگ علیرضا آذرخش، سرپرست معاونت تشخیص و پیشگیری پلیس فتا با هشدار به مسافران نوروزی درباره جلوگیری از سرقت اطلاعات شخصی از طریق اینترنت رایگان، گفت: بسیاری از هموطنان در ایام نوروز و در سفر، با لپتاپ، تبلت یا گوشی هوشمند خود در هرکجا به اینترنت رایگان وصل میشوند،
اما غافل از اینکه بسیاری از هکرها از طریق همین اینترنت رایگان اقدام به سرقت اطلاعات شخصی افراد میکنند.
بیشتر هکرها در مراکز اقامتی بین راهی و توریستی با اینترنتهای رایگان و بدونرمز عبور براحتی به اطلاعات افراد دسترسی پیدا میکنند.
به دلیل همزمانی استفاده چند نفر از یک دستگاه مجرمان نامریی براحتی سایتهای دیده شده را مشاهده و دستگاه شما را هک میکنند.
👁 @intsec
مراقب اینترنت رایگان باشید❗️
سرهنگ علیرضا آذرخش، سرپرست معاونت تشخیص و پیشگیری پلیس فتا با هشدار به مسافران نوروزی درباره جلوگیری از سرقت اطلاعات شخصی از طریق اینترنت رایگان، گفت: بسیاری از هموطنان در ایام نوروز و در سفر، با لپتاپ، تبلت یا گوشی هوشمند خود در هرکجا به اینترنت رایگان وصل میشوند،
اما غافل از اینکه بسیاری از هکرها از طریق همین اینترنت رایگان اقدام به سرقت اطلاعات شخصی افراد میکنند.
بیشتر هکرها در مراکز اقامتی بین راهی و توریستی با اینترنتهای رایگان و بدونرمز عبور براحتی به اطلاعات افراد دسترسی پیدا میکنند.
به دلیل همزمانی استفاده چند نفر از یک دستگاه مجرمان نامریی براحتی سایتهای دیده شده را مشاهده و دستگاه شما را هک میکنند.
👁 @intsec
📱 تشریح نفوذ به یک دستگاه تلفن همراه
چگونه یک هکر می تواند از گوشی شما سو استفاده کند؟
👁 @intsec
#اینفوگرافیک
چگونه یک هکر می تواند از گوشی شما سو استفاده کند؟
👁 @intsec
#اینفوگرافیک
⭕️مصادیق نقض حریم خصوصی در فضای مجازی
یکی از مهمترین بخشهای موجود در قانون جرائم رایانهای حوزه مرتبط با نقض حریم خصوصی و انجام فعالیتهای بزهکارانه در فضای مجازی است.
👁 @intsec
در زیر به مصادیق نقض #حریم_خصوصی در شبکههای اجتماعی که در قانون (علیالخصوص قانون #جرائم_رایانهای) جرمانگاری شده است میپردازیم:
🔸دسترسی غیرمجاز به دادههای رایانهای یا مخابراتی نظیر هک ایمیل یا حساب کاربری اشخاص
🔸شنود غیرمجاز محتوای در حال انتقال در سیستمهای رایانهای یا مخابراتی نظیر استفاده از نرمافزارهای شنود چتهای اینترنتی
🔸دسترسی غیرمجاز به دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده یا تحصیل و شنود آن
🔸در دسترس قرار دادن دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده برای اشخاص فاقد صلاحیت
🔸نقض تدابیر امنیتی سیستمهای رایانهای یا مخابراتی به قصد دسترسی به دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده
🔸حذف یا تخریب یا مختل یا غیرقابلپردازش نمودن دادههای دیگری از سیستمهای رایانهای یا مخابراتی یا حاملهای داده بهطور غیرمجاز
🔸از کار انداختن یا مختل نمودن سیستمهای رایانهای یا مخابراتی بهطور غیرمجاز نظیر غیرفعال سازی پایگاهداده تارنماها و ممانعت از دسترسی اشخاص به پایگاههای اینترنتی شخصی
ممانعت از دسترسی اشخاص مجاز به دادههای یا سیستمهای رایانهای یا مخابراتی بهطور غیرمجاز
🔸ربودن دادههای متعلق به دیگری بهطور غیرمجاز
🔸هتک حیثیت از طریق انتشار یافتن صوت و فیلم تحریفشده دیگری بهوسیله سیستمهای رایانهای یا مخابراتی
🔸نشر اکاذیب از طریق سیستمهای رایانهای یا مخابراتی به قصد اضرار به غیر یا تشویش اذهان عمومی
🔸فروش یا انتشار یافتن یا در دسترس قرار دادن گذرواژه یا هر دادهای که امکان دسترسی غیرمجاز به دادهها یا سیستمهای رایانهای یا مخابراتی متعلق به دیگری را فراهم میکند.
🔸آموزش نحوه ارتکاب جرائم دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانهای و تخریب و اخلال در دادهها یا سیستمهای رایانهای و مخابراتی
👁 @intsec
#قوانین_فضای_مجازی
یکی از مهمترین بخشهای موجود در قانون جرائم رایانهای حوزه مرتبط با نقض حریم خصوصی و انجام فعالیتهای بزهکارانه در فضای مجازی است.
👁 @intsec
در زیر به مصادیق نقض #حریم_خصوصی در شبکههای اجتماعی که در قانون (علیالخصوص قانون #جرائم_رایانهای) جرمانگاری شده است میپردازیم:
🔸دسترسی غیرمجاز به دادههای رایانهای یا مخابراتی نظیر هک ایمیل یا حساب کاربری اشخاص
🔸شنود غیرمجاز محتوای در حال انتقال در سیستمهای رایانهای یا مخابراتی نظیر استفاده از نرمافزارهای شنود چتهای اینترنتی
🔸دسترسی غیرمجاز به دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده یا تحصیل و شنود آن
🔸در دسترس قرار دادن دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده برای اشخاص فاقد صلاحیت
🔸نقض تدابیر امنیتی سیستمهای رایانهای یا مخابراتی به قصد دسترسی به دادههای سری در حال انتقال در سیستمهای رایانهای یا مخابراتی یا حاملهای داده
🔸حذف یا تخریب یا مختل یا غیرقابلپردازش نمودن دادههای دیگری از سیستمهای رایانهای یا مخابراتی یا حاملهای داده بهطور غیرمجاز
🔸از کار انداختن یا مختل نمودن سیستمهای رایانهای یا مخابراتی بهطور غیرمجاز نظیر غیرفعال سازی پایگاهداده تارنماها و ممانعت از دسترسی اشخاص به پایگاههای اینترنتی شخصی
ممانعت از دسترسی اشخاص مجاز به دادههای یا سیستمهای رایانهای یا مخابراتی بهطور غیرمجاز
🔸ربودن دادههای متعلق به دیگری بهطور غیرمجاز
🔸هتک حیثیت از طریق انتشار یافتن صوت و فیلم تحریفشده دیگری بهوسیله سیستمهای رایانهای یا مخابراتی
🔸نشر اکاذیب از طریق سیستمهای رایانهای یا مخابراتی به قصد اضرار به غیر یا تشویش اذهان عمومی
🔸فروش یا انتشار یافتن یا در دسترس قرار دادن گذرواژه یا هر دادهای که امکان دسترسی غیرمجاز به دادهها یا سیستمهای رایانهای یا مخابراتی متعلق به دیگری را فراهم میکند.
🔸آموزش نحوه ارتکاب جرائم دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانهای و تخریب و اخلال در دادهها یا سیستمهای رایانهای و مخابراتی
👁 @intsec
#قوانین_فضای_مجازی
📱 چگونه بفهمیم چند #سیم_کارت به نام ما ثبت شده است؟
Ⓜ️ از ابتدای سال 95 سامانه استعلام تعداد خطوط مشترکان تلفن سیار راه اندازی شده است.
مشترکان می توانند با مراجعه به سایت #رگولاتوری به آدرس www.cra.ir در بخش خدمات الکترونیک و یا نشانی mobilecount.cra.ir و یا با ارسال کد ملی خود به شماره 3000504901 از تعداد سیم کارت هایی که با کد ملی آنها ثبت شده است، مطلع شوند.
Ⓜ️ در صورتی که متوجه شدید سیم کارتی بدون اطلاع شما و به نام شما ثبت شده است، سریعا همراه با مدارک هویتی خود به دفاتر فروش اپراتور مربوطه رفته، اقدام به قطع آن سیم کارت نمایید و مراتب را به سازمان تنظیم مقررات رادیویی و پلیس فتا گزارش دهید.
👁 @intsec
Ⓜ️ از ابتدای سال 95 سامانه استعلام تعداد خطوط مشترکان تلفن سیار راه اندازی شده است.
مشترکان می توانند با مراجعه به سایت #رگولاتوری به آدرس www.cra.ir در بخش خدمات الکترونیک و یا نشانی mobilecount.cra.ir و یا با ارسال کد ملی خود به شماره 3000504901 از تعداد سیم کارت هایی که با کد ملی آنها ثبت شده است، مطلع شوند.
Ⓜ️ در صورتی که متوجه شدید سیم کارتی بدون اطلاع شما و به نام شما ثبت شده است، سریعا همراه با مدارک هویتی خود به دفاتر فروش اپراتور مربوطه رفته، اقدام به قطع آن سیم کارت نمایید و مراتب را به سازمان تنظیم مقررات رادیویی و پلیس فتا گزارش دهید.
👁 @intsec
نخستین کتاب سال بانکداری الکترونیکی با پرونده ویژه «تاریخ شفاهی بانکداری الکترونیکی ایران» توسط هلدینگ رسانهای دیدهبان، منتشر شد.
👁 @intsec
#کتاب_سال_بانکداری_الکترونیک #کتاب
👁 @intsec
#کتاب_سال_بانکداری_الکترونیک #کتاب
«نگاهی به روندهای نظارتی بانکداری در سال ۲۰۱۶»
«بررسی نقش مرکز عملیات امنیت سایبری در شبکههای بانکی»
«آیا همه بانکها به امنیت سایبری توجه دارند؟»
👁 @intsec
#کتاب_سال_بانکداری_الکترونیک #کتاب
«بررسی نقش مرکز عملیات امنیت سایبری در شبکههای بانکی»
«آیا همه بانکها به امنیت سایبری توجه دارند؟»
👁 @intsec
#کتاب_سال_بانکداری_الکترونیک #کتاب
🌐 ده فناوری اساسی و نوظهور که آینده ما را تغییر خواهند داد.
👁 @intsec
👁 @intsec
اولین کنفرانس بین المللی
فضای مجازی و آموزش های دینی
تاریخ برگزاری 27 و 28 مهر 96
👁 @intsec
#همایش_نمایشگاه_رویداد
فضای مجازی و آموزش های دینی
تاریخ برگزاری 27 و 28 مهر 96
👁 @intsec
#همایش_نمایشگاه_رویداد
⭕️ بيش از يك ميليون پسورد هک شده ياهو و جيميل در بازار سياه آنلاين به فروش رفت.
پيشنهاد می شود:
١- پسورد دو فاكتوره را فعال كنيد.
٢- به صورت دوره ای پسوردهای خود را تعویض و بروز نمایید.
👁 @intsec
پيشنهاد می شود:
١- پسورد دو فاكتوره را فعال كنيد.
٢- به صورت دوره ای پسوردهای خود را تعویض و بروز نمایید.
👁 @intsec
Forwarded from $(BitVise)
#Pentest_vs_Real_Hacker #8_March_2017
هكر ها در مقابل pentester ها !
در بسياري موارد شده كه در جلسات فني ، گزارش متعدد ارزيابي ها امنيتي را مطالعه كردم و در مورد سطح كيفي ان وارد گفتگو شدم. يكي از فرض هايي كه هميشه مورد بحث است ، تفاوت بارز بين نفوذ توسط يك هكر و pentester است
در اين مورد به اين چند نكته توجه داشته باشيد:
١. قالبا تست نفوذ هاي ما به صورت محدود و مثلا بر روي يك سامانه وب انجام مي شود ، در صورتي يك نفوذگر چنين محدوديتي ندارد
٢. يك نفوذگر بدون محدوديت و حتي با متد هاي unsafe عمل مي كند در صورتي كه pentester چنين اجازه اي ندارد
٣. يك نفوذگر در بسياري از موارد scope نهايي دارد ، به طور مثال دستيابي به اطلاعات يك سامانه در ديتابيس كه شايد چند hop با وب سايت تحت نفوذ فاصله دارد ولي pentester خارج از وب سايت تست عمل نمي كند
٤. داشتن attack tree براي يك نفوذگر بسيار مهم است در صورتي كه در گزارش هاي pentest ديده نمي شود
٥. ارزيابي واقعي يك ضعف امنيتي بايستي بگونه اي باشد كه ان نقطه ضعف در كنار ساير نقطه ضعف هاي امنيتي ديده شود
٦. در بسياري از موارد ديده شده كه در تست هاي امنيتي ، تجهيزات امنيتي غير فعال مي شوند، در صورتي بايستي ميزان استحكام و resiliency انها در مقابل حملات تست شود
٧. در اكثر موارد تست هاي ما server-side هستند و بخش client-side ناديده مي شود در صورتي در حال حاضر بيشتر حملات از سمت كلاينت رخ مي دهند
@soc24x7
هكر ها در مقابل pentester ها !
در بسياري موارد شده كه در جلسات فني ، گزارش متعدد ارزيابي ها امنيتي را مطالعه كردم و در مورد سطح كيفي ان وارد گفتگو شدم. يكي از فرض هايي كه هميشه مورد بحث است ، تفاوت بارز بين نفوذ توسط يك هكر و pentester است
در اين مورد به اين چند نكته توجه داشته باشيد:
١. قالبا تست نفوذ هاي ما به صورت محدود و مثلا بر روي يك سامانه وب انجام مي شود ، در صورتي يك نفوذگر چنين محدوديتي ندارد
٢. يك نفوذگر بدون محدوديت و حتي با متد هاي unsafe عمل مي كند در صورتي كه pentester چنين اجازه اي ندارد
٣. يك نفوذگر در بسياري از موارد scope نهايي دارد ، به طور مثال دستيابي به اطلاعات يك سامانه در ديتابيس كه شايد چند hop با وب سايت تحت نفوذ فاصله دارد ولي pentester خارج از وب سايت تست عمل نمي كند
٤. داشتن attack tree براي يك نفوذگر بسيار مهم است در صورتي كه در گزارش هاي pentest ديده نمي شود
٥. ارزيابي واقعي يك ضعف امنيتي بايستي بگونه اي باشد كه ان نقطه ضعف در كنار ساير نقطه ضعف هاي امنيتي ديده شود
٦. در بسياري از موارد ديده شده كه در تست هاي امنيتي ، تجهيزات امنيتي غير فعال مي شوند، در صورتي بايستي ميزان استحكام و resiliency انها در مقابل حملات تست شود
٧. در اكثر موارد تست هاي ما server-side هستند و بخش client-side ناديده مي شود در صورتي در حال حاضر بيشتر حملات از سمت كلاينت رخ مي دهند
@soc24x7
دومين کنفرانس حوادث و آسيبپذيریهای امنيت فضای تبادل اطلاعات
18 و 19 اسفند 95 دانشگاه فردوسی مشهد
👁 @intsec
#همایش_نمایشگاه_رویداد
18 و 19 اسفند 95 دانشگاه فردوسی مشهد
👁 @intsec
#همایش_نمایشگاه_رویداد
مرکز ماهر سازمان فناوري اطلاعات ايران با همکاري آزمايشگاه تخصصي آپا دانشگاه فردوسي مشهد دومين کنفرانس حوادث و آسيبپذيريهاي امنيت فضاي تبادل اطلاعات (آپا 2) را با هدف همافزايي علمي و فناورانه محققان و فعالان حوزه امنيت فضاي تبادل اطلاعات برگزار ميکنند.
اين کنفرانس با مشارکت فعال محققان، دانشگاهيان، و مهندسان و همچنين آزمايشگاهها و مراکز آپا سراسر کشور برگزار ميشود.
همچنين همزمان با اين کنفرانس نشست دورهای کميته راهبري OIC-CERT با حضور اعضای اين نهاد بينالمللی برگزار خواهد شد.
👁 @intsec
#همایش_نمایشگاه_رویداد
اين کنفرانس با مشارکت فعال محققان، دانشگاهيان، و مهندسان و همچنين آزمايشگاهها و مراکز آپا سراسر کشور برگزار ميشود.
همچنين همزمان با اين کنفرانس نشست دورهای کميته راهبري OIC-CERT با حضور اعضای اين نهاد بينالمللی برگزار خواهد شد.
👁 @intsec
#همایش_نمایشگاه_رویداد
Apa_Conf.apk
9 MB
نسخه اندرويدی برنامه زمانبندی و چکيده مقالات
دومين کنفرانس حوادث و آسيبپذيریهای امنيت فضای تبادل اطلاعات
👁 @intsec
#همایش_نمایشگاه_رویداد
دومين کنفرانس حوادث و آسيبپذيریهای امنيت فضای تبادل اطلاعات
👁 @intsec
#همایش_نمایشگاه_رویداد