#Pentest_vs_Real_Hacker #8_March_2017

هكر ها در مقابل pentester ها !

در بسياري موارد شده كه در جلسات فني ، گزارش متعدد ارزيابي ها امنيتي را مطالعه كردم و در مورد سطح كيفي ان وارد گفتگو شدم. يكي از فرض هايي كه هميشه مورد بحث است ، تفاوت بارز بين نفوذ توسط يك هكر و pentester است

در اين مورد به اين چند نكته توجه داشته باشيد:
١. قالبا تست نفوذ هاي ما به صورت محدود و مثلا بر روي يك سامانه وب انجام مي شود ، در صورتي يك نفوذگر چنين محدوديتي ندارد

٢. يك نفوذگر بدون محدوديت و حتي با متد هاي unsafe عمل مي كند در صورتي كه pentester چنين اجازه اي ندارد

٣. يك نفوذگر در بسياري از موارد scope نهايي دارد ، به طور مثال دستيابي به اطلاعات يك سامانه در ديتابيس كه شايد چند hop با وب سايت تحت نفوذ فاصله دارد ولي pentester خارج از وب سايت تست عمل نمي كند

٤. داشتن attack tree براي يك نفوذگر بسيار مهم است در صورتي كه در گزارش هاي pentest ديده نمي شود

٥. ارزيابي واقعي يك ضعف امنيتي بايستي بگونه اي باشد كه ان نقطه ضعف در كنار ساير نقطه ضعف هاي امنيتي ديده شود

٦. در بسياري از موارد ديده شده كه در تست هاي امنيتي ، تجهيزات امنيتي غير فعال مي شوند، در صورتي بايستي ميزان استحكام و resiliency انها در مقابل حملات تست شود

٧. در اكثر موارد تست هاي ما server-side هستند و بخش client-side ناديده مي شود در صورتي در حال حاضر بيشتر حملات از سمت كلاينت رخ مي دهند

@soc24x7

دومين کنفرانس حوادث و آسيب‌پذيری‌های امنيت فضای تبادل اطلاعات
18 و 19 اسفند 95 دانشگاه فردوسی مشهد

👁 @intsec
#همایش_نمایشگاه_رویداد

مرکز ماهر سازمان فناوري اطلاعات ايران با همکاري آزمايشگاه تخصصي آپا دانشگاه فردوسي مشهد دومين کنفرانس حوادث و آسيب‌پذيري‌هاي امنيت فضاي تبادل اطلاعات (آپا 2) را با هدف هم‌افزايي علمي و فناورانه محققان و فعالان حوزه امنيت فضاي تبادل اطلاعات برگزار مي‌کنند.
اين کنفرانس با مشارکت فعال محققان، دانشگاهيان، ‌و مهندسان و همچنين آزمايشگاه‌ها و مراکز آپا سراسر کشور برگزار مي‌شود.
همچنين هم‌زمان با اين کنفرانس نشست دوره‌ای کميته راهبري OIC-CERT با حضور اعضای اين نهاد بين‌المللی برگزار خواهد شد.
👁 @intsec
#همایش_نمایشگاه_رویداد

نسخه اندرويدی برنامه زمان‌بندی و چکيده مقالات
دومين کنفرانس حوادث و آسيب‌پذيری‌های امنيت فضای تبادل اطلاعات

👁 @intsec
#همایش_نمایشگاه_رویداد

آیا می‌دانید وقتی عضو #اینستاگرام می‌شوید پای چه قراردادی را امضا می کنید؟

👁 @intsec
#اینفوگرافیک

⚫️ ستاد کل نیروهای مسلح در اطلاعیه‌ای انتساب هرگونه کانالی در شبکه‌های مجازی و تلگرامی را به این ستاد تکذیب کرد.
این ستاد افزود: در پی ایجاد برخی کانال‌های تلگرامی در فضای مجازی با عناوین مجعول نیروهای مسلح که به طرح مسائل صنفی کارکنان نیروهای مسلح می‌پردازند به اطلاع می‌رساند که ستاد کل نیروهای مسلح در شبکه‌های مجازی و تلگرامی هیچ کانالی ندارد و مواضع خود را از مجاری تعریف شده و سخنگوی ستاد کل نیروهای مسلح اعلام می‌نماید.
در این اطلاعیه تاکید شده است: ستاد کل نیروهای مسلح پیگیری حقوقی فرد یا افرادی که با هر انگیزه‌ای اقدام به ایجاد کانال‌های تلگرامی با عناوین منسوب به نیروهای مسلح کرده‌اند را برای خود محفوظ می‌داند.

👁 @intsec

🖥 رونمايی از شبكه اجتماعی #آپا در دومین كنفرانس حوادث و آسيب پذيری‌های امنيت سايبری

🔹 https://apanet.certcc.ir
👁 @intsec
#همایش_نمایشگاه_رویداد

🚨 سناریو: هکرها می‌توانند در لباس متکدیان، مسافران مترو و یا کارکنان بخش امدادی، اطلاعات شما را مورد دستبرد قرار دهند.
مسئله این است که شما چقدر هوشمندانه عمل می کنید .!؟

👁 @intsec
#مهندسی_اجتماعی #هشدار

🖥 افشای اسناد محرمانه #سیا در #ویکی_لیکس
👁 @intsec
آمریکا به لحظه‌های خصوصی مردم هم نفوذ می‌کند!/ افشاگری بزرگ ویکی‌لیکس درباره جاسوسی سیا از کاربران ابزارهای الکترونیکی/ از ضبط صدا توسط تلویزیون و روشن کردن دوربین موبایل تا هدایت فرمان خودرو و ایجاد تصادف ساختگی!

🔸پایگاه افشاگر «ویکی لیکس» روز گذشته ۸۷۶۱ سند سازمان سیا را که ابعاد تازه‌ای از روش‌های جاسوسی این نهاد را روشن می‌کند، منتشر کرد.

گوشه‌ای از موارد ذکر شده در این اسناد:
🔹سیا از ابرازها برای نفوذ به دستگاه‌های ارتباطی ساخته‌شده توسط شرکت‌های آمریکایی و اروپایی برای تبدیل آن‌ها به ابزارهای جاسوسی استفاده کرده است.
🔹آیفون شرکت اپل، سیستم عامل اندروید، ویندوز و حتی تلویزیون‌های هوشمند سامسونگ از جمله اهداف این برنامه بوده‌اند. سیا تلاش کرده با نفوذ به این دستگاه‌ها یا دستگاه‌هایی که با این سیستم عامل‌ها کار می‌کنند، از آن‌ها برای شنود از کاربران استفاده کند.
🔹یکی از ابزارهای ساخته‌شده با مشارکت ام‌آی۵ انگلستان، پس از نفوذ به تلویزیون‌های هوشمند سامسونگ، عملا این دستگاه‌ها را به وسیله شنود بدل می‌کند. هرچند تلویزیون به ظاهر خاموش است، اما در واقع تلویزیون در حالت «خاموشی ساختگی» قرار گرفته و در حال ضبط تمام مکالمات و صداهای محیط و ارسال آن‌ها به سیا است.
🔹سیا همچنین در سال ۲۰۱۴ تلاش کرده تا به سامانه‌های ناوبری خودروهای پیشرفته نفوذ کند. این کار به سیا اجازه می‌دهد بدون آنکه کسی متوجه شود، کنترل خودرو را به دست گرفته و در صورت نیاز با تصادفی ساختگی سرنشینان را از بین ببرد.
🔹«واحد تجهیزات متحرک» سیا هم ابزارهای متعددی تولید کرده که می‌توانند با نفوذ به تلفن‌های هوشمند به صورت مخفیانه دوربین و میکروفن تلفن را فعال کنند.
🔹از آنجا که بسیاری از شخصیت‌های مطرح از گوشی‌های آیفون استفاده می‌کنند، واحد ویژه‌ای برای نفوذ به گوشی‌های آیفون و دیگر تجهیزاتی که با سیستم عامل آی‌او‌اس کار می‌کنند، در سیا ایجاد شده است.
🔹واحد مشابهی هم برای نفوذ به تجهیزات دارای سیستم عامل اندروید ایجاد شده است. تلفن‌های همراه سامسونگ، اچ‌تی‌سونی و دیگر شرکت‌هایی که گوشی‌های اندروید تولید می‌کنند، هدف این واحد بوده‌اند.
🔹این روش‌ها به سیا این امکان را داده‌اند تا روش‌های کدگذاری نرم‌افزارهای چون واتس‌اپ، سیگنال، تلگرام و دیگر نرم‌افزارهای پیام‌رسان را دور می‌زند.
🔹سیا علاوه بر مرکز ویرجینیا، از کنسولگری آمریکا در فرانکفورت آلمان به عنوان پایگاهی مخفی برای انجام فعالیت‌های سایبری علیه اهداف مدنظر در اروپا، خاورمیانه و آفریقا استفاده می‌کند.
👁 @intsec

⚫️ جزئیات #افشاگری تمامی ابزارها و بخش های مختلف بسته خبرساز Vault 7 منتشر شده در سایت #ویکی_لیکس
لینک: https://goo.gl/Vbt20I
👁 @intsec

سردار مومنی: اشراف و تسلط بر فضای مجازی از نیازهای امروز جامعه است. امروز #پلیس باید دانش و تسلط خود را بر فضای مجازی ارتقاء دهد و تقویت پلیس فضای فتا از الزامات است.

👁 @intsec

🚨 #سناریو: هکرها می توانند در لباس متکدیان، مسافران مترو و یا کارکنان بخش امدادی، اطلاعات شما را مورد دستبرد قرار دهند.
مسئله این است که شما چقدر هوشمندانه عمل می کنید .!؟
👁 @intsec
#مهندسی_اجتماعی

برنامه‌های جعلی اینستاگرام می‌خواهند گذرواژه‌ی شما را به سرقت ببرند.

در بازار رسمی گوگل‌پلی شاهد برنامه‌هایی با نام #اینستاگرام هستیم که به شما وعده می‌دهند تعداد دنبال‌کننده‌های شما را افزایش دهند.
لازم است در رابطه با این‌گونه برنامه‌ها بیشتر حواستان را جمع کنید چرا که هدف اصلی این برنامه‌ها به #سرقت بردن #گذرواژه ‌های حساب اینستاگرام شما است.

به گزارش محقق شرکت ESET در گوگل‌پلی ۱۳ برنامه‌ی مخرب با عنوان اینستاگرام شناسایی شده که به #بدافزار Android/Spy.Inazigram آلوده هستند و تلاش می‌کنند گذرواژه‌های کاربران را به سرقت برده و به سمت کارگزار راه دور مهاجمان بفرستند.

برای اینکه در دام چنین حملاتی نیفتید، اول از همه باید از وقوع چنین حملاتی مطلع باشید.
اگر قبلاً چنین برنامه‌ای را نصب کرده‌اید، هرچه سریع‌تر آن را حذف کرده و دستگاه خود را برای کشف بدافزارهای احتمالی پویش کنید.
برای امن کردن حساب اینستاگرام خود، به صفحه‌ی رسمی این برنامه مراجعه کرده و گذرواژه‌ی خود را تغییر دهید.
اگر از گذرواژه‌ی اینستاگرام در حساب‌های دیگری نیز استفاده کرده‌اید، توصیه می‌کنیم آن‌ها را نیز عوض کنید.

👁 @intsec
#خبر

ویکی‌لیکس: سیا از سال 2014 به دنبال هک کردن خودروهای متصل به شبکه‌های ارتباطی بوده است.
👁 @intsec
#ویکی_لیکس #جولین_آسانژ

🛡 #گزارش #دفاع در برابر #تهدید های سایبری آمریکای شمالی، اروپا، آسیا، ⁣اقیانوسیه

👁 @intsec

🔴 #اینفوگرافیک جاسوسی خانگی سیا
👁 @intsec
#ویکی_لیکس #جولین_آسانژ

چهاردهمین کنفرانس بین المللی انجمن رمز ایران
👁 @intsec
#همایش_نمایشگاه_رویداد

بلک‌بری با #اپلیکیشن جدیدی به نام Privacy Shade، مانع از سرک کشیدن اطرافیان در گوشی‌های هوشمند اندرویدی می‌شود.
👁 @intsec

#اپلیکیشن «Privacy Shade» به شما این امکان را می‌دهد که ایمیل‌ها، پیام‌ها و محتوای خصوصی گوش خود را بخوانید بدون اینکه نگران باشید دیگران روی گوشی‌تان جاسوسی می‌کنند، حتی اگر روی شانه شما خم شده‌باشند. این اپلیکیشن می‌تواند این امکان را فراهم کند که اطلاعات شخصی خود را در مکان‌های عمومی مشاهده کنید و برای این کار کافی است بخش‌های غیرفعال صفحه را پنهان کنید.
👁 @intsec

Security Analyst
وظیفه ی یک تحلیلگر امنیتی، تشخیص و جلوگیری از تهدیدات سایبری پیش روی سازمان هست. شما باید روزانه به دنبال نقاط ضعف زیرساختهای سازمان (نرم افزار، سخت افزار و شبکه) و پیدا کردن راه های خلاقانه برای محافظت از آنها باشید. بعضی از شرح وظایف عبارتند از:
برنامه ریزی، پیاده سازی و ارتقاء کنترل های امنیتی
برقراری طرح ها و پروتکل های برای حفاظت از فایل های دیجیتال و سیستم های اطلاعاتی در مقابل دسترسی های غیر مجاز، تغییر و / یا تخریب
حفظ اطلاعات و نظارت بر دسترسی امنیتی
انجام تست آسیب پذیری، تجزیه و ارزیابی ریسک و ارزیابی های امنیتی
انجام ممیزی امنیتی داخلی و خارجی
پیش بینی هشدارهای امنیتی، حوادث و بلایای طبیعی و کاهش احتمال آنها
مدیریت شبکه و سیستم های تشخیص و پیشگیری از نفوذ
تجزیه و تحلیل رخنه های امنیتی صورت گرفته برای تعیین ریشه این اتفاق(Root Couse Analysis)
پیشنهاد و نصب ابزار های مناسب و مکانیزم های مقابله با تهدیدات
تعریف، اجرا و نگهداری سیاست های امنیتی شرکت
آموزش کارکنان همکار در آگاهی و پروسیجر های امنیتی
هماهنگی برنامه های امنیتی با Vendor های خارجی
در اینجا ممکنه تمایز قائل شدن بین دو نقش Security Administrator و Security Analyst کمی گیج کننده به نظر برسه:
تحلیلگران امنیتی مسئول تجزیه و تحلیل داده ها و پیشنهاد انجام تغییرات به مقامات بالاتر است. اما آنها معمولا مسئول اجازه دادن برای انجام تغییرات و اجرای تغییرات نیستند. .وظیفه ی  اصلی آنها دور نگه داشتن مهاجمان است.
مدیران امنیتی اطمینان حاصل می کنند که سیستم ها به همان شکلی که طراحی شده اند کار می کنند. بر خلاف تحلیل گران، وظیفه ی Security Administratot ها ایجاد تغییرات، اعمال پچ و ایجاد کاربران ادمین جدید است. کار اصلی آنها این است که سیستم های همیشه Up باشند.
بعد از کسب تجربه در این سمت شما می توانید برای سمت های سطح بالاتر زیر اقدام نمایید:
Security Architect
Security Engineer
Security Manager
Security Consultant
و در نهایت:
Security Director
CISO
این نقش سازمانی می تونه با عناوین زیر هم وجود داشته باشه:
Data Security Analyst
Information System Security Analyst
IT Security Analyst

برای این نقش می توان انتظا سالانه متوسط 65 هزار دلار را داشت.در حالت کلی می توان انتظار داشت بین 44 هزار دلار تا 95 هزار دلار را سالانه دریافت کرد.معمولا برای کار در این نقش سازمانی بین 1 تا 5 سال تجربه نیاز است.بسیاری از افرادی که بالای 5 سال سابقه دارند و نمی خوان استرس کار به عنوان یک Incident Responder را داشته باشند به عنوان یک آنالیست امنیتی به فعالیت خود ادامه می دن.
مهارت های فنی:
سیستم های تشخیص و پیشگیری از نفوذ، تست آسیب پذیری و تست نفوذ
آنتی ویروس، آنتی بدافزار و DLP
شبکه و روتینگ و سوئیچینگ
پروتکل های فایروال و تشخیص و پیشگیری از نفوذ
سیستم های عامل ویندوز، لینوکس و یونیکس
پروتکل های شبکه و ابزار های تحلیل پکت های شبکه
زبان های برنامه نویسی PHP، C، C++، C# و جاوا
محاسبات ابری(Cloud Computing)
مدل های SaaS
دانش SIEM

مدارک های مورد نیاز:
CEH: Certified Ethical Hacker
ECSA: EC-Council Certified Security Analyst
GSEC / GCIH / GCIA: GIAC Security Certifications
CISSP: Certified Information Systems Security Professional

#Job_Position

Forensics Experts
کارشناس جرم شناسی رایانه ای یک کارآگاه دیجیتال، کشف وآنالیز شواهد از کامپیوتر، شبکه و دیگر اشکال دستگاه های ذخیره سازی داده ها است.در نقش خود به عنوان شرلوک هلمز، وظیفه ی شما بررسی آثار جرایم اینترنتی پیچیده است. زندگی یک کارشناس فارنسیک با شواهد دیجیتال(Digital Evidence) سپری می شود. برخی وظایف عبارتند از:
انجام تحقیقات درباره ی رویداد های امنیتی(Security Incidents)
بازیابی و بررسی داده از کامپیوتر و دستگاه های ذخیره سازی الکترونیکی
بازیابی اطلاعات از دست رفته از سیستم های معیوب
شناسایی سیستم های/ شبکه های دیگر متاثر شده از حملات سایبری
گردآوری شواهد برای موارد قانونی
آماده سازی گزارش های فنی و شواهد برای دادرسی قانونی
واگذاری وکالت پرونده به یک وکیل متخصص درباره ی شواهد دیجیتال
آگاهی رسانی در مورد اعتبار شواهد جمع آوری شده به مراجع قانونی
فراهم سازی مدارک تخصصی در دادگاه
آموزش مأموران اجرای قانون در زمینه ی پروسیجر های شواهد کامپیوتری
به روز بودن در زمینه ی فن آوری های در حال ظهور، نرم افزارها و پروسیجر ها
ماهر ماندن در فارنسیک، پاسخ به حوادث و مهندسی معکوس(Reverse Engineering)

در حال حاضرکارشناسان فارنسیک برای شرکت های بزرگ، آژانس های مجری قانون، شرکت های قانونی و شرکت های مشاوره خصوصی کار می کنند. شرکت های بین المللی دپارتمان مخصوص به خود را برای فارنسیک دارند. دولت (محلی، ایالتی و فدرال) یک کارفرمای عمده است. به عنوان مثال، تیم تحلیل و واکنش کامپیوتری اف بی آی (CART) شامل 500 عامل در سراسر آمریکا است.
Junior Forensics Analyst
Senior Forensics Analyst
Senior Forensics Manager

کار های مشابه:
Information Security Crime Investigator
Computer Forensics Engineer
Digital/Computer Crime Specialist
Computer Forensics Investigator
Computer Forensics Specialist
Computer Forensics Analyst
Computer Forensics Examiner
Computer Forensics Technician

حقوق سالیانه ی کارشناسان فارنسیک یه طور متوسط و سالیانه حدود 77 هزار دلار است.شما می توانید انتظار داشته باشید بین 56 هزار تا 119 هزار دلار در سال حقوق و مزایا دریافت کنید. از آنجا که این نقش فنی است، انتظار می رود که دارای مدرک کارشناسی در علوم کامپیوتر یا مهندسی با تمرکز بر امنیت سایبری، فارنسیک دیجیتال و یا رشته های مرتبط باشید. دانستن در مورد سیستم های کامپیوتری کافی نیست ؛ شما باید تکنیک های جرایم اینترنتی را به خوبی درک کنید.برای افزایش چشم انداز شغلی خود، شما می توانید انتخاب کنید به دنبال مدرک کارشناسی ارشد در فارنسیک باشید (مقدار زیادی از دانشگاه آنها را ارائه دهد). آموزش و گواهی نامه های تخصصی حرفه ای نیز می تواند به شما بسیار کمک کند.
تجربیات و نیازمندی های این کار می تواند متفاوت باشد. انتظار می رود تحلیلگران تازه کار نیاز به 1 تا 2 سال سابقه در فارنسیک باشند، هر چند که نرمال  2 تا 3 سال است. کارشناسان ارشد(Senior Forensic Analyst) می بایست بالای 5 سال سابقه داشته باشند.

مهارت های فنی:
Network skills, including TCP/IP-based network communications (much of modern forensics involves reading network traces)
Windows, UNIX and Linux operating systems
C, C++, C#, Java and similar programming languages
Computer hardware and software systems
Operating system installation, patching and configuration
Backup and archiving technologies
Cryptography principles
eDiscovery tools (NUIX, Relativity, Clearwell, etc.)
Forensic software applications (e.g. EnCase, FTK, Helix, Cellebrite, XRY, etc.)
Data processing skills in electronic disclosure environments
Evidence handling procedures and ACPO guidelines
Cloud computing

مدارک فنی مورد نیاز:
CCE: Certified Computer Examiner
CEH: Certified Ethical Hacker
EnCE: EnCase Certified Examiner
GCFE: GIAC Certified Forensic Examiner
GCFA: GIAC Certified Forensic Analyst
GCIH: GIAC Certified Incident Handler
CCFE: Certified Computer Forensics Examiner
CPT: Certified Penetration Tester
CREA: Certified Reverse Engineering Analyst

#Job_Position