حملنا لكم العديد من القصص والأخبار الأمنية خلال شهر مايو، من مخاطر فيسبوك، وآخر شراكات كاسبرسكي لاب. وإذا فاتتك أي من الأخبار السابقة، فلا تقلق، إذ أننا جمعنا لك أهم الأخبار الأمنية خلال الشهر الماضي في هذا الملخص.
أسوأ خمسة أخطاء يمكن أن ترتكبها على فيسبوك
على الرغم من أن فيسبوك يعتبر شبكة اجتماعية ممتعة، إلا أنه قد يحمل العديد من الأخطار الحقيقية في الجانب الآخر. وهناك عدد من الأخطاء التي قد يرتكبها المستخدمون لهذه الشبكة، وتؤدي إلى خسائر حقيقة سواء مادية، أو قد تؤثر على سمعتك، أو تؤدي لإساءة علاقتك بأهلك وأصدقائك. وكي تتجنب هذه المخاطر، عليك ألا تنشر سيرتك الذاتية كاملة على فيسبوك، وأن تتجنب خاصة ذكر أي شيء يتعلق بتاريخ ميلادك. وإضافة إلى ذلك، احرص على أن تكون منشوراتك معروضة فقط لأصدقائك، وأن يكون أصدقاؤك على فيسبوك من معارفك الحقيقيين. وأيضاً تفادى تحديد موقعك الجغرافي لدى نشر أي تحديثات، إذ أن هذه تعتبر فرصة ذهبية للمجرمين الالكترونيين. وأخيراً احرص دوماً على اختيار كلمة مرور معقدة لحسابك على فيسبوك، كي تتفادى أي أخطار لاحتمالية القرصنة.
دراسة: معظم البيوت الذكية معرضة لخطر القرصنة
البيوت الذكية هي تماماً ما خطر على بالك للتو: البيوت التي تحتوي على أنظمة التدفئة والتبريد، وكاشفات الدخان والإضاءة، وأقفال الأبواب المربوطة بأنظمة البيت، والمربوطة بدورها بالإنترنت، وبأجهزة الكمبيوتر والهواتف والأجهزة اللوحية، وغيرها من الأجهزة التي تعمل بالإنترنت. وقد تبدو هذه البيوت جذابة باعتبارها بيوت المستقبل المتطورة، إلا أن الخبراء لفتوا الانتباه إلى وجود ثغرات أمنية في هذه الأنظمة الذكية. وقد اختبر أصدقاؤنا في مؤسسة AV Test سبعة نماذج للبيوت الذكية، ووجدوا أن أربعة من هذه النماذج كانت غير آمنة، وإمكانية مهاجمة هذه الأجهزة داخلياً أو خارجياً، سواء باستهداف شبكة البيت والأجهزة المرتبطة بها، أو استهداف البيت نفسه والأشياء الموجودة بداخله. وقد ركزت AV Test في اختبارها على ما إذا كانت الاتصالات بين الأجهزة مشفرة أم لا، وقد فشلت ثلاثة منتجات بالاختبار بالنسبة لخاصية التشفير، حيث يستطيع المهاجم التلاعب بالأنظمة المترابطة بهدف إلحاق الضرر بها. ولكن بما أن معظم القراصنة يسعون وراء المال، فإن الهجمات المتوقعة على الأغلب هي استغلال نقاط الضعف في هذه الأنظمة لإمكانية اختراقها، وسرقة البيانات الحساسة في شبكة البيت. أما الأخبار الجيدة فهي اعتقاد AV Test بأنه في حال تخصيص الشركات المسؤولة عن صناعة هذه المنتجات الوقت الكافي لتطوير نظام أمني صلب بدلاً من استعجال طرح منتجاتها في الأسواق، فهناك احتمالية عالية لإنشاء أنظمة بيوت ذكية آمنة. والجانب الآخر الجيد بأنك إذا كنت تفكر بشراء أحد أنظمة البيوت الذكية هذه، فإن AV Test تخبرك بالخيارات الجيدة، والتي تتطلب دائماً تصريحاً للدخول، وتقوم دائماً بتشفير الاتصالات.
كاسبرسكي تساعد مبرمجي Watch_Dogs على القرصنة الصحيحة
أصبحت مواضيع الخصوصية كثيرة التداول في المجتمع التقني هذه الأيام. ولا يملك الأفراد كثيراً من الخيارات فيما يتعلق بمقاومة الرقابة التقنية، إلا أن اللعبة الالكترونية الجديدة Watch_Dogs تمنح اللاعبين فرصة اختراق هذه الرقابة. وقد تم تصميم محتوى هذه اللعبة بالتعاون مع خبراء من كاسبرسكي لاب، بعد إرسال النص إلى كاسبرسكي لتدقيقه والإطلاع عليه من ناحية أمنية. وقال كاملوك خلال المقابلة في مكاتب Ubisoft في سان فرانسيسكو خلال عرض لعبة Watch_Dogs في أبريل: “لقد قدمت اقتراحات صغيرة فقط، ولقد قاموا بعمل رائع، إضافة إلى كون اللعبة ممتعة”. وغالباً لا يريد اللاعبون اقتحام كمية كبيرة من الواقع في عالم الخيال، إلا أن ما يميز هذه اللعبة استخدام القرصنة الدقيقة والصحيحة ضمن نسيج اللعبة، وهي ليست القرصنة التي اعتدنا عليها في أفلام هوليوود، إنما هي تعتبر انعكاساً للحياة الحقيقية.
“اقرأ أهم الأخبار #الأمنية في شهر مايو”
Tweet
ظهرت حملة جديدة لانتزاع الفدية تستهدف مستخدمي أندرويد، مرتبطة بقفل التشفير، حيث يتم تشفير ملفات حساسة في جهاز الكمبيوتر، وطلب فدية مقابل فك تشفيرها. وأعلنت مجموعة من المجرمين مسؤوليتها عن هذه العملية، تدعى بReveton، وتقوم بالتسويق لقطعة شبيهة بقفل التشفير، وقد كشف موقع كافيين عن هذا البرنامج الخبيث وكتب عنها مدونته Malware don’t need Coffee. وقد وجد بأنه لدى اتصال الضحايا من مستخدمي أجهزة أندرويد بنطاق مصاب بهذا البرنامج الخبيث، يتم تحويلهم إلى موقع إباحي يمارس الهندسة الاجتماعية بهدف خداع المستخدمين بملف تطبيق يحتوي على البرنامج الخبيث. ولن تصاب بهذا البرنامج الخبيث إلا إذا حملته بنفسك، ولهذا فإننا نوصي دوماً بتحميل التطبيقات فقط من متجر جوجل بلاي القانوني. ولا يزال مدى استخدام هذا البرنامج الخبيث مجهولاً، إلا أنه من الواضح بأن من صمم هذا البرنامج قد استفاد من قفل التشفير القديم. وهذا الأمر مثير للاهتمام بحد ذاته، لأنه يستعرض الوسائل التي يتبعها المجرمون الالكترونيون لتقليد الأعمال القانونية لمضاعفة الربح، إلا أن هذا موضوع منفصل.
كن يقظاً، OpenID وOAuth ثغرات أمنية!
بعد مرور أسابيع قليلة على اكتشاف ثغرة نزيف القلب المزعجة، ظهرت مسألة أخرى يبدو أنها مرتبطة بها. وقد ظهرت المشاكل في بروتوكولات الإنترنت المشهورة OpenID وOAuth، ويتم استخدام الأول لدى دخولك موقع باستخدام بيانات الدخول من جوجل أو فيسبوك أو لينكد إن، الخ. أما الآخر فيظهر لدى دخول الموقع أو التطبيقات أو الخدمات باستخدام بيانات فيسبوك أو جوجل بلس، دون كشف كلمة السر أو بيانات الدخول لجهة ثالثة. وقد تبين بأنك بهذه الوسائل تضع بياناتك في الأيدي الخاطئة، ويمكنك أن تقرأ المزيد من الشرح التقني عن هذا الموضوع في Threatpost، إنما يتم الأمر بهذه الطريقة: أولاً يزور المستخدم موقع تصيدي، والذي يتضمن كبسة “الدخول ببيانات فيسبوك” التقليدية، وحال نقرك على هذه الكبسة، تظهر شاشة فيسبوك أو جوجل بلس أو لينكد إن، تطلب منك إدخال اسم المستخدم وكلمة السر للدخول إلى ملفك. وأخيراً، يتم إرسال بيانات الدخول إلى موقع تصيدي بتحويلك بالاتجاه الخاطئ، ويتلقى المجرم الالكتروني بياناتك، ويتمكن من الدخول إلى ملفك بحسب الصلاحيات التي يمنحها التطبيق. ويبدو الحل المثالي في هذه الحالة تجنب استخدام هذه البروتوكولات، إضافة إلى أي مواقع تتضمن خاصية الدخول باستخدام بيانات خدمات أخرى لعدة أشهر. ويمكنك البدء باستخدام برنامج إدارة كلمة السر لتجنب حفظ عشرات كلمات السر الخاصة بالخدمات المختلفة. أما إذا قررت الاستمرار باستخدام OpenID، فلا يوجد خطر مباشر لهذا الأمر، إنما يجب أن تكون يقظاً بشدة، وتتجنب أي حيل للتصيد. وإذا دخلت إلى خدمة باستخدام بيانات فيسبوك أو جوجل، فاحرص على دخول موقع الخدمة بطباعة العنوان يدوياً بنفسك، وليس عبر رابط يصلك في رسالة الكترونية. وتفقد شريط العنوان عدة مرات كي تتجنب زيارة مواقع محتالة، ولا تسجل اشتراكك بخدمات جديدة باستخدام OpenID، إلا إذا كنت واثقاً ١٠٠٪ من الخدمة والموقع. وإضافة إلى ذلك، استخدم حلاً آمناً للتصفح، مثل Kaspersky Internet Security Multi Device، والذي يمنع متصفحك من زيارة المواقع الخطرة، بما فيها مواقع التصيد.