نوشته‌ها

آسیب پذیری موتور مدیریت اینتل(Intel Management Engine)

اینتل یک آسیب پذیری امنیتی جدید در به موتور مدیریت اینتل (ME)، سرویس پلت فرم سرور (SPS) و موتور تایید شده اجرایی اینتل(TXE)  کشف کرده است.
اینتل این آسیب پذیری را “مهم” طبقه بندی کرده است. این طبقه بندی بدان معنا است که در صورت بهره برداری از آن، می تواند به طور مستقیم بر محرمانه بودن، یکپارچگی یا دسترسی داده های کاربر یا پردازش منابع تاثیر بگذارد. البته تاکنون، اینتل هیچ مورد شناخته شده ای از بهره برداری این آسیب پذیری امنیتی گزارش نداده است.

برخی از اقداماتی که می توانید برای اطمینان از امنیت سیستم های خود انجام دهید عبارتند از:

  • همیشه آگاه باشید و آسیب­پذیری­ها را دنبال کنید و سیستم خود را به طور مداوم بروزرسانی کنید.
  • اینتل ابزاری را توسعه داده است که با استفاده از آن میتوانید دارایی­های موجود را لیست کرده و آسیب پذیری­های بالقوه آن را بررسی کنید. برای دانلود این ابزار به لینک زیر مراجعه کنید:

https://downloadcenter.intel.com/download/27150

  • اگر از امکانات اینتل استفاده نمی­کنید،Intel AMT  را غیرفعال کنید. چون غیرفعال کردن تکنولوژی استفاده نشده یک روش امنیتی خوب به حساب می آید. این کار احتمال حمله به شما را کاهش می دهد و به حفظ امنیت دستگاه و داده هایتان کمک می کند.

اطلاعات بیشتر در مورد این آسیب پذیری توسط Black Hat ارائه شده است. شما می توانید برای مطالعه ی بیشتر در این مورد از لینک زیر استفاده کنید:

https://www.blackhat.com/eu-17/briefings/schedule/index.html#intel-me-flash-file-system-explained-8484

 

منبع:

https://securityintelligence.com/news/ibm-security-advisory-on-intel-management-engine-vulnerability/

آسیب پذیری های شرکت فیت بیت اطلاعات ابزارهای پوشیدنی(دستبندهای سلامتی) را نشان می دهد

دانشگاه ادینبورگ نتایجی را از یک مطالعه جدید منتشر کرده که نشان می دهد اطلاعات شخصی افراد از دست‌بندهای سلامتی شرکت Fitbit سرقت می شوند. محققان دست‌بندهای Fitbit One و Fitbit Flex را تجزیه و تحلیل کردند و راهی کشف کردند که پیام های ارسال شده بین این ردیاب های تناسب اندام و سرورهای ابر(که داده ها برای تجزیه و تحلیل به آن فرستاده می شوند) را ردیابی کنند. این کار به آنها اجازه دسترسی به اطلاعات شخصی و ایجاد سوابق فعالیت های اشتباه را می‌دهد، و درنتیجه  اطلاعات شخصی غیر مجاز را با اشخاص ثالث به اشتراک می گذارند.

این اشخاص ثالث شامل خرده فروشان آنلاین و شرکت های بازاریابی می شود. به عنوان مثال اطلاعات فعالیت های جسمی اشخاص می‌تواند برای ارائه تخفیف در بیمه های شخص یا پاداش‌هایی مانند کارت هدیه استفاده شود تا به وسیله این اطلاعات نرخ سود در این شرکت ها بهبود یاید. همانطورکه برنامه های سلامتی شرکت ها تکامل می‌یابد، کلاهبرداران نیز می توانند اطلاعات نادرست را به این شرکت ها ارسال کنند.

دانی لیون، مشاور اصلی شرکت Synopsys گفت: “این انگیزه های پولی(نفوذ در اطلاعات سلامتی و دستکاری آن) بر اساس داده های فعالیت کاربر است. در حال حاضر تاثیر مالی این اقدامات کم است، به نظر می‌رسد در آینده این داده ها خیلی بیشتر ارزشمند خواهند بود. ابزارهای پوشیدنی به طور کلی در حال تحول هستند تا داده های بسیار بیشتری را برای ارائه قابلیت ها و خدمات بیشتر جمع آوری کنند، اما خود این موضوع خطرات بالقوه را افزایش می دهد. وضعیت های پزشکی مانند مشکلات حرکتی، در حال حاضر از طریق دستگاه های پوشیدنی قابل حمل، قابل دستیابی است. مثلا این امکان وجود دارد بیماری های اشخاص مشخص شود.

اگر روی این داده ها تجزیه و تحلیل انجام شود، می‌تواند مشخص کند که شخص شرایط خاص پزشکی دارد یا نه و با توجه به این موضوع حق بیمه شخص افزایش یابد یا حتی با توجه به شرایط قبلی پوشش بیمه لغو گردد. علاوه بر این، هنگامی که داده ها در دست یک سازمان باشد، می تواند برای مقاصد دیگر فروخته شود.

محققان دستورالعمل‌هایی را به منظور کمک به تولید کنندگان این ابزارها ایجاد کرده اند که ضعف های مشابه را در طراحی های آینده سیستم حذف کنند تا به این وسیله مطمئن شوند که اطلاعات اشخاص مخفی و امن هستند؛ در پاسخ به این یافته ها، Fitbit نیز وصله های نرم افزاریی(patch software) برای بهبود حریم خصوصی و امنیت دستگاه های خود توسعه داده است.

پل پاتراس گفت: “کار ما نشان می دهد که اقدامات امنیتی و حفظ حریم خصوصی که در دستگاه های پوشیدنی محبوب اجرا می شوند، ما از اینکه fitbit  یافته هایمان را قبول کرد، و از نگرش حرفه ای آنها نسبت به درک آسیب پذیری هایی که شناسایی کرده ایم و به بهبود خدماتشان خوشحالیم “.

منبع خبر: https://www.infosecurity-magazine.com/news/fitbit-vulnerabilities-expose/