به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

باج‌افزار‌ها و حملات آنلاین می‌توانند منجر به عواقب مرگبار در دنیای واقعی شوند. دولت‌ها باید در پاسخ به مشکلات، حضور فعالتری در این عرصه داشته باشند.

در سال ۲۰۲۲، حوادث سایبری باعث اختلال واقعی و پایدار در آسایش روزمره ما خواهد شد که حتی شاید بتواند مردم را به مسیر مرگ بکشاند. این به دلیل پیشرفت ژئوپلیتیکی بزرگی نیست، بلکه به این دلیل است که گروهی از جنایتکاران نیمه پیچیده، سازمان یافته و عمدتاً روسی به طور فزاینده‌ای از کنترل خارج شده‌اند.

چند سالی است که ترکیبی عجیب از هالیوود و مجموعه نظامی_صنعتی به ما می‌گوید که حملات سایبری تهدیدی وجودی برای بشریت است، اما واقعیت چیز دیگری بوده است. آسیب‌های سایبری که توسط افراد مخرب تحمیل می‌شود بسیار جدی است، اما عمدتاً به روش‌های نفوذی و برنده و عمدتاً نامرئی انجام می‌شوند. نزدیک‌ترین مورد، افراد عادی هستند که در مواجهه با «حمله سایبری» یا مقدار کمی پول از دست می‌دهند و یا نامه‌ای از شرکت که با آن تجارت می‌کنند دریافت می‌نمایند که به آن‌ها می‌گویند برخی از داده‌های شخصی که ارزش آن را نمی‌دانند، توسط افرادی در قاره دیگری که هیچکس واقعاً هویت آن‌ها را نمی‌داند، به سرقت رفته است. یک استثنای عجیب وجود دارد (به عنوان مثال، دولت روسیه علاقه زیادی به ضربه زدن به اوکراین دارد) اما برای اکثر مردم در بیشتر کشور‌ها، حملات سایبری چندان مورد توجه قرار نگرفته است.

اما این حالت تغییر خواهد کرد، زیرا مجرمان سایبری به طور فزاینده‌ای به روش‌هایی حمله می‌کنند که عواقب بسیار آسیب‌رسان‌تر و قابل مشاهده‌تری دارند. در نیمه اول سال ۲۰۲۱، اختلال در خط لوله Colonial Pipeline در ایالات متحده باعث خالی شدن دو سوم پمپ بنزین‌ها در کارولینای جنوبی شد که باعث اوجگیری وحشت و تمام خطرات ناشی از آن شد. غذا‌های تازه در مقادیر زیادی در سوئد به این دلیل که مغازه‌های سوپرمارکت کار نمی‌کردند به افراد داده می‌شد. مدارس در نیوزلند و بریتانیا آسیب دیدند. خطرناکتر از همه، مراقبت‌های بهداشتی مورد هدف قرار گرفت. در ماه می‌، کل سرویس بهداشتی ایرلند برای هفته‌ها فلج شد و در طول بهار و تابستان ده‌ها بیمارستان در اروپا و ایالات متحده به دلیل حملات باج‌افزاری از دریافت خدمات سیستم‌های حیاتی محروم شدند.

در ماه ژوئن، حملات سایبری در نشست سالانه کشور‌های G7 در کرنوال در دستور کار قرار گرفت و بسیاری از بزرگان صنعت امنیت سایبری‌ امیدوار بودند که این مسأله همراه با مقابله جو بایدن با ولادیمیر پوتین به دلیل پناه دادن به جنایتکاران در خاک روسیه، جریان را تغییر دهد. با این حال، بعید است که این اتفاق بیفتد، زیرا ما هنوز تقریباً هیچ راهی برای مجازات مجرمان سایبری نداریم.

پس از یک سکون کوتاه مدت، فعالیت باج‌افزار‌ها در سال ۲۰۲۱ ادامه یافت و خطر کمتری را در پی نداشت. علیرغم توجه جهانی به فعالیت‌های آن‌ها، فقدان تحریم‌های قابل قبول، این جرات را به جنایتکاران داده است تا به مراکزی از جمله به مراکز مراقبت از کودکان و بیمارستان‌ها در ایالات متحده و سیستم رزرو واکسن کووید در داخل و اطراف رم حمله کنند. بدتر از آن این است که، توجه سیاسی به این مشکلات سایبری در حال کاهش است.

در آینده‌ای نزدیک، دولت‌ها، بازرسان و محققان باید از خود حضور بیشتری نشان دهند. حملات باج افزار، حملاتی سودآور برای مهاجمین هستند. در سال ۲۰۲۱، گروه هکر‌های DarkSide که خط لوله Colonial Pipeline را غیرفعال کردند، تنها در ۹ ماه حداقل ۹۰ میلیون دلار (۶۶ میلیون پوند) درآمد کسب کردند. Emisoft، یک شرکت امنیت سایبری، مجموع پرداخت باج در سال ۲۰۲۰ را حداقل ۱۸ میلیارد دلار محاسبه کرده است. و این بدان معناست که مهاجمان در مورد ایجاد صدمات فیزیکی واقعی تردید‌های کمتری دارند. هیچ مدرک مستقیمی وجود ندارد که نشان دهد کسی در نتیجه حملات سایبری امسال به بیمارستان‌ها جان خود را از دست داده است. اما جلوگیری از دریافت واکسن توسط افراد همچنان یک عمل خشونت‌آمیز است، حتی اگر از راه دور توسط رایانه انجام شود. در سال ۲۰۲۲، زمانی که آن چهره‌های مخفی که در پشت صفحه نمایش خود پنهان شده‌اند، باعث صدمه یا مرگ واقعی انسان شوند، زمانیست که آسیب بزرگ و فیزیکی از اعمال سایبری بروز پیدا خواهند کرد.

Cisco که یک شرکت سازنده تجهیزات شبکه‌ای است، پیشنهادی به ارزش بیش از ۲۰ میلیارد دلار برای خرید یک سازنده نرم افزار موسوم به اسپلانک ارائه کرده است.
به گزارش خبرگزاری مهر به نقل از رویترز، برخی منابع آگاه اعلام کرده‌اند که این پیشنهاد اخیراً ارائه شده و شرکت‌ها هنوز در حال مذاکره جدی در این زمینه نیستند.

سیسکو به درخواست برای اظهار نظر در این زمینه پاسخ نداده است. اسپلانک هم تصریح کرده که در مورد شایعات یا گمانه زنی‌ها اظهار نظر نمی‌کند.

در نوامبر سال گذشته، این شرکت مستقر در سانفرانسیسکو اعلام کرد که داگ مریت از سمت مدیر اجرایی (مدیرعامل) آن کناره‌گیری کرده و گراهام اسمیت، رئیس شرکت، مدیرعامل موقت خواهد بود.

بر اساس داده‌های رفینیتیو ایکون، این شرکت ارائه دهنده خدمات نرم افزاری که در سال ۲۰۰۳ تأسیس شده، دارای ارزشی برابر با ۱۸.۲ میلیارد دلار است.

قانون جدید اتحادیه اروپا از شرکت‌هایی که اطلاعات کاربران این اتحادیه را جمع‌آوری می‌کنند، می‌خواهد داده‌ها را در سرورهای اروپایی نگهداری و پردازش کنند. این موضوع در حالی است که دیتای کاربران فیسبوک و اینستاگرام در سرورهای آمریکایی و اروپایی پردازش می‌شود و این موضوع برای تبلیغات و نحوه کسب‌وکار متا حیاتی است. همین موضوع باعث شده که متا احتمال تعطیلی فیسبوک و اینستاگرام در اتحادیه اروپا را مطرح کند.
‌
طبق گزارش جدیدی که به کمیسیون بورس و اوراق بهادار ایالات متحده ارائه شده، متا پیشنهاد می‌کند که اگر این شرکت نتواند از قوانین جدید اتحادیه اروپا پیروی کند، به راحتی فعالیت‌های فیسبوک و اینستاگرام را در این منطقه متوقف می‌کند.
‌
«نیک کلگ»، معاون ریاست امور جهانی متا می‌گوید چنین کاری برای بسیاری از کسب‌وکارها در اتحادیه اروپا که به سرویس‌ها و تبلیغات متا وابسته هستند، زیان‌بار خواهد بود: «در حالی که سیاست‌گذاران در حال کار برای رسیدن به یک راه‌حل بلندمدت و پایدار هستند، از رگولاتورها می‌خواهیم که رویکردی متناسب و عملی را در پیش بگیرند که حداقل اختلال به عملکرد هزاران کسب‌وکار مانند فیسبوک که با حسن نیت به این مکانیزم‌ها برای انتقال داده‌ها با روشی امن وابسته هستند، وارد شود

وانمود نکن که خوشت نیومد!

این جمله‌ای بود که «نینا جین پاتل» پس از آن که قربانی یک تجاوز گروهی شد از یکی از مهاجمان شنید؛ تجاوزی که نه در دنیای واقعی بلکه این‌بار در متاورس اتفاق افتاد.

خانم پاتل، یکی از کاربرانی است که تصمیم گرفته بود تا از پلتفرم‌های دنیای مجازی که اخیرا از سوی شرکت مِتا عرضه شده به طور آزمایشی استفاده کند و با ویژ‌گی‌های آنها آشنا شود ولی مدعی است که به محض ورود، مورد تجاوز گروهی مردان قرار گرفته است و متجاوزان حتی از او به هنگام تجاوز عکس گرفته‌اند.
البته متا، شرکت مادر فیسبوک، در پی افزایش نگرانی‌ها در مورد امنیت کاربران و انتشار اخباری از رخداد آزار و اذیت جنسی اعلام کرده که در حال راه‌اندازی ابزاری است که به کاربران پلتفرم‌های واقعیت مجازی این امکان را می‌دهد تا از حریم شخصی خود در مقابل سایر کاربران محافظت کنند.

مطابق اعلام متا، کاربران با استفاده از ابزار جدید که «حریم شخصی» نام دارد، می‌توانند به هنگام ورود به بازی‌ها و رویدادهای در حال برگزاری در برنامه‌های Horizon Worlds و Horizon Venues که با استفاده از هدست‌های واقعیت مجازی(VR) ممکن است، تقریبا ۱.۲ متر با دیگر کاربرانی که با آواتارهای خاص خود در این دنیای مجازی حضور یافته‌اند، فاصله برقرار کند.
اما خانم پاتل می‌گوید: «تجربه وحشتناکِ من خیلی سریع اتفاق افتاد، به طوری که اصلا فرصتی برای ایجاد حریم شخصی برایم نبود. فقط ۶۰ ثانیه از ورودم به دنیای مجازی متا گذشته بود که آزار و اذیت‌های کلامی شروع و بلافاصله به تجاوز گروهی ختم شد.»
خانم پاتل در توضیح آن چه که «کابوس سورئال» توصیف می‌کند، می‌گوید: «واقعیت مجازی اساسا بر روی ناتوانی ذهن و بدن در درک تفاوت بین تجربیات واقعی و مجازی طراحی شده و به همین دلیل واکنش فیزیولوژیکی و روانی من به این حادثه همانند زندگی واقعی بود.»

البته شرکت متا تاکید کرده که ابزار «حریم شخصی» را در تنظیمات پیش فرض برنامه‌های خود قرار می‌دهد تا جلوگیری از تعاملات ناخواسته را به محض ورود به متاورس تسهیل کند.
متا مدت‌هاست که بنابر اتهام‌های مدیریت محتوای مشکل‌ساز و سوء استفاده از پلت‌فرم‌ شبکه‌های اجتماعی خود مانند فیسبوک و اینستاگرام برای بهره‌برداری از اطلاعات شخصی افراد و نقش حریم شخصی آنها تحت نظارت و حساب‌کشی قانونگذاران و نهادهای تنظیم مقررات از آمریکا تا اروپا قرار گرفته است.

هیچ بعید نیست که شما هم یک SSD پرسرعت تهیه کرده باشید اما با گذر زمان متوجه کاهش سرعت و افت کارایی آن شده باشید.

اما آیا واقعاً SSDها با گذر زمان کُند می شوند؟

در این صورت چه چیزی باعث افت کارایی آنها می شود؟

در نوشتار پیش رو به این پرسش شما پاسخ می دهیم.

همانطور که احتمالاً می دانید، تعداد دفعات (چرخه) نوشتن/پاک سازی (P/E) تراشه های NAND مورد استفاده در SSDها کاملاً محدود است و دوام آنها به تعداد چرخه های نوشتن/پاک سازی تراشه های حافظه بکار رفته وابسته است. مطمئناً هرچه تعداد چرخه های نوشتن/ پاکسازی بیشتر باشد مطلوب تر است.

در سال های ابتدایی معرفی SSD به صنعت کامپیوترهای شخصی، شاهد تراشه های حافظه NAND با دوام 5000 چرخه نوشتن/پاک کردن بودیم، کمی که گذشت دوام تراشه هایی که تولید می شدند به 3000 چرخه کاهش پیدا کرد. ظرف یک الی دو سال دوام تراشه های حافظه به 1000 چرخه کاهش پیدا کرد و کمی بیشتر که گذشت، این مقدار به تنها 500 چرخه رسید. با مهاجرت از تراشه های MLC NAND به TLC NAND تعداد چرخه های نوشتن/پاک سازی از این هم بدتر شد و دوام تراشه های بکار رفته در بسیاری از SSDهای ارزان قیمت امروزی از 100 چرخه فراتر نمی رود!

پیشرفت ها در فناوری تصحیح خطا (error correction) کنترلرها این امکان را به سازندگان SSD بخشید تا از تراشه های حافظه ارزان تر و کم دوام تر در SSDهای مقرون به صرفه تر استفاده کنند. در حقیقت هرچه که فناوری ساخت (لیتوگرافی) تراشه های حافظه NAND  مورد استفاده SSDها کوچکتر می شود، تعداد چرخه های نوشتن/ پاک کردن آنها نیز کاهش می یابد، اما پس چه دلیلی برای اصرار به کوچکتر کردن فناوری ساخت وجود دارد؟ فناوری ساخت کوچکتر این امکان را فراهم می کند تا تراشه های حافظه با چگالی بالاتر تولید کرد که در نهایت به کاهش تعداد تراشه های حافظه مورد نیاز برای ساخت SSDها می انجامد. برای نمونه به جای استفاده از چهار تراشه 40 نانومتری 256 گیگابیتی در یک SSD با ظرفیت 128 گیگابایت، می توان از تنها دو تراشه 15 نانومتری 512 گیگابیتی استفاده کرد که به وضوح به کاهش هزینه تمام شده کمک می کند.

احتمالاً اکنون می پرسید چگونه سازندگان با استفاده از تراشه های حافظه NAND کم دوام تر مشکلی ندارند، مگر به کاهش دوام محصولات آنها نمی انجامد؟ خب پاسخ به این پرسش فراتر از تنها یک کلمه است.

آنچه که باعث شده تا سازندگان با بکارگیری تراشه های NAND با دوام پایین تر مشکلی نداشته باشند، ظهور فناوری های افزایش دهنده دوام در سمت کنترلرها است. سازندگان کنترلرها روش هایی ابداع کرده اند که به افزایش دوام تراشه های با دوام پایین تر کمک می کند، البته این روش ها چیزی فراتر از الگوریتم های معمول کاهنده حجم نوشتن است. اغلب سازندگان کنترلرها با نام اختصاصی خود از این فناوری ها یاد می کنند اما در کنترلرهای امروزی اغلب مبتنی بر تکنیک تصحیح خطا  Low-Density Parity-Check code (LDPC) است که از کسر کوچکی از حافظه برای نگه داری کد تصحیح خطا استفاده می شود.

اگر بخواهیم کارکرد LDPC را به دور از پیچیدگی های فنی بیان کنیم، به ازای داده هایی که در تعداد مشخصی از سلول های حافظه نوشته می شوند، یک کد اطمینان تولید می کند که رابطه منطقی با مقدار همان سلول ها دارد، کد اطمینان در یک جدول اختصاصی نگه داری می شود تا موقع خواندن اطلاعات از آن برای پی بردن به بروز خطا و تصحیح آن استفاده کرد. در موقع خواندن داده ها، در صورتی داده های یک یا چند بیت به هر علتی خراب شده باشد، موتور تصحیح خطا ضمن متوجه شدن، با تکیه بر کد اطمینان تولید شده مختص به همان سلول ها، مقدار سلول یا سلول های معیوب را محاسبه و جایگذاری می کند. بدین ترتیب به رغم خراب شدن بخشی از داده های سلول های حافظه، داده های اصلی بدون مشکل خوانده می شوند و بروز خطا در سطح سلول های حافظه به خرابی داده ها منجر نمی شود. وجود موتور تصحیح خطا باعث می شود تا به رغم بروز خطا بتوان از SSD استفاده کرد که نهایتاً به افزایش دوام آنها می انجامد. معمولاً موتورهای تصحیح خطا قدرتمند دوام نهایی SSD را بین 1.5 تا 3 برابر افزایش می دهند. برای مثال ممکن است دوام تراشه های حافظه از 1000 چرخه نوشتن/پاک کردن به 1500 و حتی 2000 چرخه افزایش یابد.

در وجود کنترلرهای مجهز به موتور تصحیح خطا، سازندگان SSD می توانند از تراشه های NAND با دوام پایین تر (که مطمئناً ارزان تر نیز هستند) بدون اینکه دوام اسمی محصول را کاهش دهند، استفاده کنند.

اغلب کنترلرهای امروزی از کد BCH برای تصحیح بیت های معیوب موقع خواندن داده ها استفاده می کنند. با این حال سازندگان کنترلرها تغییراتی را در الگوریتم ها اعمال می کنند که به افزایش کارایی و دوام هرچه بیشتر SSD کمک می کند، برخی سازندگان نیز چندین روش تصحیح خطا مختلف را به طور هم زمان به خدمت می گیرند که به دوام هرچه بیشتر کمک می کند.

در حالی که پیاده سازی تکنیک های تصحیح خطا مفید به نظر می رسد اما هنگامی که یک بیت خراب می شود، کنترلر باید عملیات تصحیح خطا را اجرا کند که باعث بروز تاخیر و افزایش مصرف انرژی می شود و این همان راز کُندی SSDها با گذر زمان است.

با گذر زمان و خرابی هرچه بیشتر سلول های حافظه، کار تصحیح خطا شدت می گیرد و روز به روز SSD کندتر می شود، چراکه در کنار کارهای معمول خواندن، باید عملیات تصحیح خطا نیز اجرا شود. با این حال کُند شدن تنها نگرانی موجود نیست و میزان خطای قابل تصحیح توسط کنترلر محدود است که با عبور از آن دیگر کنترلر قادر به تصحیح خطا نیست و داده ها به طور برگشت ناپذیر خراب می شوند، اینجاست که دیگر SSD به پایان عمر خود نزدیک می شود. در این زمان ممکن است کنترلر تلاش کند بلاک های دارای سلول معیوب را نادیده بگیرد و از آنها استفاده نکند یا بلاک های یدک را جایگزین کند اما هنگامی که تعدادی زیادی سلول حافظه بمیرند، دیگر SSD به پایان راه خود رسیده است.

به گزارش infosecurity magazine ، هزاران کاربر QNAP تأمین‌کننده استوریج متصل به شبکه (NAS)، به یک نوع باج‌افزار جدید آلوده شده‌اند.

مجموعه QNAP که مرکز آن در تایوان است، این هفته گفت که مشتریان و کاربران باید فوراً سیستم‌های خود را به آخرین نسخه سیستم‌عامل‌های QTS ارتقا دهند و برای کاهش مخاطرات این کمپین اقداماتی را برای قطع دستگاه‌ها از اینترنت انجام دهند.

این باج‌افزار جدید که «DeadBolt» نامیده می‌شود، در ازای ارائه یک کلید رمزگشایی، 0.03 بیت‌کوین (۱۱۰۰ دلار) مطالبه می‌کند.

در این اطلاعیه آمده است: “این یک حمله شخصی نیست. شما به دلیل امنیت ناکافی ارائه شده توسط فروشنده خود (QNAP) هدف قرار گرفته اید”.

شرکت اینونتوری Censys هفته گذشته ادعا کرد که حدود ۵۰۰۰ دستگاه از این دست تحت تأثیر این باج‌افزار قرار گرفته‌اند، اگرچه این تعداد، از مجموع ۱۳۰۰۰۰ دستگاه در سراسر جهان می‌باشد.

جالب اینجاست که تأمین‌کننده مشاهده کرده که تعداد آلودگی‌ها به شکل قابل ملاحظه‌ای بین ۲۶ و ۲۷ ژانویه به شدت کاهش یافت.

در این بیانیه آمده است: «در طول شب، تعداد سرویس‌های باج‌افزار DeadBolt حدود ۱۰۶۱ مورد کاهش یافت و به ۳۹۲۷ سرویس آلوده در دسترس اینترنت عمومی رسید».

دلیل دقیق این کاهش در حال حاضر مشخص نیست و ما به نظارت بر وضعیت ادامه می‌دهیم. اما اوایل امروز، Malwarebytes گزارش داد که QNAP یک بروزرسانی خودکار اجباری را برای سیستم عامل مبتنی بر لینوکس خود به نام QTS برای رفع این آسیب‌پذیری منتشر کرده است. این بروزرسانی ظاهراً فایل اجرایی باج‌افزار را حذف کرد و تغییرات اینترفیس وب ایجاد شده توسط باج‌افزار را به حالت قبل باز می‌گرداند.

اخاذی‌ها از QNAP به آن‌ها این فرصت را داده بودند تا معادل ۵۰ بیت کوین (1.8 میلیون دلار) را برای رمزگشایی تمام داده‌های مشتری بپردازند، اما به نظر نمی‌رسد که آن‌ها به این خواسته‌ها تن داده باشند.

مایکروسافت روز چهارشنبه جزئیات یک آسیب‌پذیری امنیتی جدید در نرم‌افزار SolarWinds Serv-U را فاش کرد که به گفته آن‌ها توسط عوامل تهدید برای انتشار حملات با استفاده از نقص‌های Log4j برای به خطر انداختن اهداف مورد استفاده قرار گرفته است.

مرکز اطلاعات تهدید مایکروسافت (MSTIC) گفت: « این مشکل که تحت عنوان CVE-۲۰۲۱-۳۵۲۴۷ (امتیاز CVSS: 5.3) معرفی می‌شود، یک آسیب‌پذیری اعتبار سنجی ورودی است که می‌تواند به مهاجمان اجازه دهد تا یک کوئری را با توجه به مقداری ورودی بسازند و آن کوئری را بدون بررسی از طریق شبکه ارسال کنند».

این نقص که توسط محقق امنیتی جاناتان بار اور کشف شد، نسخه‌های Serv-U 15.2.5 و قبل از آن را تحت تأثیر قرار می‌دهد و در Serv-U نسخه ۱۵. ۳ مورد بررسی قرار گرفته است.

مجموعه SolarWinds در توصیه امنیتی گفت: «صفحه ورود به وب Serv-U برای احراز هویت LDAP به کاراکتر‌هایی اجازه فعالیت می‌دهد که به حد کافی بررسی و پاکسازی نشده‌اند» و افزود: «مکانیسم ورودی را برای انجام اعتبارسنجی و پاک‌سازی اضافی بروزرسانی کرده است».

سازنده نرم‌افزار مدیریت فناوری اطلاعات همچنین خاطرنشان کرد که “هیچ تأثیر پایین دستی شناسایی نشده است زیرا سرور‌های LDAP کاراکتر‌های نامناسب را ایگنور می‌کنند”. هنوز مشخص نیست که حملات شناسایی شده توسط مایکروسافت صرفاً تلاشی برای سواستفاده از نقص بوده یا در نهایت موفقیت‌آمیز بوده است.

این توسعه در حالی صورت می‌گیرد که چندین عامل تهدید همچنان از نقص‌های Log4Shell برای اسکن انبوه و نفوذ به شبکه‌های آسیب‌پذیر برای استقرار backdoor‌ها، استخراج‌کنندگان رمزارز، باج‌افزار‌ها و shell‌های راه دور استفاده می‌کنند که به فعالیت‌های پس از بهره‌برداری بیشتر، دسترسی دائمی می‌دهند.

محققان Akamai، در تحلیلی که این هفته منتشر شد، همچنین شواهدی مبنی بر سواستفاده از نقص‌ها برای آلوده کردن و کمک به تکثیر بدافزار‌های مورد استفاده توسط بات‌نت Mirai پیدا کرده‌اند.

علاوه بر این، قبلا مشاهده شده بود که یک گروه هکر مستقر در چین از یک آسیب‌پذیری امنیتی حیاتی که SolarWinds Serv-U (CVE-۲۰۲۱-۳۵۲۱۱) را تحت تأثیر قرار می‌دهد برای نصب برنامه‌های مخرب بر روی ماشین‌های آلوده سواستفاده می‌کند.

Honeypot ها یک تکنولوژی تقریبا جدید و شدیداً پویا هستند. همین ماهیت پویا باعث می شود که به راحتی نتوان آنها را تعریف کرد. Honeypot ها به خودی خود یک راه حل به شمار نرفته و هیچ مشکل امنیتی خاصی را حل نمی کنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام می دهند و تأثیر شگرفی بر امنیت سازمان می گذارند. این فن آوری با تکنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا که آنها مسائل امنیتی خاصی را حل کرده و به همین دلیل راحت تر تعریف می شوند. فایروالها یک تکنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبکه یا سیستم های کامپیوتری جلوگیری می کنند. IDS ها یک تکنولوژی تشخیصی هستند. هدف آنها این است که فعالیتهای غیر مجاز یا خرابکارانه را شناسایی کرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot کار سخت تری است، چرا که آنها در پیشگیری، تشخیص، جمع آوری اطلاعات و کارهای دیگری مورد استفاده قرار می گیرند، اما حالت دفاعی ندارند و به عبارتی کار امنیتی نمی کنند اما بر امنیت شبکه به شدت تأثیر می گذارند.

شاید بتوان یک Honeypot را با عناوین زیر توصیف کرد:

• یک هانی پات با هویتی نفوذ پذیر به وظایف خود می پردازد.
• هانی پات یک ابزار امنیتی است و نقشی ضروری در امنیت سازمانها، بسیار بیش تر از Firewall و IPS ایفاء می کند.
• Honeypot یک سیستم اطلاعاتی است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.
• Honeypot ها صرفا مجموعه های کوچکی از داده ها را جمع آوری می کنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می نمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها را جمع می کنند، که البته این داده ها بسیار ارزشمندند. سازمانهایی که هزاران پیغام هشدار را در هر روز ثبت می کنند، با استفاده از Honeypot ها ممکن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
• Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش می دهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص می دهند که در حقیقت تهدیدی در کار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می شود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می دهند، چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
• Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.
• هانی پات ها فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند SSH، IPsec و SSL استفاده می کنند، این مساله بیشتر خود را نشان می دهد. Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با Honeypot به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.
• Honeypot با IPv6 کار می کند. اغلب Honeypot ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
• Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف پذیر Honeypot هاست که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
• Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه بسیار بزرگ را نظارت نماید.

این تعاریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یک انجمن متشکل از بیش از ۵۰۰۰ متخصص امنیت است. از آنجاییکه Honeypot ها در اشکال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن کار بسیار سختی است. تعریف یک Honeypot نشان دهنده نحوه کار آن و یا حتی هدف آن نیست. این تعریف صرفاً ناظر به نحوه ارزش گذاری یک Honeypot است. به عبارت ساده تر، Honeypot ها تکنولوژی هستند که ارزش آنها به تعامل مجرمان با آنها بستگی دارد.

یک Honeypot سیستمی است که در شبکه سازمان قرار می گیرد، اما برای کاربران آن شبکه هیچ کاربردی ندارد و در حقیقت هیچ یک از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یک سری ضعفهای امنیتی عمدی است. از آنجاییکه مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستمهای دارای ضعف می گردند، این سیستم توجه آنها را به خود جلب می کند و با توجه به اینکه هیچکس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یک تلاش خرابکارانه از سوی مهاجمان محسوب می شود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب می کند و به این ترتیب علاوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان می دهد که فرد مهاجم را شناسایی کند و از سیستمهای اصلی شبکه خود دور نگه دارند.

یک Honeypot هیچ سرویس واقعی ارائه نمی دهد. هر تعاملی که انجام گیرد، هر تلاشی که برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای که روی یک Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یک فعالیت خرابکارانه و غیر مجاز است. برای مثال، یک سیستم Honeypot می تواند روی یک شبکه داخلی به کار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچکس در درون سازمان نیازی به استفاده از آن ندارد و نباید از آن استفاده کند. این سیستم می تواند به ظاهر یک فایل سرور، یک وب سرور، یا حتی یک ایستگاه کاری معمولی باشد. اگر کسی با این سیستم ارتباط برقرار نماید، به احتمال زیاد در حال انجام یک فعالیت غیر مجاز یا خرابکارانه است.

در حقیقت، یک Honeypot حتی لازم نیست که حتماً یک کامپیوتر باشد. این سیستم می تواند هر نوع نهاد دیجیتالی باشد (معمولاً از آن به عنوان Honeytoken یاد می شود) که هیچ ارزش واقعی ندارد. برای مثال، یک بیمارستان می تواند مجموعه ای نادرست از رکوردهای اطلاعاتی بیماران ایجاد نماید. از آنجا که این رکوردها Honeypot هستند، هیچکس نباید به آنها دسترسی پیدا کرده و یا با آنها تعامل برقرار کند. این رکوردها می توانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یک جزء Honeypot قرار گیرند. اگر یک کارمند یا یک فرد مهاجم برای دسترسی به این رکوردها تلاش نمود، می توان اقدام وی را به عنوان نشانه ای از یک فعالیت غیر مجاز تلقی کرد، چرا که هیچکس نباید از این رکوردها استفاده کند. اگر شخصی یا چیزی به این رکوردها دسترسی پیدا کند، یک پیغام هشدار صادر می شود. این ایده ی ساده پشت Honeypot هاست که آنها را ارزشمند می کند.

دو یا چند Honeypot که در یک شبکه قرار گرفته باشند، یک HoneyNET را تشکیل می دهند. نوعاً در شبکه های بزرگتر و متنوع تر که یک Honeypot به تنهایی برای نظارت بر شبکه کافی نیست، از HoneyNet استفاده می کنند. HoneyNet ها معمولا به عنوان بخشی از یک سیستم بزرگ تشخیص نفوذ پیاده سازی می شوند. در حقیقت HoneyNet یک شبکه از Honeypot های با تعامل بالاست که طوری تنظیم شده است که تمامی فعالیتها و تعاملها با این شبکه، کنترل و ثبت می شود.

مزایای استفاده از Honeypot

• Honeypot ها صرفا مجموعه های کوچکی از داده ها را جمع آوری می کنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده ها را جمع آوری می نمایند، در نتیجه صرفا مجموعه های بسیار کوچکی از داده ها را جمع می کنند، که البته این داده ها بسیار ارزشمندند. سازمانهایی که هزاران پیغام هشدار را در هر روز ثبت می کنند، با استفاده از Honeypot ها ممکن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
• Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش می دهند. یکی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است که پیغامهای هشدار دهنده خطای زیادی تولید کرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یک رویداد را تهدید تشخیص می دهند که در حقیقت تهدیدی در کار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تکنولوژی تشخیص دهنده بی فایده تر می شود. Honeypot ها به طور قابل توجهی درصد این تشخیصهای اشتباه را کاهش می دهند، چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
• Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.
• هانی پات ها فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این فعالیت را کشف کنند. به تدریج که تعداد بیشتری از سازمانها از پروتکلهای رمزگذاری مانند SSH، IPsec و SSL استفاده می کنند، این مساله بیشتر خود را نشان می دهد. Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با Honeypot به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.
• Honeypot با IPv6 کار می کند. اغلب Honeypot ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
• Honeypot ها بسیار انعطاف پذیرند. Honeypot ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف پذیر Honeypot هاست که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
• Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه بسیار بزرگ را نظارت نماید.