قالب وردپرس دانلود آبجکت 3Dmax پرنده فناوری

بیرسان 35 شرکت بزرگ فناوری از جمله تسلا اپل و … را هک کرد

بیرسان

بیرسان یک محقق تهدید رومانیایی روز چهارشنبه در یک گزارش منتشر شده توضیح داد . که چگونه به سیستم های IT متعلق به بزرگترین شرکتهای جهان نفوذ کرده است. حملات وی با موفقیت اپل ، مایکروسافت ، تسلا ، پی پال ، نتفلیکس و بیش از 30 شرکت دیگر را هدف قرار داد.

الکس بیرسان از قبل به شرکت ها توصیه می کرد.که امنیت سیستم های آنها را آزمایش می کند. اما جزئیات قبلی را در اختیار آنها قرار نداد.

بیرسان وظایف خود را با راه اندازی حالت حمله نسبتاً ساده انجام داد.

بیرسان بسته های کد خصوصی را که به طور معمول توسط سرورها فعال می شدند. جایگزین بسته های کد عمومی کرد. هنگام جستجوی بسته کد ، سیستم های خودکار مورد استفاده شرکت ها به مخازن عمومی استفاده می شوند. اگر برای اجرای یک کارکرد خاص به ماژول Javascript ، Ruby یا Python نیاز باشد . اگر سرورهای این شرکت یک بسته عمومی با نام خود را که معتقد است نسخه جدیدتری است تشخیص دهد.   به طور خودکار یک ماژول عمومی را برای واحد داخلی خود عوض می کنند.

بهره برداری او ، بیرسان به BleepingComputer ، در معرض “آسیب پذیری ها یا نقص طراحی در ساخت یا نصب خودکار ابزار [که] ممکن است باعث شود. وابستگی های عمومی به عنوان وابستگی های داخلی با همان نام اشتباه گرفته شود.”

بیرسان از این آسیب پذیری با تزریق کد در بسته های ذخیره شده در مخازن عمومی مانند GitHub استفاده کرد. او تکرار عمدی نام ها و تعویض بعدی پرونده ها را “سردرگمی وابستگی” نامید.

او ابتدا باید نام شرکتهایی را که برای پرونده های کد استفاده می شدند تعیین کند .تا بتواند پرونده های تقلبی با همان نام ها ایجاد کند . اما به نظر او این کار نسبتاً آسان بود. به عنوان مثال Shopify ، به طور خودکار پرونده جعلی را از بیرسان نصب کرد که به درستی حدس زد “Shopify-cloud” است.

بیرسان روز چهارشنبه در ارزیابی آنلاین از سو استفاده های خود گفت: “میزان موفقیت به سادگی حیرت انگیز بود.”

اسکن میلیونها دامنه به طور خودکار

بیرسان گفت: “ما توانستیم میلیون ها دامنه متعلق به شرکت های مورد نظر را به طور خودکار اسکن کرده و صدها نام بسته Javascript اضافی را که هنوز در رجیستری npm ادعا نشده بود استخراج کنیم.”

چنین مواردی که توسط یک بازیگر  هک مخرب کاشته شده است می تواند در سراسر شبکه یک شرکت ویران شود ، عملکردها را مختل کند ، داده ها را بدزدد یا اقدام به اخاذی کند.

کد بیرسان مخرب نبود. وی فقط اطلاعات اولیه مربوط به هر رایانه ای را که کد وی روی آن تأثیر گذاشته است .

از جمله نام کاربری ، نام میزبان و مسیر فعلی هر نصب منحصر به فرد ، بازیابی کرد. این برنامه هنگام فعال سازی کد وی توسط شرکت های هدف ، به بیرسان اطلاع داد.

بیرسان گفت: “همراه با IP های خارجی ، این فقط اطلاعات کافی بود که به تیم های امنیتی کمک می کند. سیستم های احتمالاً آسیب پذیر را بر اساس گزارش های من شناسایی کنند”. در حالی که آزمایشات من به عنوان حمله واقعی اشتباه است.

در عوض ، بیرسان پول نقدی را به دست آورد .که شرکت ها به محققانی که آسیب پذیری ها را کشف می کنند پرداخت می کنند. مبلغ کل شرکتهای مختلفی که به وی پرداخت کرده اند از 130،000 دلار گذشته است.

زمانی که یکی از همکارانش ، جاستین گاردنر ، یک پرونده مدیریت بسته داخلی جاوا اسکریپت را بررسی کرد و فکر کرد چه اتفاقی می افتد اگر پرونده ای با نام مشابه در یک مخزن عمومی قرار گیرد ، این ایده را به دست آورد. آنها به زودی کشف کردند که هر پرونده دارای جدیدترین شماره ساخت است ، توسط سرور شرکت لمس می شود.

اکثر شرکت های آسیب دیده پس از اطلاع از نقض ، توانستند به سرعت سیستم های خود را وصله کنند.

اما بیرسان می گوید که او معتقد است که سردرگمی وابستگی به سیستم عامل های منبع باز همچنان یک مشکل است.

وی گفت: “به طور خاص ، من معتقدم که یافتن راه های جدید و هوشمندانه برای درز نام بسته های داخلی ، سیستم های آسیب پذیر بیشتری را در معرض دید قرار خواهد داد . و جستجوی زبان های برنامه نویسی و مخازن جایگزین برای هدف یابی برخی از سطوح حمله اضافی برای بروز خطاهای سردرگمی وابستگی است.”

فناوری خورشیدی: فناوری جدید سلولهای تاشو را به یک واقعیت عملی تبدیل می کند

با بازی Red Dead Redemption2 بت فوروارد٬. بلاکچین٬ بهترین سایت٬ بهترین سایت بازی٬ هات بت٬ وین بت بهترین سایت بازی انفجار٬ هم آشنا شوید.

درباره ی bluesky

مطلب پیشنهادی

هوش مصنوعی

هوش مصنوعی AI اکنون می تواند دستکاری رفتار انسان را بیاموزد

. هوش مصنوعی AI در حال یادگیری بیشتر در مورد نحوه کار با رفتار انسان …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *