اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• تحقق Dell في اختراق البيانات بعد أن قام مهاجم بتسريب معلومات الموظفين.

• أكدت شركة Fortinet تعرضها لاختراق بيانات بعد أن زعم مهاجم سرقة 440 جيجابايت من الملفات.

• منصة LinkedIn توقف معالجة البيانات باستخدام الذكاء الاصطناعي في المملكة المتحدة وسط مخاوف تتعلق بالخصوصية.

• شركة Ford تريد التنصت على محادثات الركاب للمساعدة على استهداف الإعلانات.

   

مخاطر وثغرات

• قامت Google بإصلاح ثغرة في GCP Composer كان من الممكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.

• أصلحت SolarWinds ثغرة خطيرة في تنفيذ الأكواد البرمجية عن بُعد Access Rights Manager.

• عالجت Microsoft أربع ثغرات حديثة مستغلة بشكل نشط. 

• تصلح Meta ميزة الخصوصية "View Once" في WhatsApp التي تم تجاوزها بسهولة.

  مؤشرات وإحصائيات:

• مصر ضمن "الفئة الأولى" في مؤشر الأمن السيبراني العالمي
   

معلومة أمنية

• احترس من استنساخ الأصوات
   

شاهد:

• كيف تحمي نفسك من الابتزاز الإلكتروني؟  

تحقق Dell في اختراق البيانات بعد أن قام مهاجم بتسريب معلومات الموظفين

20 سبتمبر 2024
 

شركة Dell أكدت أنها تحقق في ادعاءات حديثة حول تعرضها لاختراق بيانات بعد أن قام أحد المهاجمين بتسريب بيانات لأكثر من 10,000 موظف.

تم نشر هذه الادعاءات بواسطة مهاجم يُدعى "grep"، الذي زعم أن الشركة تعرضت إلى "اختراق طفيف" في سبتمبر 2024، مما أدى إلى كشف معلومات داخلية تخص الموظفين والشركاء.

في منشور على منتدى للقرصنة، أعلن المهاجم أن البيانات المسروقة تتضمن معرفات فريدة للموظفين، الأسماء الكاملة لموظفي Dell وشركائها، حالة الموظفين (نشط أم لا)، وسلسلة تعريف داخلية internal identification string.

على الرغم من أن عينة صغيرة فقط من البيانات تمت مشاركتها مجانًا، فإن رابطًا للوصول إلى قاعدة البيانات الكاملة يمكن الكشف عنه من خلال إنفاق رصيد واحد على BreachForums، بقيمة حوالي 0.30 دولار.

رداً على طلب للتعليق حول منشور المهاجم، أفادت الشركة أنها تحقق في الادعاءات، حيث أفادت "نحن على دراية بهذه الادعاءات وفريق الأمن لدينا يقوم حاليًّا بالتحقيق".

ومن الجدير بالذكر أن نفس المستخدم "grep" ادعى حدوث اختراق آخر ذي أهمية في 9 سبتمبر 2024، حيث نشر بيانات زُعم أنها مسروقة من شركة تكنولوجيا المعلومات الفرنسية العملاقة Capgemini.

وادعى المهاجم أنه يمتلك 20 جيجابايت من البيانات، بما في ذلك كود المصدر، بيانات الاعتماد، المفاتيح الخاصة، مفاتيح Application Programming Interface - API، بيانات الموظفين، سجلات الآلات الافتراضية لشركة T-Mobile، مستندات، والمزيد، وتم تسريبها مجانًا.

وفي وقت سابق من هذا العام، تعرضت Dell لاختراق بيانات بعد أن تم استغلال واجهة برمجة التطبيقات الخاصة بالشركة لسرقة 49 مليون سجل من بيانات العملاء.
 

أكدت شركة Fortinet تعرضها لاختراق بيانات بعد أن زعم مهاجم سرقة 440 جيجابايت من الملفات
 

12 سبتمبر 2024

أكدت شركة Fortinet العملاقة في مجال الأمن السيبراني أنها تعرضت لاختراق بيانات بعد أن زعم أحد المهاجمين أنه سرق 440 جيجابايت من الملفات من خادم Microsoft Sharepoint الخاص بالشركة.

تُعد Fortinet واحدة من كبرى شركات الأمن السيبراني في العالم، حيث تبيع منتجات شبكات آمنة مثل الجدران النارية (firewalls)، الموجهات(routers)، وأجهزة VPN. كما تقدم الشركة حلولًا مثل Security information and event management SIEM، وحلول إدارة الشبكات، endpoint detection and response/extended detection and response EDR/XDR، بالإضافة إلى خدمات الاستشارات.

نشر مهاجم منشورًا على منتدى للقرصنة زاعمًا أنه سرق 440 جيجابايت من البيانات من خادم Azure Sharepoint الخاص بـ Fortinet. ثم شارك المهاجم بيانات اعتماد لحساب S3 (وهي خدمة تخزين object تقوم بتخزين البيانات object داخل دلاء buckets) المزعوم، حيث تم تخزين البيانات المسروقة، مما أتاح للمهاجمين الآخرين تنزيلها.

لم يتمكن من الوصول إلى حساب التخزين للتحقق مما إذا كانت الملفات المسروقة التابعة لشركة Fortinet موجودة فيه.

يزعم المهاجم، الذي يعرف باسم "Fortibitch"، أنه حاول ابتزاز شركة Fortinet لدفع فدية مقابل عدم نشر البيانات، لكن الشركة رفضت الدفع.

ردًا على أسئلة حول الحادث، أكدت Fortinet أن بيانات العملاء قد سُرقت من "خادم ملفات مشترك قائم على السحابة، ويتبع طرفًا ثالثًا."

أفادت الشركة: "تمكن فرد من الوصول غير المصرح به إلى عدد محدود من الملفات المخزنة على خادم ملفات مشترك قائم على السحابة تابع لطرف ثالث والمستخدم من قبل Fortinet، والتي تضمنت بيانات محدودة تتعلق بعدد صغير من عملاء Fortinet".

لم تكشف Fortinet في وقت سابق عن عدد العملاء المتأثرين أو نوع البيانات المخترقة، لكنها قالت إنها "تواصلت مباشرة مع العملاء حسب الحاجة."

وفي تحديث لاحق على موقع Fortinet الإلكتروني، ذكرت الشركة أن الحادث أثر في أقل من 0.3% من قاعدة عملائها، ولم يسفر عن أي نشاط خبيث يستهدف العملاء.

كما أكدت شركة الأمن السيبراني أن الحادث لم يشمل أي عملية تشفير بيانات أو هجمات فدية، ولم يتمكن المهاجمون من الوصول إلى الشبكة الداخلية لشركة Fortinet.

في مايو 2023، زعم مهاجم آخر أنه اخترق مستودعات GitHub الخاصة بشركة Panopta، التي استحوذت عليها Fortinet في عام 2020، وقام بتسريب البيانات المسروقة على منتدى للقرصنة ناطق بالروسية.

منصة LinkedIn توقف معالجة البيانات باستخدام الذكاء الاصطناعي في المملكة المتحدة وسط مخاوف تتعلق بالخصوصية
 

21 سبتمبر 2024
 

مكتب مفوض المعلومات في المملكة المتحدة (Information Commissioner's Office – ICO) أكد أن منصة التواصل الاجتماعي المهني LinkedIn قد أوقفت معالجة بيانات المستخدمين في البلاد لتدريب نماذج الذكاء الاصطناعي الخاصة بها.

وأعلن Stephen Almond، المدير التنفيذي لإدارة المخاطر التنظيمية: "نحن سعداء بأن LinkedIn أخذت بعين الاعتبار المخاوف التي أثارتها بشأن نهجها في تدريب نماذج الذكاء الاصطناعي التوليدية باستخدام معلومات تخص مستخدميها في المملكة المتحدة."

وأضاف: "نرحب بتأكيد LinkedIn أنها أوقفت هذا النوع من التدريب إلى حين المزيد من التعاون مع Information Commissioner's Office."

وأشار Almond إلى أن Information Commissioner's Office تعتزم مراقبة الشركات التي تقدم قدرات الذكاء الاصطناعي التوليدي، بما في ذلك Microsoft وLinkedIn، لضمان أن لديها التدابير اللازمة لحماية حقوق المعلومات لمستخدمي المملكة المتحدة.

هذا التطور جاء بعد أن اعترفت شركة LinkedIn المملوكة لشركة Microsoft بأنها قامت بتدريب نماذج الذكاء الاصطناعي الخاصة بها على بيانات المستخدمين دون الحصول على موافقتهم الصريحة، وذلك كجزء من سياسة الخصوصية المحدثة التي دخلت حيز التنفيذ في سبتمبر 2024، وفقًا لتقرير صادر عن موقع 404 Media.

صرحت LinkedIn: "في الوقت الحالي، لا نقوم بتدريب الذكاء الاصطناعي التوليدي باستخدام بيانات الأعضاء من المنطقة الاقتصادية الأوروبية، سويسرا، والمملكة المتحدة، ولن نوفر هذا الخيار للأعضاء في تلك المناطق حتى إشعار آخر."

كما أوضحت الشركة في قسم الأسئلة الشائعة (FAQ) أنها تسعى إلى "تقليل البيانات الشخصية في مجموعات البيانات المستخدمة لتدريب النماذج، بما في ذلك استخدام تقنيات تعزيز الخصوصية لحذف أو إزالة البيانات الشخصية من مجموعة بيانات التدريب."

يمكن للمستخدمين الذين يعيشون خارج أوروبا إلغاء الاشتراك في هذه الممارسة من خلال الانتقال إلى قسم "خصوصية البيانات" في إعدادات الحساب وإيقاف خيار "بيانات لتحسين الذكاء الاصطناعي التوليدي".

وأشارت LinkedIn إلى أنه "عند إلغاء الاشتراك، لن تستخدم LinkedIn وشركاؤها بياناتك الشخصية أو محتوياتك على المنصة لتدريب النماذج في المستقبل، لكن هذا لا يؤثر في التدريب الذي تم بالفعل."

جاء قرار LinkedIn بتضمين جميع المستخدمين في تدريب نماذج الذكاء الاصطناعي بشكل تلقائي بعد أيام فقط من اعتراف شركة Meta بأنها جمعت بيانات المستخدمين غير الخاصة لأغراض مشابهة منذ عام 2007. واستأنفت الشركة تدريباتها على بيانات المستخدمين في المملكة المتحدة.

في أغسطس الماضي، تخلت Zoom عن خططها لاستخدام محتويات العملاء في تدريب نماذج الذكاء الاصطناعي بعد إثارة مخاوف بشأن كيفية استخدام تلك البيانات، وذلك استجابةً لتغييرات في شروط الخدمة الخاصة بالتطبيق.

هذا التطور الأخير يسلط الضوء على التدقيق المتزايد حول الذكاء الاصطناعي، خاصةً فيما يتعلق بكيفية استخدام بيانات الأفراد ومحتوياتهم لتدريب نماذج اللغة الكبيرة.

هذا التطور يأتي في الوقت الذي نشرت فيه لجنة التجارة الفيدرالية الأمريكية (Federal Trade Commission – FTC) تقريرًا يشير إلى أن منصات التواصل الاجتماعي الكبرى ومنصات بث الفيديو قد شاركت في مراقبة واسعة للمستخدمين، مع ضعف في ضوابط الخصوصية وعدم كفاية الحماية للأطفال والمراهقين.

يتم في كثير من الأحيان دمج المعلومات الشخصية للمستخدمين مع البيانات المستخلصة من الذكاء الاصطناعي، وأدوات تتبع مثل "tracking pixels"، وبيانات الوسطاء الخارجيين، لإنشاء ملفات شخصية أكثر شمولاً للمستهلكين، ليتم بعد ذلك تحقيق أرباح عن طريق بيعها للمشترين المحتملين.

وأفادت لجنة التجارة الفيدرالية (FTC) بأن "الشركات جمعت ويمكن أن تحتفظ بشكل غير محدد بكميات كبيرة من البيانات، بما في ذلك معلومات من وسطاء البيانات، حول المستخدمين وغير المستخدمين لمنصاتهم "، مشيرةً إلى أن ممارسات جمع البيانات وتقليلها والاحتفاظ بها كانت "غير كافية بشكل مؤسف".

وأضافت اللجنة أن "العديد من الشركات انخرطت في مشاركة بيانات واسعة النطاق تثير مخاوف جدية بشأن كفاية ضوابط التعامل مع البيانات والإشراف عليها. ولم تحذف بعض الشركات جميع بيانات المستخدمين استجابةً لطلبات الحذف."
 

شركة Ford تريد التنصت على محادثات الركاب للمساعدة على استهداف الإعلانات
 

 13 سبتمبر 2024


 

تقدمت شركة Ford ببراءة اختراع لنظام عرض الإعلانات داخل السيارة يعتمد على معلومات مستمدة من عدة خصائص تتعلق بالرحلة والسائق، ومن بين هذه الخصائص محادثات البشر.

في ملخص براءة الاختراع، تكتب Ford: "تشمل الطريقة المثالية تحديد معلومات السيارة لرحلة، تتضمن معلومات مثل الموقع الحالي، سرعة السيارة، وضع القيادة، ومعلومات المرور. وتشمل معلومات المستخدم توقعات للطرق وسرعة الرحلة والوجهة، بالإضافة إلى تفضيلات المستخدم للإعلانات بناءً على الإشارات الصوتية داخل السيارة أو البيانات التاريخية للمستخدم."

توضح الفكرة أيضًا أن "التحكم قد يراقب حوارات المستخدم للكشف عن متى يكون الأفراد في محادثة." بناءً على هذه المعلومات، يمكن للأنظمة تقليل أو زيادة عدد الإعلانات المقدمة، حيث يمكن تحليل المحادثات لاستخراج كلمات رئيسة تشير إلى وجهات الركاب.

الأساسي هو أن السيارة التي تقودها لن تتجسس فقط على سلوك قيادتك ومواقعك الحالية والمستقبلية، بل ستتنصت أيضًا على محادثاتك. وهناك أيضًا مخاوف تتعلق بالسلامة بشأن عرض الإعلانات أثناء القيادة.

لقد ناقشنا الخصوصية في السيارات، وخلصنا إلى أنها ليست جيدة في هذا الصدد. وقد وافق العديد من السياسيين في الولايات المتحدة على هذا الرأي، حيث طلب بعض أعضاء مجلس الشيوخ من لجنة التجارة الفيدرالية التحقيق في ممارسات خصوصية شركات السيارات، بينما قام المدعي العام في تكساس، Ken Paxton، برفع دعوى ضد جنرال موتورز؛ بسبب بيع بيانات القيادة للعملاء لجهات خارجية.

لقد أوضحنا الحاجة إلى إعادة النظر في تتبع مواقع السيارات، ونددنا بضرورة أن تعمل شركات السيارات معًا لتوفير خيارات للمستخدمين لإيقاف ميزات التتبع.

ومع ذلك، لا توجد في الوثيقة كلمة واحدة حول كيفية تخزين Ford للمعلومات المكتسبة بشكل آمن. ننصح جميع شركات السيارات بمعالجة الثغرات الأمنية الموجودة قبل تقديم ثغرات جديدة.

فما هو التالي، Ford؟ هل ستتوقف السيارة عن العمل إذا مررنا بالقرب من أحد المحلات التي ترعى إعلاناتك؟ أم أن هذه "الميزة" كانت تهدف إلى تعطيل وظيفة مكون في السيارة فقط في خطط الاسترداد التي حاولت براءتها في وقت سابق؟

في تصريح لمجلة Fortune، أوضحت الشركة أن تقديم براءة اختراع هو ممارسة قياسية لاستكشاف أفكار جديدة، ولا يعني بالضرورة وجود خطط فورية لإطلاق مثل هذا النظام.

ندرك أن الإعلانات هي التي تحرك الإنترنت. لكن هل تفيد هذه الإعلانات داخل السيارة مالك السيارة؟ إذا كانت ستجعل السيارات أرخص، سأكون مستعدًا لدفع مبلغ إضافي لعدم الإزعاج والتنصت أثناء القيادة.

قامت Google بإصلاح ثغرة في GCP Composer كان من الممكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد
 

16 سبتمبر 2024

كان من الممكن استغلال ثغرة أمنية بالغة الخطورة تم إصلاحها الآن تؤثر على Google Cloud Platform (GCP) Composer لتحقيق تنفيذ التعليمات البرمجية عن بُعد على خوادم السحابة من خلال تقنية هجوم سلسلة التوريد تسمى ارتباك التبعية dependency confusion.

أطلق Tenable Research على الثغرة اسم Cloud Imposer.

أفادت الباحثة الأمنية Liv Matan في تقرير مشترك مع The Hacker News:"ربما سمحت الثغرة للمهاجم باختطاف اعتماد داخلي للبرنامج تقوم Google بتثبيته مسبقًا على كل أداة من أدوات تنسيق خط أنابيبGoogle Cloud Composer ".

يشير ارتباك التبعية Dependency confusion (المعروف أيضًا باسم هجوم الاستبدال substitution attack)، والذي تم توثيقه لأول مرة بواسطة الباحث الأمني Alex Birsan في فبراير 2021، إلى نوع من اختراق سلسلة توريد البرامج، حيث يتم خداع مدير الحزم لسحب حزمة ضارة من مستودع عام بدلاً من الملف المقصود الذي يحمل نفس الاسم من مستودع داخلي.

وبالتالي، يمكن لممثل التهديد أن يقوم بشن هجوم واسع النطاق على سلسلة التوريد من خلال نشر حزمة مزيفة في مستودع حزم عام يحمل نفس اسم الحزمة التي طورتها الشركات داخليًا وبرقم إصدار أعلى.

وهذا بدوره يتسبب في قيام مدير الحزمة بتنزيل الحزمة الضارة دون علم من المستودع العام بدلاً من المستودع الخاص، مما يؤدي فعليًا إلى استبدال تبعية الحزمة الحالية بنظيرتها.

المشكلة التي حددها Tenable مماثلة في أنه يمكن إساءة استخدامها لتحميل حزمة ضارة إلى مستودع Python Package Index (PyPI) باسم "google-cloud-datacatalog-lineage-producer-client" والذي يمكن بعد ذلك تثبيته مسبقًا على جميع مثيلات Composer ذات الأذونات المرتفعة.

وجدت شركة Tenable أن استخدام "--extra-index-url"  أثناء أمر "pip install" يعطي ذلك الأولوية لجلب الحزمة من السجل العام، مما يفتح الباب أمام مشكلة "dependency confusion".

وباستخدام هذا الامتياز، يمكن للمهاجمين تنفيذ التعليمات البرمجية، واستخراج بيانات اعتماد حساب الخدمة، والانتقال جانبيًا في بيئة الضحية إلى خدمات GCP الأخرى.

بعد الكشف المسؤول في 18 يناير 2024، تم إصلاح المشكلة بواسطة Google في مايو 2024 من خلال التأكد من تثبيت الحزمة فقط من مستودع خاص. كما أضافت أيضًا الاحتياط الإضافي للتحقق من مجموع الاختبار للحزمة من أجل تأكيد سلامتها والتحقق من عدم العبث بها.

يقال إن هيئة (Python Packaging Authority – PyPA) كانت على علم بالمخاطر التي تشكلها وسيطة "--extra-index-url" منذ مارس 2018 على الأقل، وحثت المستخدمين على تخطي استخدام PyPI في الحالات التي يتعين فيها سحب الحزمة الداخلية.

"من المتوقع أن تكون الحزم فريدة من نوعها حتى الاسم والإصدار، لذلك يتم التعامل بنفس اسم الحزمة والإصدار على أنهما غير قابلتين للتمييز بواسطة pip،" كما أشار أحد أعضاء PyPA في ذلك الوقت. "هذه ميزة متعمدة لبيانات الحزمة التعريفية، ومن غير المرجح أن تتغير."

كما توصي Google، كجزء من إصلاحها، المطورين الآن باستخدام وسيطة "--index-url" بدلاً من وسيطة "--extra-index-url" وأن يستخدم عملاء GCP مستودعًا افتراضيًا لسجل Artifact عند الحاجة إلى مستودعات متعددة.

كما أفادت Matan "أن '--index-url' تقلل من خطر هجمات "dependency confusion" من خلال البحث فقط عن الحزم في السجل الذي تم تعريفها كقيمة معينة لتلك argument.

أصلحت SolarWinds ثغرة خطيرة في تنفيذ الأكواد البرمجية عن بُعد Access Rights Manager

16 سبتمبر 2024
 
 
 

أصدرت SolarWinds تحديثات أمنية لمعالجة ثغرة أمنية خطيرة للغاية تتعلق بتنفيذ التعليمات البرمجية عن بُعد، والتي تم تتبعها باسم CVE-2024-28991 (درجة CVSS 9.0)، في SolarWinds Access Rights Manager (ARM).

الخلل هو إلغاء تسلسل بيانات غير موثوقة تتعلق بتنفيذ الأكواد البرمجية عن بُعد، والتي تؤثر على ARM 2024.3 والإصدارات السابقة.

تم العثور على SolarWinds Access Rights Manager (ARM) عرضة لثغرة تنفيذ الأكواد البرمجية عن بُعد. "إذا تم استغلالها، فإن هذه الثغرة الأمنية ستسمح للمستخدم المعتمد بإساءة استخدام الخدمة، مما يؤدي إلى تنفيذ الأكواد البرمجية عن بُعد."

تم اكتشاف الثغرة الأمنية بواسطة Piotr Bazydlo من شركة Trend Micro Zero Day Initiative.

لم يتم إصدار تفاصيل إضافية حول طبيعة الهجمات التي تستغل الثغرة أو هوية الجهات الفاعلة التي قد تكون تستغلها. ومع ذلك، اعترفت الشركة التقنية بأنها على علم بوجود استغلال للثغرة الأمنية CVE-2024-7965.

تسمح هذه الثغرة الأمنية للمهاجمين عن بُعد بتنفيذ أكواد برمجية عشوائية على التثبيتات المتأثرة لبرنامج SolarWinds Access Rights Manager. وعلى الرغم من أن المصادقة مطلوبة لاستغلال هذه الثغرة الأمنية، فإنه يمكن تجاوز آلية المصادقة الحالية. "وفقًا للتقرير الذي نشرته مبادرة Trend Micro Zero Day Initiative." يوجد الخلل المحدد داخل فئة "JsonSerializationBinder". وتنتج المشكلة عن عدم التحقق من صحة البيانات المقدمة من المستخدم بشكل صحيح، مما قد يؤدي إلى إلغاء تسلسل البيانات غير الموثوق بها. يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية لتنفيذ الأكواد البرمجية في سياق النظام.

على الرغم من أن المصادقة مطلوبة لاستغلال الثغرة الأمنية، فإن الجهات الفاعلة في التهديد يمكنها تجاوز آلية المصادقة.

كما عالجت الشركة ثغرة أمنية مبرمجة مسبقًا في بيانات الاعتماد، والتي تم تتبعها باسم CVE-2024-28990 في Access Rights Manager (ARM).

أبلغ Piotr Bazydlo عن هذه الثغرة الأمنية، حيث يمكن للمهاجم استغلال الثغرة الأمنية لتجاوز المصادقة والوصول إلى وحدة التحكم الإدارية RabbitMQ.

عالجت SolarWinds المشكلات بإصدار 2024.3.1 الخاص بـ Access Rights Manager (ARM).

ولا تعلم الشركة بوجود هجمات تستغل هذه الثغرات الأمنية.

عالجت Microsoft أربع ثغرات حديثة مستغلة بشكل نشط 
 

11 سبتمبر 2024

عالجت تحديثات أمان Microsoft Patch Tuesday لشهر سبتمبر 2024 عدد 79 ثغرة في Windows وWindows Components؛ وOffice وOffice Components؛ وAzure؛ وDynamics Business Central؛ وSQL Server؛ وWindows Hyper-V؛ وMark of the Web (MOTW)؛ خدمة ترخيص سطح المكتب عن بُعد.

تم استغلال أربع من هذه الثغرات بنشاط كثغرات يوم الصفر zero-day، وتم الكشف عن ثغرة واحدة علنًا.

تم تصنيف سبع ثغرات على أنها حرجة، و71 على أنها مهمة، وواحدة على أنها متوسطة.

"يتناسب حجم هذا الإصدار مع الحجم الذي رأيناه من Redmond الشهر الماضي، ولكن مرة أخرى، من غير المعتاد أن نرى مثل هذا العدد المرتفع من الثغرات تحت الهجوم النشط. "وفقًا لتقرير Zero Day Initiative (ZDI)" تم إدراج إحدى هذه الثغرات الأمنية الشائعة على أنها معروفة للجمهور، وتم إدراج أربع أخرى على أنها تحت الهجوم النشط في وقت الإصدار. ومع ذلك، نعتقد في ZDI أن هذا العدد يجب أن يكون خمس."

الثغرات الأمنية الأربع المستغلة بنشاط تتمثل في:

• CVE-2024-38014: ثغرة رفع امتيازات Windows Installer. يمكن للمهاجم الذي استغل هذه الثغرة بنجاح الحصول على امتيازات النظام.

•  CVE-2024-38217: ثغرة تجاوز ميزة أمان Windows Mark of the Web. يمكن للمهاجم استغلال هذه الثغرة من خلال استضافة ملف ضار على خادمه وخداع المستخدم لتنزيله وفتحه. قد يتجاوز هذا الملف دفاعات Mark of the Web (MOTW)، مما قد يعرض ميزات الأمان مثل SmartScreen Application Reputation وWindows Attachment Services للخطر.

• CVE-2024-38226: ثغرة تجاوز ميزة أمان Microsoft Publisher. يمكن للمهاجم تجاوز سياسات وحدات الماكرو في Office عن طريق خداع مستخدم معتمد لتنزيل وفتح ملف مصمم خصيصًا من موقع ويب. قد يؤدي هذا الهجوم المحلي إلى تعريض كمبيوتر الضحية للخطر من خلال الهندسة الاجتماعية.

• CVE-2024-43491: ثغرة تنفيذ التعليمات البرمجية عن بُعد في Microsoft Windows Update. تدرك Microsoft وجود ثغرة في Servicing Stack أدت إلى التراجع عن إصلاحات بعض الثغرات التي تؤثر على المكونات الاختيارية في Windows 10، الإصدار 1507 (الإصدار الأولي الذي تم إصداره في يوليو 2015). يعني هذا أن المهاجم يمكنه استغلال هذه الثغرات الأمنية التي تم تخفيفها مسبقًا على أنظمة Windows 10، الإصدار 1507 (Windows 10 Enterprise 2015 LTSB وWindows 10 IoT Enterprise 2015 LTSB) التي قامت بتثبيت تحديث أمان Windows الذي تم إصداره في 12 مارس 2024—KB5035858 (إصدار نظام التشغيل 20240.20526) أو تحديثات أخرى تم إصدارها حتى أغسطس 2024. لا تتأثر جميع الإصدارات الأحدث من Windows 10 بهذه الثغرة الأمنية.

تصلح Meta ميزة الخصوصية "View Once" في WhatsApp التي تم تجاوزها بسهولة
 

9 سبتمبر 2024

يستغل المهاجمون ثغرة الخصوصية في تطبيق المراسلة الفورية WhatsApp، الذي يستخدمه أكثر من 2 مليار مستخدم حول العالم، لتجاوز ميزة "العرض مرة واحدة" في التطبيق وعرض الرسائل مرة أخرى.

أفادت شركة Meta أن ميزة "العرض مرة واحدة" في WhatsApp (التي تم تقديمها قبل ثلاث سنوات) تمكن المستخدمين من مشاركة الصور ومقاطع الفيديو والرسائل الصوتية بشكل خاص، حيث لا ينبغي للمستلم أن يتمكن من إعادة توجيه رسائله أو مشاركتها أو نسخها أو التقاط لقطة شاشة لها؛ لأنها ستختفي تلقائيًا من الدردشات بعد فتحها مرة واحدة.

تشرح الشركة على موقع الدعم الخاص بها: "بمجرد إرسال صورة أو مقطع فيديو أو رسالة صوتية لعرضها مرة واحدة، فلن تتمكن من عرضها مرة أخرى". "لن يتم حفظ أي صور أو مقاطع فيديو ترسلها في صور أو معرض المستلم. ولا يمكن للمستلم أيضًا التقاط لقطة شاشة لأي شيء ترسله باستخدام ميزة "عرض مرة واحدة".

ومع ذلك، فإن ميزة "عرض مرة واحدة" ستمنع مستخدمي WhatsApp فقط من التقاط لقطة شاشة لما يتم إرساله على الأجهزة المحمولة؛ لأن منصات سطح المكتب والويب لا تدعم حظر لقطات الشاشة.

وعلاوة على ذلك، وجد فريق بحث Zengo X أن Meta نفذت هذه الميزة بطريقة وصفها الباحثون بأنها "طريقة مهملة"، مما يسمح للمهاجمين بحفظ ومشاركة نسخ من رسائل "عرض مرة واحدة" بسهولة.

أفاد مدير التكنولوجيا الرئيس لشركة Zengo،Tal Beery ، "لقد كشفنا عن نتائجنا بشكل مسؤول لشركة Meta، ولكن عندما أدركنا أن المشكلة مستغلة بالفعل، قررنا جعلها عامة لحماية خصوصية مستخدمي  WhatsApp".

كما اكتشف باحثو الأمن في شركة Zengo، أن ميزة "العرض مرة واحدة" تُستخدم لإرسال رسائل وسائط مشفرة إلى جميع أجهزة المتلقي، وهي رسائل متطابقة تقريبًا مع الرسائل العادية، ولكنها تتضمن عنوان URL للبيانات المشفرة المستضافة على خادم الويب الخاص بـ WhatsApp ("مخزن blob store") والمفتاح لفك تشفيرها. بالإضافة إلى ذلك، فإن رسائل "العرض مرة واحدة" تضع علامة "العرض مرة واحدة" على "صحيح true".

أوضح Beery أن ميزة "العرض مرة واحدة" في واتساب تسمح للمستخدمين بإرسال رسائل لا ينبغي عرضها إلا مرة واحدة. ومع ذلك، يتم إرسال الرسائل إلى جميع أجهزة المتلقي، بما في ذلك تلك التي لا يُسمح لها بعرضها. بالإضافة إلى ذلك، لا يتم حذف الرسائل على الفور من خوادم واتساب بعد التنزيل.

هذا يجعل الحد من تعرض الوسائط للبيئات والمنصات الخاضعة للرقابة أمرًا مستحيلاً، خاصة وأن بعض إصدارات رسائل "العرض مرة واحدة" تحتوي أيضًا على معاينات وسائط منخفضة الجودة يمكن عرضها دون تنزيل.

علاوة على ذلك، تعمل رسائل "العرض مرة واحدة" مثل الرسائل العادية، ولكن مع علامة "العرض مرة واحدة". ومع ذلك، يمكن للمهاجمين تجاوز ميزة الخصوصية هذه عن طريق تعيين علامة "العرض مرة واحدة" هذه على false، مما يسمح بتنزيل الرسالة وإعادة توجيهها ومشاركتها.

واختتم Beery حديثه قائلاً: "الخصوصية أمر بالغ الأهمية للمراسلة الفورية. وقد أقر واتساب بذلك من خلال دعم التشفير من البداية إلى النهاية (End-to-End Encryption E2EE) لمحادثات مستخدميه افتراضيًا".

"ومع ذلك، فإن الشيء الوحيد الأسوأ من عدم وجود خصوصية هو الشعور الزائف بالخصوصية الذي يدفع المستخدمين إلى الاعتقاد بأن بعض أشكال الاتصال خاصة، بينما هي في الواقع ليست كذلك. حاليًا، تعد ميزة View once في WhatsApp شكلًا صريحًا من الخصوصية الزائفة، ويجب إما إصلاحها تمامًا أو التخلي عنها."

في حين أن باحثي Zengo هم أول من أبلغ عن المشكلة إلى Meta ونشر تقريرًا يوضح بالتفصيل مشكلة الخصوصية هذه، فقد تمت إساءة استخدام الخلل لحفظ رسائل "View Once" لمدة عام على الأقل، حتى إن أولئك الذين يستغلونها قاموا بإنشاء إضافات للمتصفح لتبسيط العملية بأكملها.

تعرف Bleeping Computer بوجود على الأقل إضافتين لمتصفح  Google Chrome، إحداهما صدرت في عام 2023، يمكنهما تعطيل علامة View Once، مما يسمح بتجاوز الميزة.

ردت Meta على رسالة إلكترونية من Bleeping Computer بشأن التجاوز، قائلة إنهم يقومون حاليًا بطرح تغييرات على ميزة View Once. بينما يتم إصلاح WhatsApp Web، فمن غير الواضح ما إذا كان لا يزال من الممكن استغلال الثغرة الأمنية في الخصوصية باستخدام تطبيقات WhatsApp المخصصة. 

صرح متحدث باسم WhatsApp لموقع Bleeping Computer قائلًا:"يعد برنامج مكافأة الباحثين عن الثغرات الأمنية لدينا وسيلة مهمة نتلقى من خلالها ملاحظات قيمة من الباحثين الخارجيين، ونحن بالفعل في عملية طرح تحديثات لعرض الرسائل مرة واحدة على الويب". "نستمر في تشجيع المستخدمين على إرسال رسائل لعرض الرسائل مرة واحدة فقط إلى الأشخاص الذين يعرفونهم ويثقون بهم". 
 

• مصر ضمن "الفئة الأولى" في مؤشر الأمن السيبراني العالمي
   

  

  Source: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/GCIv5/2401416_1b_Global-Cybersecurity-Index-E.pdf

   

  مؤشر الأمن السيبراني العالمي Global Cybersecurity Index (GCI) هو مرجع موثوق يقيس التزام البلدان بالأمن السيبراني على المستوى العالمي - لزيادة الوعي بأهمية وأبعاد هذه القضية المختلفة. ونظرًا لأن الأمن السيبراني له مجال تطبيق واسع، ويمر عبر العديد من الصناعات والقطاعات المختلفة، يتم تقييم مستوى التنمية أو المشاركة في كل دولة على أساس خمس ركائز - (أ) التدابير القانونية، (ب) التدابير الفنية، (ج) التدابير التنظيمية، (د) تنمية القدرات، (هـ) التعاون - ثم يتم تجميعها في درجة إجمالية.
  
  تقدمت مصر إلى المستوى الأول -وهو نموذج يحتذى به في مؤشر الأمن السيبراني العالمي لعام 2024، محققة درجة 100، مقارنة بدرجة 95.48 في عام 2020.
  
  للمزيد من التفاصيل اضغط هنا

احترس من استنساخ الأصوات
 

ما استنساخ الصوت؟

هو استخدام شخص ما الذكاء الاصطناعي لإعادة إنشاء صوت شخص ما، بما في ذلك أنماط صوته، ونغماته، وإيقاعات كلامه، مما ينتج عنه نسخة شبه كاملة. تبدأ هجمات استنساخ الصوت بجمع المجرم الإلكتروني عينات صوتية من صوت الهدف.

يمكن جمع هذه العينات من مصادر متنوعة مثل مقاطع الفيديو على يوتيوب أو المنشورات الشخصية على تيك توك. بعد التدريب على الصوت المسجل، يقوم الذكاء الاصطناعي بإنشاء صوت جديد يبدو كصوت الهدف. يمكن استخدام هذا الصوت الناتج بطرق مختلفة، من المكالمات الهاتفية إلى الرسائل الصوتية، مما يجعله أداة قوية للخداع.

عند تنفيذ هجمات استنساخ الصوت، غالبًا ما يقوم المهاجمون الإلكترونيون بأبحاثهم أولاً. معظم المعلومات التي يحتاجونها متاحة علنًا على مواقع التواصل الاجتماعي. يدرسون ضحاياهم المقصودين، بما في ذلك صوت الشخص الذي سيقومون بتقليده وكذلك الضحية التي سيتصلون بها. يتعلم المجرمون الإلكترونيون ليس فقط من يعرف ضحاياهم ويثقون بهم، بل أيضًا المحفزات العاطفية هي الأكثر فاعلية. عند إجراء هذه المكالمات الهاتفية، غالبًا ما يعدل المهاجمون هوية المتصل، لذا عندما ينظر الضحايا إلى هواتفهم، يبدو أن المكالمة تأتي من رقم موثوق. يمكن بسهولة تزييف هوية المتصل، فظهور رقم الشخص ليس وسيلة جيدة للتحقق من الأشخاص الذين يتصلون بك.

كيف تحمي نفسك؟

الخطوة الأولى لحماية نفسك، هي الوعي بأن استنساخ الصوت أصبح ممكنًا الآن، وأصبح أسهل للمهاجمين الإلكترونيين.

بعض الخطوات التي يمكنك اتخاذها لحماية نفسك:

1. الخصوصية: كن واعيًا وقلل من المعلومات التي تشاركها مع الآخرين، وقيّد من يمكنه الوصول إلى تسجيلات صوتك على وسائل التواصل الاجتماعي.

2. الإشارات: كن منتبهًا لمؤشرات شائعة تدل على وجود خطأ ما. كلما اتصل بك شخص ما بإلحاح شديد، أو ضغط عليك للتحرك على الفور، فمن المحتمل أن يكون ذلك احتيالًا. كلما زاد الإلحاح، مثل المطالبة بالمال فورًا، زادت احتمالية محاولة شخص ما تسريعك في اتخاذ قرار خاطئ. تشمل المؤشرات الأخرى الشائعة شيئًا يبدو جيدًا جدًا لدرجة يصعب تصديقها (لا، لم تفز بجائزة) أو عندما تتلقى مكالمة غير متوقعة تبدو غريبة.

3. التحقق: إذا لم تكن متأكدًا مما إذا كانت المكالمة الهاتفية شرعية، فافصل الهاتف واتصل بالشخص مرة أخرى على رقم موثوق. على سبيل المثال، إذا تلقيت مكالمة من مسؤول كبير أو زميل في شركتك، فاتصل بهم مرة أخرى على رقم موثوق تعرف أنه فعلاً رقمهم. إذا تلقيت مكالمة غريبة من أحد أفراد العائلة، حاول الاتصال بهم مرة أخرى (ربما حتى باستخدام مكالمة فيديو) أو اتصل بأحد أفراد العائلة الآخرين الذين يعرفونهم جيدًا.

4. كلمة المرور: أنشئ عبارة سرية أو رمز مرور تعرفه أنت وعائلتك فقط. بهذه الطريقة، إذا تلقيت مكالمة غريبة تبدو من أحد أفراد العائلة، يمكنك التحقق مما إذا كان هو فعلاً عن طريق رؤية ما إذا كان يعرف رمز المرور السري.

• كيف تحمي نفسك من الابتزاز الإلكتروني؟