بایگانی برچسب: s

حزب دزدان دریایی دعوت شده تا دولت بعدی ایسلند رو تشکیل بده

Yaaarrrh - eða bara Píratar
چند وقت پیش تو اخبار داشتیم که طبق نظر سنجی‌ها، حزب دزدان دریایی شانس قابل قبولی برای پیروزی توی انتخابات ایسلند داره ولی این اتفاق عملی نشد. اما حالا خبرهای جالبی در راهه: بعد از اینکه دو برنده اول به خاطر فاصله جدی هم از نتونستن دولت تشکیل بدن، حالا حزب دزدان دریایی دعوت شده تا دولت جدید رو تشکیل بدن؛ اونهم بعد از مشورت با رهبران احزاب مختلف.

من بارها در مورد حزب دزدان دریایی نوشته ام و بارها باهاشون جشن گرفتیم (حتی تو رادیو) و الان این خبر به نظرم عالیه. دزدان دریایی حزبی است که با آراء نزدیک به سایت پایرت بی قدیم تاسیس شد (سایت بعدا به چند نفر بیزنس من فروخته شد) و تمرکزش روی آزادی های دیجیتال، شفافیت اقتصادی، دفاع از آزادی بیان، دفاع از حق خلوت شخصی، اینترنت آزاد و باز و مبارزه با فساد اقتصادی است. همچنین این حزب یک ایده هیجان انگیز هم داره: پذیرش قانون اساسی ایسلند که توسط شهروندانش نوشته شده. دیگر خوبی های ایسلند؟ تلاش برای دادن یک راه خروج امن به اسنودن و حتی اعطای شهروندی افتخاری بهش.

با توجه به سوم بودن حزب دزدان دریایی،‌ تشکیل دولت می تونه براشون کار سختی باشه. این رو هم بگم که اصلی ترین مشکل حزب دزدان دریایی در بدو شروع درست همون مشکلی بود که احزاب سبز هم داشتن: داشتن ایده های پیشرو در بعضی زمینه ها و در مقابل نداشتن هیچ ایده ای در مقابل بعضی زمینه های دیگه. مثلا اگر الان من حزب دزدان دریایی ایران رو تشکیل بدم می تونم نظرات خیلی خوبی در مورد اینترنت و آزادی بیان و شهروندی و حقوق مرتبط با اون داشته باشم ولی مثلا در مورد شیوه بحث در اپک هیچ نظری ندارم و حزب‌ام در مورد بخش هایی مهم نمی تونه اظهار نظر کنه در نتیجه باید در ائتلاف با حزبی با سیاست‌های گسترده تر حرکت کنه.

به هرحال.. جشن می گیریم با دوستان ایسلندی مون.

دولت ایالات متحده، کنترل اینترنت را تحویل آیکن داد

icann

چهل و هفت سال قبل که اینترنت رو ساختن، قرار شد دپارتمان بازرگانی ایالات متحده آمریکا، مسوولیت کنترل و قانونگذاری اون رو بر عهده بگیره. بعدها در ۱۹۹۸ موسسه ICANN (The Internet Corporation for Assigned Names and Numbers) تاسیس شد تا زیر نظر این دپارتمان دولت آمریکا، مسوولیت اختصاص اسم‌ها بر اینترنت رو بر عهده داشته باشه. همون چیزی که باعث می شه چیزی به اسم jadi.net به سایت من برسه (اگر سانسورچی بذاره).

این قرارداد دیروز تموم شد و حالا دپارتمان بازرگانی دولت آمریکا، نقش خودش رو کاملا به آیکن واگذار کرده – سازمانی در مقابل بخش های اقتصادی، سیاسی، ارتباطی، جامعه مدنی و غیره از سراسر جهان پاسخگو است.البته این مساله هنوز به طور کامل اتفاق نیافتاده و بعضی از سیاستمدارهای آمریکا هم سعی کردن جلوی اینکه «اوباما اینترنت رو به جان تحویل بده» بایستن. اونها می‌گن:

ما نگران این هستیم کشورهای تمامیت‌خواه مانند روسیه و چین و ایران بتوانند جلوی داشتن یک اینترنت آزاد و باز را بگیرند […] رییس جمهور اجازه ندارد نقش پیشروی آمریکا در تضمین اینکه اینترنت محلی برای آزادی عقاید باشد را تقدیم کشورهای دیگر کند.

البته در حالت عادی اتفاقی که افتاده تاثیر خاصی روی اینترنت نمی‌ذاره چون آیکن هم سازمانی است داخل آمریکا و متعد به اجرای قوانین اون کشور. مثلا در مورد سایت کیک اس تورنت، اف بی آی آمریکا به راحتی تونست دامین cr که متعلق به کاستاریکا بود رو تعلیق کنه و این اتفاق بازهم تکرار خواهد شد.

کشورهای مختلفی در طول سال‌های اخیر دنبال این بودن که انحصار آمریکا به کنترل دامین‌های اینترنت رو به کنترلی غیرمتمرکز تر تبدیل کنن چون اصولا ایده اینترنت، ابزاری غیرمتمرکز و دور از مرکزیت بوده. این مساله هم از طرف کشورهای مدرن و دموکراتیک اروپایی پیگیری می‌شد و هم از طرف کشورهایی مثل ما که معلومه هر جا بتونن ترجیح می دن کنترل بیشتری داشته باشن (مثلا به جای فیلتر کردن یک دامین در کشور خودشون، بتونن کلا اون دامین رو از اینترنت حذف کنن یا برای خودشون بردارن).

پایان قرارداد وزارت بازرگانی آمریکا و انتقال کنترل روت زون های اینترنت به یک سازمان مستقل از حکومت ایالات متحده شاید در زندگی روزمره هیچ کس تفاوت محسوسی ایجاد نکنه ولی قدم جالبی است در خلع ید یک حکومت از قدرتی که داره،‌ فقط به خاطر پایان یافتن یک قرارداد – اونهم روی چیزی مثل اینترنت و در شرایطی که می شد هزار مدل استدلال کرد که «حالا در شرایط بحران هستیم پس فعلا…».

اکسپلویت‌های منتشر شده شدو بروکرز در هفته گذشته، واقعی به نظر می‌رسن

shadow

هفته گذشته یک خبر عجیب داشت. گروه دی شدو بروکرز اعلام کردن که بخشی از «تسلیحات سایبری» سازمان سازمان امنیت ملی آمریکا رو به دست آوردن که بخشی از اونها هنوز هم روی زیرساخت‌های مهم اینترنت کار می کنن و اونها رو به خریداری که تا فلان تاریخ بشیترین بیت‌کوین رو براشون بفرسته می‌فروشن یا در اقدامی عجیبتر اگر ۱ میلیون بیت‌کوین بگیرن، اطلاعات رو عمومی منتشر خواهند کرد.

این شیوه عجیب اعلام و فروش و انگلیسی دست و پا شکسته اطلاعیه اصلی، شک‌های زیادی درست کرد. در واقع اگر شما ۱۰۰۰ بیت کوین به این گروه هکری می‌دادین و یکی دیگه ۱۵۰۰ تا، دومی برنده می‌شد و فایل‌ها رو می‌گرفت و شما کل پول رو از دست می‌دادین! از اونطرف ۱ میلیون بیت‌کوین درخواست شده، یعنی تقریبا ۶ درصد کل بیت‌کوین‌های در حال گردش در کل جهان. بررسی حساب‌های اعلام شده نشون می‌ده که تا به حال رقم واریزی بیشتر از ۲۰ بیت‌کوین هم نبوده. اما وضع احتمالا تغییر خواهد کرد.

اینترسپت جمعه مطلبی رو منتشر کرده که طبق اسناد اسنودن تایید می‌کنه که ابزارهای نشون داده شده به احتمال خیلی زیاد واقعا بخشی از ابزارها و تسلیحات سایبری ان اس ای هستن. حداقل اسامی ابزارهایی مثل اکسترابیکن، اپیک بنانا و جت پیلو چیزهایی هستن که قبلا ازشون حرف زده شده و امکان حمله‌های موفق به برخی ابزارهای سیسکو رو دارن. همچنین در همین هفته سیسکو هم اشکال رو پذیرفته و تقریبا همه می‌تونیم مطمئن باشیم که ابزارها واقعا مربوط به ان اس ای هستن.

برای خوندن اینکه دقیقا اکسپلویت کشف شده چیه دنبال CVE-2016-6366 بگردین ولی نکته اصلی اینه که این زیرو دی خطرناک دست ان اس ای بوده بدون اینکه در موردش به سیسکو اطلاع داده بشه. همین اتفاق از طرف فایروال فورتینت که ایرانی‌ها هم ازش زیاد استفاده می‌کنن افتاده. فورتینت اعلام کرده یک مشکل امنیتی با درجه خطر بالا نسخه‌های قدیمی‌تر فایروال‌هاش رو تهدید می‌کنه. این باگ در بافر پارسر کوکی‌‌ای است که روی برد قرار گرفته و اجازه می‌ده یک حمله کننده بتونه با فرستادن یک درخواست HTTP دستکاری شده، کنترل دستگاه رو در دست بگیره. به احتمال زیاد در زمانی خیلی کوتاه اخبار مشابهی از جونیپر هم خواهیم شنید.

فعلا اینکه این گروه هکری به کجا وابسته است مشخص نیست اما چیزی که بسیار جالب شده، افشای دسترسی‌های گسترده ان اس ای به تجهیزات زیرساخت اینترنت و داشتن تسلیحات مبتنی بر زیرودی‌هایی است که نه فقط برای همگان اعلام نمی‌شن، که حتی به کارخونه سازنده هم خبر داده نشدن.

[منبع اصلی]

رادیوگیک شماره ۶۵ – اینترنت چیزها.. که به غلط بهش می گیم اشیا

در شماره ۶۵ رادیوگیک، به یکی از مباحث روز تکنولوژی می‌رسیم: Internet of Things یا همون اینترنت چیزها که البته کسانی که از «چیز» می ترسیدن بهش گفتن «اینترنت اشیاء» و ما هم به این اصطلاح اشتباه عادت کردیم. اینترنت چیزها از ارتباط دائمی همه چیز با یک شبکه، از سنسورها و از توان پردازش ابری حرف می زنه. تاریخچه و ایده مثل همیشه هیجان انگیزه ولی توهم جاروبرقی ای که به فرمان ما خونه رو جارو می زنه همه ماجرا نیست. اینترنت چیزها مسواکی است که به شرکت بیمه خبر می ده شما باید پول بیشتری بدین چون خوب مسواک نمی زنین! با ما باشین تا در یک ساعت چیز چیز کنیم و گاهی هم اشتباهی مثل باکلاس ها اشتباهی بهش بگیم «اشیاء». شماره شصت و پنج رادیو در یک ساعت نگاهی داره به IoT!

توجه: نوشته های زیر یادداشت های غیر دقیق شخصی هستن. شاید انسجام نداشته باشن. من اینها رو جلوم داشتم که تو رادیو حرف بزنم (: ولی خب اینجا هم می یارم برای سرچ و غیره…

با این لینک‌ها مشترک رادیوگیک بشین

اخبار

در اعماق

اینترنت چیزها

  • تعریف
  • دعوای اسم: «چیزها» بد نیست.. یکسری هستن به بازی کردن می گن بازی رو انجام دادن.. مثال هایی مثل اینترنت همه چیز و غیره
  • شاید در واقع بقیه اینترنت باشه.. یعنی ادامه اینترنت. فقط الان چیزهای جدیدتری دارن وصل می شن که شاید نیازی به اسم عجیب هم نداره. درست مثل اینکه قبل از هر چیز بگیم «هوشمند».
  • بعضی ها می گن یخچال و جارو برقی قراره هوشمند بشن و به بقال محل بگن که پنیر تموم شده یا قبل اومدن شما خونه رو جارو کنن -> سرشون داد بکشین که فلان پنیر رو دوست ندارین!
  • در چند سال آینده به این می رسیم… و دیگه توان خودمون برای خیلی کارها رو از دست می دیم.. مثلا سفارش پنیر به بقال (:

  • البته همین الان هم یک چیزهایی انگار هوشمند شدن. مثلا بیمه ماشین خود به خود تکرار می شه و ما نگرانش نیستیم چندان. چرا نگران پنیر و شیر باشیم؟ و اگر زیاد خرید چی؟ من مسواکم رو ماهی یکبار عوض نمی کنم.. تیغ صورتم رو هم سه ماه یکبار در حالی که اگر فرمون رو بدیم دست اینترنت چیزها… هر هفته یک تیغ برام سفارش می ده!

“the infrastructure of the information society.”

creating opportunities for more direct integration of the physical world into computer-based systems, and resulting in improved efficiency, accuracy and economic benefit;

Each thing is uniquely identifiable through its embedded computing system but is able to interoperate within the existing Internet infrastructu


تاریخچه

از مدت ها پیش پایه ها مطرح شده بود. ۱۹۸۲ توی کارنگی ملون یک ماشین تحویل کوکا کولا به اینترنت وصل شد تا بتونه بگه چند تا کوکا توش مونده

اواخر دهه ۹۰ یا بهتر بگم در واقع خود ۱۹۹۹ کوین اشتون این اصطلاح رو درست کرد و گفت IoT! اون می گفت جهانی می یاد که «در آن هر چیزی، از جمله اشیا بی جان، برای خود هویت دیجیتال داشته باشند و به کامپیوترها اجازه دهند آن‌ها را سازماندهی و مدیریت کنند. اینترنت در حال حاضر همه مردم را به هم متصل می‌کند ولی با اینترنت اشیاء تمام اشیاء به هم متصل می‌شوند». مترکز خاص اشتون روی آر اف آی دی بود و تگ زدن به چیزها (از بارکد کیو ار و دیجیتال واترمارک) که اجازه می ده کامپیوترها مدیریت مردم رو بر عهده بگیرن! البته یکسال قبل کوین کلی در کتاب قوانین نوین اقتصادی در عصر شبکه‌ها (۱۹۹۸) موضوع نودهای کوچک هوشمند (مانند سنسور باز و بسته بودن درب) که به شبکه جهانی اینترنت وصل می‌باشند را مطرح نمود.. یا توی همون ۱۹۹۹ مقاله بیل جوی از «دیوایس به دیوایس» حرف می زد.

یا مثلا به یک بقالی نگاه کنین که خودش می دونه چی فروخته و چندتا و چی باید سفارش بده و تاریخ چی گذشته! این ساده ترین فرم ها است. دقیقا می دونن چی فروش رفته و با چه سرعتی و …

و البته اسم مهمل اینترنت «اشیاء»‌هم قابل بحثه.. واقعا چرا اسمش رو تو فارسی می گیم اشیا؟ چون چیزها بده؟ خزه؟ سکسی است؟ یکسری که اصولا به بازی کردن هم می گن بازی نمودن (: اشیا یعنی آبجکت که یک کلمه خاصه… این اینترنت تینگز است یعنی اینترنت چیزها.. و سگ من معمولا جزو اشیا حساب نمی شه ولی جزو چیزها است.


کلاود

کلاود در این بحث خیلی مهمه چون چیزها نیم تونن خودشون قدرت کافی برای تحلیل دیتا هم داشته باشن. اما با بودن کلاود [کمی توضیح] کافیه هر چیز ریز بتونه اطلاعاتش رو به ابر / اینترنت تحویل بده و کل پروسس و منطق اونجا اتفاق بیافته.

د رحال حاضر گفته می شه در ۲۰۲۰ حدود ۵۰ میلیارد دستگاه به اینترنت چیزها وصل خواهد بود.


مثال های فعال فعلی چیزهایی مثل خونه هوشمند و دزگیریی که به پلیس زنگ می زنه (یا زنگ دم در ) یا ترموستات هستن.

دادن توان پروسس و سنسور به هر چیز فیزیکی. مثلا همه از مسواک عضو اینترنت حرف می زنن. یا ترازو. یا چه می دونم.. کنسرو یا خودرو یا جارو برقی. مثال برای هر کدوم و فرق اینکه هوشمند باشن یا نه و عضو اینترنت باشن یا نه. مثلا قهوه سازی که صبح قهوه رو درست می کنه یا وقتی نزدیک میشین یا خودش قهوه سفارش می ده.

و خب این روزها اتصال به اپ

یا مثلا تیغ عضو اینترنت چیزها. مثال خودم و اینکه چند ماهه عوض نکردم.

m2m

بخش مهم ارتباط ماشین با ماشین است. اینکه مسواک بدونه چند بار مسواک زدم اصلا مهم نیست. به من نشون بده هم چیز خاصی نیست ولی جذابیت اونجاست که شروع کنه به حرف زدن با یخچالم و بگه جادی امشب مسواک زده باز نشو! پایه این اتفاق وب است و اینترنت و همه جا حاضر بودن اون و بخصوص وای فای که امروزه داریم.

در واقع ما اینجا ترکیب مهم رو درست کردیم: سنسور + ارتباط + پروسس

تا اینجا از این گفتیم که ابزارهای شخصی ما دارن وصل می شن ولی انتظار می ره ابزارها همه مال ما نباشن. مثلا بحث شهر هوشمند. من چرا نباید بدونم توی فلان پارکینگ چند تا جای خالی هست یا فلان خیابون آیا ترافیکه؟ یا مثلا آیا بسته پستی من رسیده یا نه. و از این بالاتر.. ام تو ام! چرا من بدونم؟! خب ماشینم بدونه و خودش بره دیگه (: یا مثلا مثال خرید از آمازون.

یا مثلا ممکنه اصولا عمومی هم نباشه و مال اپ های دیگران باشه… یا اصولا چیزهای سوشیال. مثلا وسایل خونه شما با هم حرف بزنن و یخچالتون به همدیگه خبر بدن که چی لازمه یا اگر دارین می رین خونه فلانه خوبه فلان چیز رو بخرین بیارین!‌

این هم هست که شما ممکنه اصلا از سیستم حذف بشین. مثلا می دونیم که هند یکی از مصرف کننده های بزرگ اب جهانه. به خاطر مشکلاتش در کشاورزی کلاسیک و حروم کردن آب . یکسری سنسور توی زمین می تونن کاملا دقیقا به یک سیستم ابیاری خبر بدن که نیاز به چقدر آب در کجا هست یا مثلا داستان ۲۰۰۷ مینسوتا و فروریختن یک پل و مردم آدم ها به خاطر اشکال در صفحات فلزی پل. یکسری سنسور می تونن روی پل نصب بشن و در صورت بروز هر جور شک در سازه، به شهرداری خبر بدن. یا مثلا پل می تونه تعداد ماشین های رد شده رو خبر بده.

در مورد پوشیدنی هم گپ بزنیم و بخصوص حیوانات (:

اقتصاد

تا ۲۰۲۴ حدود ۴.۳ تریلیون دلار بیزنس خواهد بود.و در حال تغییر جهان. هم در تولید هم در مصرف هم در درک از مصرف کننده.
همزمان تغییر دهنده شکل کار. مثلا تغییر دهنده یکسری شغل ها (حداقلش کسی که انبارداری می کرد مثلا) – عده ای هم می گن در واقع تغییر شکل شغل اتفاق می افته ومثلا مثال بانکداری و ای تی ام که باعث شد حتی بانک ها پیشرفت هم بکنن و افراد بیشتری بگیرن چون راحتتر شعبه باز می کن.
انگلیس ۴۰ میلوین پوند بودجه سال ۲۰۱۵ تصویب کرد برای اینترنت چیزها.

حوزه ها

رسانه.
رسانه ها تا حد زیادی به سمت شخصی شدن پیش می رن. بیگ دیتا و اینترن چیزها اجازه می ده رفتارها و علاقمندی ها رو مستقیم تر دید و بر اساس نیازهای فردی رسانه رو تغییر داد.
محیط زیست.
هنگام صحبت از اینترنت چیزها دائما از سنسورها حرف می زنیم و کجا بهتر از محیط زیست برای داشتن سنسور. کیفیت آب، وضعیت کشت و زرع، حرکت حیوانات و خبرگیری در مورد سونامی و غیره بخشی از اینرنت چیزها هستن. بندرهایی که حرف می زنن و بادهایی که وسط اقیانوس به ما خبر می دن کجا دارن می رن و نهنگ هایی که نزدیک شدنشون به ساحل رو اسمس می زنن (: یا مثلا مزرعه هایی که خاکشون می گه چقدر آب لازم داره و سدی که به حرفش گوش می ده (:
زیرساخت.
گپ کلی در مورد مونیتورینگ و بهینه سازی
تولید
گپ در مورد پروسه و اهمیت چرخه تولید و عرضه و غیره
مدیریت انرژی
سلامت (اشاره به پوشیدنی ها)

پیاده سازی های فعلی

خیلی کشورها دارن جدی به این سمت می یان وچون احتمالا فرصت زیادی برای توسعه می ده.
کره جنوبی شهر سونگدو رو درست کرده که زیرساخت کامل هوشمند داره و تقریبا ههمه چیزش به اینترنت وصله و یک جریان دائمی داده است.
نمونه دیگه شهر سانتاندر در اسپانیا است که ۱۸۰ هزار سکنه داره و اپلیکیشنش می تونه حدود ۱۰هزار سنسور از شهر رو تحیلیل کنه.. شامل جای پارک و وضعیت محیط و برنامه های شهری و .. و حدود ۱۸هزار بار هم نصب شده. کشورهای چین و فرانسه هم نمونه های دیگه ای دارن و مطمئنا سان فرانسیسکو

مشکلات

در حال حاضر مشکل پروتکل بسیار جدی است. سامسونگ گفته تا دوهزار و نمیدونم چند صد در صد ابزارهایی که می سازه رو به اینترنت متصل خواهد کرد ولی با چه پروتکلی؟ و من چجوری باهاشون رابطه خواهم داشت؟ احتمالا رابطه من یک اپ خواهد بود ولی آیا باید یک اپ سامسونگ، یک اپ هواوی، یک اپ شهرداری تهران یک اپ خونه هوشمند و .. داشته باشم؟ و آیا توستر سامسونگم می تونه به دوش حموم خریداری شده از سد اسماعیل من وصل باشه تا وقتی که من داشتم خود رو خشک می کردم خبردار بشه که تست رو شروع کنه؟ این سیستم ها باید بتونن به همدیگه وصل باشن و توسط من کنترل بشن!

برای بخشی از این مشکل گروهی در حال هماهنگ کردن پروتکل ها هستن ولی باید ببینیم آیا سازنده ها بهشون گوش می دن یا نه. گوگل. سامسونگ و … در حال تلاش هستن.

مشکل دیگه اصولا ساختار اینترنت است و روش آی پی مرسوم ورژن چهار که خب نیاز به تبدیل شد نبه شش داره

مشکلات امنیت و پرایوسی هم هست. سنسورهایی که در تمام زندگی من دارن دیتا جمع می کنن و خواب و حضور و رفتار و غذا و سیفون دستشویی و … رو ذحیره می کنن .. حتی مصرف دستمال کاغذی و هر چیز دیگه و و این دیتا به جای دیگه ای منتقل می شه. از یکطرف کسانی که از نظر قانونی به اینها دسترسی دارن باید مشخص باشن و از یک طرف کسانی که به شکل غیرقانونی دسترسی دارن! مثال جیپ که اخیرا بود… در واقع در حال حاضر امنیت بسیار کم اهمیت گرفته شده. چه در انتقال چه در نگهداری چه در قوانین و حتی برنامه نویسی!

یک مثال مشهور از پرایوسی هم تارگت است که دختر تینیج کارت های تخفیف حاملگی می گرفت و در نهایت خود طرف معذرت خواهی کرد. یا مثلا بحث تلویزوین های هوشمند که معلوم شد همیشه داره به دستورات صوتی گوش می ده و حتی گپ های خصوصی ما رو هم گوش می ده و می فرسته برای سازنده اش تا هر جوری صحیح می دونه استفاده بشه.. حتی مثلا اینکه گوش داده بشه برای تبلیغات!

ترکیب ای او تی در مقابل بیگ دیتا بسیار خطرناک می شه. در واقع همه کارهای شخص شما رو ممکنه بدونن یا همه چیز قابل پیش بینی باشه و هیچ کس خارج از کنترل دیگران نباشه و در نهایت بر خلاف تبلیغات همه به شکلی مجبور به نمایش همنوایی با اکثریت.

در یک جنبه دیگه مادربزرگ عزیز که دستگاهی داره برای بررسی وضعیت سلامتش… چی می شه اگر کسی اونو هک کنه و ضربان قلب رو ببره بالا یا مشکلات سلامتی رو اصولا گزارش نده؟

آیا اگر من دستگاه رو خاموش کنم ، دیتا از بین می ره؟ یا همیشه می مونه؟

و البته بحث ها بزرگتر هم می شن… ما یک اسم درست کردم به اسم اینترنت چیزها که یادمون می ندازه قراره چیزها به اینترنت وصل بشن… اصل ماجرا اینه؟ نه خیر (: اصل ماجرا اینترنتی است که تمام اطراف ما رو گرفته، سنسورهایی که همه جا دارن کار می کنن.. سرویس ها و حتی آدم ها بهشون وصلن.

بحث فقط گسترش اینترنت نیست بلکه اتفاقا اصل ماجرا یک پیشرفت در سخت افزاره. جاش بورنر می گه این یک حرکت است در ادامه اینترنت. اینترنت تونست همه اطلاعات ما رو به هم وصل کنه و حالا آی او تی همه سخت افزارها رو به هم وصل خواهد کرد. و از اونطرف پروسه تولید متحول می شه و توان مصرفی.. سه هفته قبل یک کمپانی تکنولوژی ای رو معرفی کرد که توش یک وایرلس می تونه با یک باتری برای ۳۵ سال کار کنه! این در واقع اینترنت چیزها رو ممکن خواهد کرد نه بلوتوث مهمل.

البته دقت کنیم که یک خط اشتباه در اینرنت چیزها تلاش برای کوچیکتر کردن همه چیز است. دیوید رز از مدیا لب ام آی تی اپل واچ رو مثال می زنه که یک تکنولوژی اشتباه است: تلاش برای تکرار کوچیکتر تکنولوژی های قبلی. اون می گه مثال خوب از اینترنت چیزها، شمشیر بیلبو بگینز است که دو تا کاربرد داشت: دشمن ها رو نصف می کرد و وقتی اورک یا گابلینی در اطراف بود می درخشید. اینترنت چیزها چتری خواهد بود که وقتی احتمال بارون می ره، دسته اش می درخشه تا ببینین و برش دارین. در واقع بخشی از اینترنت چیزها رو قراره با تعبیر «جادو» درک کنیم.

بحث اخلاقیات هم مهمه. پایه های اینترنت روی یک چیزهایی بنا شده که باید حفظ بشن. مثلا من باید بدونم چه کسی از اطلاعات من استفاد همی کنه یا بهش دسترسی داره. مثلا باید بدونیم که باز بهتر از بسته است و اطلاعات من باید بین دستگاه هام قابل انتقال باشن نه اینکه اگر یک یخچال فلان خریدم تا آخر عمرم باید یخچال فلان بخرم [توضیحات خودم در هر دو مورد]. دیتاهای عمومی باید عمومی باشن (مثلا ترافیک). افراد باید حق پرایوسی روی دیتا داشت باشن و باید بتونن دیتاهاشون رو بگیرن یا حذف کن. یا لازمه پولی که از دیتای جمع شده من جمع می شه به خودم هم برسه…

خلاصه… داستان اصلی اینه که قصه صبح بخیر گفتن در دستشویی و گپ زدن با یخچال رو فراموش کنین. اینکه ابزارها سنسور دارن الزاما معنی شون این نیست که قراره به من و شما خدمت کنن و این چیزها. رادیوگیکی باشین و بدونین تکنولوژی رابطه داره با جامعه و درک من از جامعه است که به درکم از تکنولوژی شکل می ده. دید انتقادی رو حفظ کنین تا تکنولوژی واقعا در خدمت خودمون بمونه نه یک چیزی که ما برده اش بشیم یا کسانی که کنترلش می کنن، ما رو کنترل کنن. گیک ها! متحد بشین شبح آی او تی کره زمین رو فرا گرفته!

تبریک و تقبیح

تقبیح اول برای خودم و رادیو گیک. دو شماره قبل در مورد درگاه‌های پرداخت آنلاین حرف زدم و گفتم یکسری علیه یکسری یکسری کارها می کنن که انگار طوری شده، ولی تحقیقم در موردش کافی نبود و ظاهرا مطلب اشتباه یا غیر دقیق بود. هنوزم نمی دونم ولی این رو می دونم که چیزی که نسبتا دقیق نمی دونیم رو بهتره نگیم (: شرمندگی نسبت به همه درگاه های پرداخت آنلاین و بخصوص مسعود لطفی عزیز که هر دو سری پیگیری کرد.

نامه ها

سلام جادی عزیز
جواد یا همون Jalal.LinuX هستم.
من آرشیو کامل پادکست هاتو توی سایتم گذاشتم به آدرس زیر
hidevs.ir/#!/radiogeek

موسیقی

  • آهنگ‌های جنوبی / بندری به پیشنهاد حامد ذاکری هستند که بازخوانی آهنگ‌های قدیمی هستن
  • به پیشنهاد پوریا Guns N’ Roses – Sweet Child O’ Mine
  • ‌آهنگ snow white به پیشنهاد میلاد
  • یه چیزی بده به من
  • مهندس موسوی که از بودن دروغ حرف زدن و شرافتمندانه سر حرفش ایستاده (:

اکثر چیزها در مورد باگ نافرم جی لیب سی

glibc-exploit

یک باگ جدید و جدی توی glibc دیده شده. یک باگ خیلی جدی. کتابخونه سی گنو یا همون glibc یکی از بخش‌های بسیار مهم اکثر توزیع های لینوکس است. حالا یک باگ توی این کتابخونه هزاران برنامه لینوکس رو تهدید می کنه. این باگ نسبتا شبیه باگ سال گذشته GHOST است (CVE-2015-0235) که اجازه می داد از راه دور کدهایی روی ماشین اجرا بشه.

باگ فعلی (CVE-2015-7547) یک باگ سرریز استک (stack based buffer overflow)‌ است در بخش کلاینت دی ان اس glibc که وظیفه تبدیل کردن آدرس های قابل فهم برای آدم ها (مثلا jadi.net) به آی پی رو داره.

کلیت ماجرا

این مشکل وقتی دیده می شه که یک دستگاه دارای باگ سعی کنه به یک DNS سرور بدطینت ریکوئست بزنه و نتایج رو توی حافظه بذاره (تابع getaddrinfo). چیزی که دی ان اس سرور بدخواه بدجنس بر می گردونه ممکنه حاوی کدی باشه که کار مخربی می کنه و نشستنش توی حافظه – در سطرح تئوری – باعث اجراش خواهد شد. البته در عمل این اتفاق تقریبا غیر ممکنه چون انواع مکانیزمهای امنیتی جلوی اونو خواهند گرفت (شامل ASLR). حالت بعدی اینه که حمله کننده به شکل مرد میانی درخواست های دی ان اس رو خودش بر می گردونه و بینشون کدهای نامناسب درج می کنه.

چه کسانی مبتلا هستن

تقریبا هر سیستم لینوکس جدید با این مشکل مواجه خواهد بود. این باگ از جی لیب سی ۲.۹ به بعد ظاهر شده و در نتیجه هر برنامه ای که با استفاده از توابع glibc به شبکه دسترسی پیدا می کنه ریسک داره. نمونه ها؟ اس اس اچ،‌ سودو و کرل. لیست کامل می خواین؟ تقریبا غیر ممکنه. بهتره تصور کنین اکثر برنامه های مرتبط با شبکه و حتی زبون های پایتون، پی اچ پی، روبی، … و البته برنامه‌های بیت کوین.

مشکل دقیقا کجاست

محققین گوگل می گن که بخشی از glibc که به دی ان اس ریکوئست می زنه مشکل داره. این مساله به جی لیب سی تذکر داده شده و اصلاح شده و همه باید آپدیت کنیم… حداقل در طول هفته آینده دائما آپدیت کنیم. مهندسین گوگل می گن:

جی لیب سی ۲۰۴۸ بایت برای استک الوک می کنه تا جواب دی ان اس از _nss_dns_gethostbyname4_r رو توش ذخیره کنه. جلوتر در تابع send_dg و send_vc اگر جواب بزرگتر از ۲۰۴۸ بایت باشه، بافر جدیدی درست می شه و پوینترها آپدیت می‌شن. در شرایط خاص ناهماهنگی بین بافر استک و تخصیص دهی جدید هیپ پیش می یاد و نتیجه این می شه که بافر استک برای ذخیره کردن جواب دی ان اس استفاده می شه، حتی در مواقعی که جواب بزرگتر از اندازه این بافر باشه. این مساله موجب اورفلوی بافر استک می شه.

(فارسی گفتن اینها عجیب می شه. متن اصلی اینجاست).

اثبات شده

سه شنبه مهندس گوگل فرمین سرنا یک اکسپلویت برای اثبات این مساله منتشر کرد. با استفاده از این اثبات مفهوم می شه چک کرد که آیا برنامه های ما در مقابل این مشکل صدمه پذیر هستن یا نه (هستن!).

اصلاح

مهندسین گوگل با همراهی ردهت یک پچ برای حل مشکل ارائه کردن. اما مساله اینه که حالا تک تک توزیع‌ها باید glibc خودشون رو آپدیت کنن و هر برنامه ای که استاتیک این کتابخونه رو لینک کرده، باید خودش رو آپدیت کنه. مثل همیشه در دنیای لینوکس وقتی مشکلات دیده بشن سریعا حل می شن و من و شما فقط کافیه آپدیت کنیم. پس در روزهای آینده حواستون به آپدیت ها باشه منتظر آپدیت های زیاد باشین. همچنین اگر از سروری محافظت می کنین که به اینترنت وصل نیست، دردسرهای نسبتا زیادی منتظر شما خواهد بود چون آپدیت کردن این سیستم‌ها معمولا دردسره و در مواردی شاید نتونین به سادگی فقط glibc رو آپدیت کنین.

آیا من و شما در خطریم؟

در حالت معقول نه. کامپیوترهای ما به دی ان اس سرورهای بدجنس وصل نمی شن و اگر از لینوکس هایی به روز استفاده کنیم مشکل همین الان هم تا حدی برطرف شده و فقط در روزهای آینده باید آپدیت‌ها رو جدی بگیریم همچنین اندرویدها به جای glibc از بیونیک استفاده می کنن که این مشکل رو نداره و اکثر لینوکس های درونکار( امبدد؟ )‌ هم مشکلی نداره چون اکثرا uclibc هستن.

نکته باقیمانده

به سادگی در کامنت ها مطرح کنین و سعی می کنم در سطح سواد و وقت جواب بدم و بقیه رو هم می سپریم به دوستان باسوادتر در کامنت ها (:

دلیل واقعی بسته شدن فریندفید از زبون موسس این شبکه اجتماعی فوق‌العاده

ff

فریند فید یکی از بهترین شبکه‌های اجتماعی بود. خوشبختانه توسط فیسبوک خریده و کنار گذاشته شد. دیگه نه بهش فیچر اضافه می شد و نه جایی تبلیغ می شد. یک جای متروکه. فریندفید برای من مثل یک جزیره گمشده یا خانه متروکه بود که دیگه آدم جدیدی توش نمی‌یاد. من یک شب توی اتاق زیرشیروونی یک کشور بارونی و سرد پیداش کردم و تا نصفه شب باهاش شاد بودم. بعدها هم هربار رفتم فریند فید، برام مثل یک مهمانی بود. لحظاتی که دوست داشتم با آدم های دوست داشتنی گپ بزنم و بخندم.

البته خیلی‌ها هم خاطراتی بد از فریندفید به جا گذاشتن. احمدی نژادی‌ها فکر می‌کردن بهترین جا است که توش دنبال دشمن و غیره بگردن و لو بدن و این ظاهرا باعث مجموعه‌ای از بدترین خاطرات خیلی‌ها شد و دوستانی که دیگه هیچ وقت ندیدیمشون. خوشبختانه اون دوران من فریندفید نمی‌رفتم.. طبق عادت قدیمی من فقط بعضی سفرها مهمان فرندفید بودم و فرندفید همیشه برام حکم یک مهمونی رو داشت که تعجب می‌کردم چرا هنوز دقیقا همون آدم های قدیم توش هستن، نه بیشتر و نه کم‌تر.

اما همونطور که می‌بینین هیچ کدوم از «فریندفید»های این مطلب به جایی لینک نمی‌شن. حدود یکسال قبل فیسبوک تصمیم گرفت فریندفید رو تعطیل کنه. قبل از اون هم کاملا حس می‌شد که گاهی سرچ از کار می افته و تا وقتی یکی تو فیسبوک سرور رو ریبوت نکنه، بر نمی‌گرده. اما بالاخره یک جایی فیسبوک رسما اعلام کرد که فلان تاریخ فریندفید خاموش خواهد شد. بازم رفتم اونجا و بازم همه بودن… روزها بعد از تاریخ اعلام شده برای خاموش شدن فریندفید هنوز روشن بود و توش می‌خندیدیم که «خاموش کنین بریم سراغ کارمون دیگه!»

حالا توی شبکه کورا، یکی پرسیده «فریند فید چرا تعطیل شد» و یکی از موسسین فریندفید بالاخره پاسخ واقعی رو داده:

برت تیلور، از موسسین فریندفید. مردم کمی ازش استفاده می کردن و اکثر مهندس‌هایی که می‌دونستن چطوری کار می‌کنه سراغ پروژه‌های یا شرکت‌های دیگه رفته بودن. یک جایی زحمت فنی بالا نگه داشتن سرورها دیگه ارزشش رو نداشت.

فکر می‌کنم فیسبوک فوق العاده بود که تا همین‌جا هم روشن نگهش داشت. روشن نگه داشتن فریندفید هیچ دلیل دیگه ای به جز احترام گذاشتن به کاربران و علاقمندانی که هنوز اونجا بودن نداشت. شرکت‌های خیلی کمی که شرکت دیگه ای رو بخرن حاضرن چنین کاری بکنن و این چیزی بود که همه تیم نسبت بهش عمیقا احساس احترام کردن.