جادی

مودب و سریع و مهربون چند تا نکته رو راجع به جریان استخر بگم.

۱) یکبار چند سال پیش یک هموطن در دانشگاهی در آمریکای شمالی سینه یک خانمی رو توی آسانسور لمس کرده بود. بعد که اعتراض کرده بودن تو دادگاه گفته بود که هر مرد طبیعی ای اینکار رو میکنه. اون موقع غر زدیم که بابا این مریضی است طبیعی نیست، گفتن نگین اینطوری گناه داره پسره بعدا آبروش می ره. ما هم سعی کردیم بگیم بابام جان، آبروی یک کشور رو می بره وقتی می گه این رفتار طبیعی آدم است و حتی نمی پذیره که کارش اشتباه بوده. برای این مطلب هم لطفا کامنت بامزه نذارین در باب طبیعی بودن. منظور رو بگیرین. درسته که یک عمر به ما می گن مرد یک موجود وحشی است که باید سعی کنه غریزه اش رو کنترل کنه و اگر زن ببینه وحشی می شه ولی این واقعا در این دنیا درست نیست (:

۲) من اینهمه سفر رفتم تا به حال استخر مختلط نرفتم به جز توی هتل و اونهم ساعت های خلوتش یا ریزورت که کلا جریان همینه. حتی به نظرم کمی شرایط عجیبی باشه برام مایو بپوشم برم توی یک فضای نسبتا کوچیک مختلط.. عجیب بود برام که اینقدر با بدنشون (و بدن بقیه) راحتن. کاش حداقل یک ساحل تو ایران رو هم مختلط می کردن که زن و شوهر نوبتی نرن دریا.

۳) سفارت ایران در برزیل گفته که این جریان یک سوء تفاهم ناشی از تفاوت فرهنگی است. درسته اینجا چیزهای عجیبی – مثلا ازدواج با بچه زیر هجده سال – جزو قانونه ولی واقعا قبول کنین جزو فرهنگمون نیست بریم تو استخر زیرآبی بریم دست بزنیم به بچه ها. اگر دروغه که خب بگین دروغه اگر هم راسته بهتره بگین «خیلی بد بوده و رسیدگی می کنیم حتما و متاسفیم که پیش اومده و سابقه هم نداشته و حتما شدیدا پیگیری خواهد شد». برگردین به همون نکته ۱. اگر بگیم کلا فرهنگ ما همینه بدتر و بدتر می شیم. اگر راسته آبروی همه رو نبرین به خاطر بیماری عده ای.

۴) من دوبی پارک آبی رفتم. همیشه دوست داشتم یک چیزی بنویسم در این باب که یک عمر به ما دروغ گفتن که اگر زن لخت ببینین وحشی می شین یا همه دنیا مشغول فسادن. مجردها و خانواده ها از عرب محجبه تا اروپایی بیکینی پوش اومده بودن و راحت و آسوده از پارک آبی لذت می بردن. درست مثل ورزشگاه فوتبال که حضور زنان هیچ ضرری نداشت. یادم افتاد که ایران تنها کشور جهان با حجاب اجباریه.

۵) سفارت ایران گفته که اصلا چنین چیزی سابقه نداشته پس راست نیست. خب پدر من حتی اگر سابقه نداشته و طرف الگوی تقوا هم بوده و مثلا به زور بردنش استخر مختلط بهش کارت ورودی دادن بازم بالاخره یکبار می تونه اولین بار باشه دیگه. من بهش می گم «استدلال نسبت زمانی در فوتبال: چون در ده دقیقه اول صفر گل خوردیم پس می شه تناسب بست که در نود دقیقه هم صفر گل می خوریم». می شه گفت طرف بار اولش بوده و باید تخفیف در مجازات بگیره ولی نمی شه گفت چون قبلا این جرم رو نکرده پس هیچ وقت نمی کنه.

۶) یکبار مدیر آفریقای جنوبی ما توی تهران با لغت های F دار فحش داد. شکایت کردیم و ایده خارجی ها این بود که تفاوت فرهنگی است و خیلی هم وحشتناک نبوده. ایده ما این بود که حتی اگر تفاوت فرهنگی است و وقتی اینجاست باید فرهنگ ما رو رعایت کنه. اون برزیلی که می یاد اینجا مایوی برزیلی اش رو نمی پوشه پس حتی اگر فرهنگ ما انگول بچه ها باشه اونجا نباید اینکار رو بکنیم.

۷)‌ الان ما دیگه رسیدیم به جایی که به برزیلی ها می گیم مسایل جنسی رو سخت نگیرن؟ اوکی! (((: ولی حداقل متوجه بشیم که مشکل اونها با خود جریان جنسی نبوده بلکه داستانی براشون سنگین تموم شده که که می گن از نظر اونها آزار جنسی است به کودک. طبق داستان اونها طرف مقابل نه اینو می خواسته و نه حتی اگر می خواسته به خاطر سن زیر هجده سال اجازه داشتیم بریم سراغش.

و نکته هشتم:

تجاوز، تحقیر و آزار شما رو جذاب نمی کنه آقایون عزیز
اگر دوست دارین با دختری دوست بشین و حتی «ازش» لذت ببرین و مشکل اخلاقی هم با این ندارین و طرف هم بالای هجده سالشه با دست رسوندن تو خیابون، طرف با خودش فکر نمی کنه «وای تحریک شدم برم با این دوست بشم» بلکه خودش رو جمع می کنه و تا جایی که می تونه از شما فاصله می گیره. با به زور بوسیدن یک نفر باعث نمی شه طرف به شما کشش پیدا کنه بلکه باعث می شه هر جا شما هستین دیگه نیاد و گارد دفاعی داشته باشه. اگر هم می خواین با کسی باشین سعی کنین جلب اعتماد کنین و مهربون باشین و خواستنی. حتی مریض های جنسی که دنبال بچه ها هستن هم یک ون می خرن کمی خوشگلش می کنن توش آبنبات میذارن و با خنده به بچه های توی خیابون تعارف می کنن (که بعد معلوم می شه بچه هه تحت نظر اف بی آی است و پلیس دمار از روزگارشون در می یاره)… نمی گم اینکار رو بکنین ولی نکته رو بگیرین: آزار دادن کسی باعث نمی شه یکهو تحریک بشه و بیاد از شما درخواست هماغوشی کنه. اون مال داستان های مریض یک عده مریض است.

می دونم خیلی چیزها گفته نشده. امیدوارم روزی باشه که بشه با خودسانسوری کمتری حرف زد (: فعلا بریم سراغ این چیپس که این بغله منتظره در نقش ناهار امروز ظاهر بشه (:

آی تی لاین بهم گفت از این احتمالا خوشم می یاد و خب واقعا هم خوشم اومد:

توپک داره با اسنوپ داگ رو صحنه می خونه (: از چیش ممکنه خوشم بیام؟ از تاریخش! کنسرت دو روز قبل است در حالی که توپک ده پونزده سالی است که کشته شده..

بعله.. تصویر دو بعدی ای که به خوبی ساخته شده، روی یک آینه انداخته شده و بعد روی یک ورق بسیار نازک فیلم که مثل یک پرده نامرئی عمل می کنه بازتابیده شده تا به مردم اجازه بده که کنسرت مشترک توپک و اسنوپ داگ رو تماشا کنن.

احتمالا باید منتظر کنسرت های مایکل جکسون و بقیه هم باشیم. البته ظاهرا نیازی هم نیست که «هنرمند» حتما زمانی واقعا موجود بوده باشه. مثلا همین الان این خانم در ژاپن کلی طرفدار داره بدون اینکه اصولا در هیچ دوره ای از تاریخ حضوری فیزیکی در جایی داشته باشه.

تبصره: بعله! این از نظر فنی هولوگرام نیست و فقط یک تصویر دو بعدی خوبه. ولی باحاله. اما آیا حاضرین پول بلیت کنسرت رو بدین و بعد برین هولوگرام بهرام رو ببینین؟

لینک اصلی ویدئویی که ازش استفاده کردم

من سرم شدیدا با کار شلوغه ولی علی الحساب شما این رو داشته باشین:

قفسه سیار کتابخونه عمومی لس آنجلس آمریکا در سال ۱۹۲۸ است برای سرویس دادن به بیمارانی که نمی تونن از تخت بیان بیرون.

منبع

در بخش کامنت های مطلب نقدی بر برنامه بی بی سی در مورد جریان انتشار سه میلیون کارت اعتباری ، همایون گفته بود که:

درود. کارهای آماری جالبی میشه با داده‌ها انجام داد. به عنوان مثال احتمال این که آدمها تاریخ تولدشون رو به عنوان رمز انتخاب کنن بالاست. به دنبال ۱۳۶ بگردبن در فهرست رمزها و مقایسه‌اش کنین با هر عدد ۳ رقمی دیگه‌ای. (۱۳۷ و ۱۳۵ و ۱۳۴ هم تعدادشون بالاست). من اگه دنبال دزدی بودم از اینجا شروع میکردم.

خب ایده بسیار جالبیه و من هم امروز یک ساعتی وقت اضافی دارم برای دستگرمی لینوکس و برنامه نویسی و نوشتن یک مطلب در مورد چرا لینوکس رو دوست دارم و همینطور دادن فرصت به کسانی که می خوان مهارت های عملی خودشون توی خط فرمان رو بالا ببرن و مثل یک هکر، به ابزارشون مسط باشن.

اگر شما علاقه ای به خط فرمان یا حوصله اش رو ندارین و فقط نتیجه کار رو می خواین… سریع اسکرول کنین پایین تا برسین به نمودارهای آخر (:

اگر هنوز با من هستین بگم که اینکارها دقیقا به همین ترتیب انجام شدن و مطمئنا روش های بهتری دارن…. در اصل شما دارین چرک نویس رو می خونین تا ببینین قدم ها چطوری برداشته شدن.

در قدم اول همه صفحات بانک تجارت رو باز می کنم، با ctrl+A متنشون رو کپی می کنم و توی یک ادیتور متنی paste می کنم. من توی لینوکس برای اینکار از gedit استفاده کردم که ادیتور ساده و دم دستی گنوم است… مشخصه که اگر توی ویندوز بودم خود این یک ماجرا بود که کدوم ادیتور ممکنه بتونه این پیست رو قبول کنه و آخ نگه.

به خاطر کپی پیست من فقط متن های توی صفحه ها رو دارم… چیزهایی مثل این:

با یک دستور تمام خط هایی که توشون + هست رو جدا می کنیم. اینها خط های حاوی پسورد هستن:

grep "+" all_tejarat.txt > only_hesab_and_pass

اوه اوه! شد این:

و ادیتور توی باز کردنش یک آخ ملایمی گفت (سی ثانیه ای طول کشید تا باز بشه) چون دوستمون حتی یک انتر هم نزده و در نتیجه با خطوطی طرف هستیم که یک میلیون کاراکتر در هر خط نوشته شده‌ (: قاعده طبق گفته خودش اینه:

رمز مخفي , شماره کارت + رمز مخفي , شماره کارت + رمز مخفي , شماره

پس من برای راحت کردن کارم، همه + ها رو تبدیل می کنم به سر خط:

jadi@jubung:~/Desktop$ sed -e "s/\s+[+]*\s*/\n/g" only_hesab_and_pass > har_password_yek_khat
jadi@jubung:~/Desktop$ head har_password_yek_khat 
رمز مخفي , شماره کارت
رمز مخفي , شماره کارت
رمز مخفي , شماره کارت 6273531000000002,73251531609013
6273531000000087,42984601252954
6273531000000105,90683196772477 6273531000000145,14810051866743
6273531000000146,61558146155078
6273531000000150,14869351127492 6273531000000151,87078051710776
6273531000000201,17221491685028
6273531000000222,32833487680537 6273531000000232,06865382135692
6273531000000232,69595659033276

راستش درست نفهمیدم چی شد! درست کار نکرد ولی بد هم نبود… حالا یک قدم دیگه باید تیکه تیکه کنم این فایل رو. فاصله ها رو به سر خط تبدیل می کنم‌ (:

jadi@jubung:~/Desktop$ sed -e "s/ /\n/g"  har_password_yek_khat > har_password_yek_khat_2
jadi@jubung:~/Desktop$ head -20 har_password_yek_khat_2 
رمز
مخفي
,
شماره
کارت
رمز
مخفي
,
شماره
کارت
رمز
مخفي
,
شماره
کارت
6273531000000002,73251531609013
6273531000000087,42984601252954
6273531000000105,90683196772477
6273531000000145,14810051866743
6273531000000146,61558146155078

و حالا همه چیز مرتبه. فقط باید پسوردها رو جدا کنم. خط هایی که توشون , هست رو جدا می کنم و می دم به یک دستور دیگه که در هر خط، اعداد اول خط تا رسیدن به کاما رو حذف می کنه. پس می مونه فقط پسوردها. می تونین نگاه کنین که چطوری با | خروجی یک دستور رو دادم هب ورودی دستور بعدی:

jadi@jubung:~/Desktop$ grep  ".," har_password_yek_khat_2 | sed "s/^.*,//" > all_passwords
jadi@jubung:~/Desktop$ head all_passwords 
73251531609013
42984601252954
90683196772477
14810051866743
61558146155078
14869351127492
87078051710776
17221491685028
32833487680537
06865382135692

حله (: ببینیم چند تا پسورد داریم:

jadi@jubung:~/Desktop$ wc -l all_passwords 
118499 all_passwords

صد و هجده هزار عدد چهارده رقمی داریم که پسوردها توشونه. حالا می ریم سراغ بررسی نظریه اصلی:

مردم احتمالا سال تولدشون رو به عنوان پسورد می ذارن.

پس ما کافیه در این اعداد که داریم پراکندگی های مختلف عددهای چهاررقمی رو پیدا کنیم و ازشون یک نمودار بکشیم. برای اینکار یک برنامه کوچیک می نویسم. البته اصطلاحی هست که می گه برنامه بزرگی که کار می کنه روزگاری برنامه کوچیکی بوده که کار می کرده. با همین ایده اول یک برنامه کوچیک می نویسم و چکش می کنم:

#!/usr/bin/perl

while ($userinput =  ) {
	chomp ($userinput);
	for($i = 0; $i <= 10 ; $i++) {
		print  substr $userinput, $i, 4;
		print "\n";
	}
}

این برنامه ورودی رو می خونه و قسمت های چهار رقمی رو ازش جدا می کنه:

jadi@jubung:~/Desktop$ echo "73251531609013" | ./find_numbers.pl 
7325
3251
2515
5153
1531
5316
3160
1609
6090
0901
9013

درست کار می کنه پس برنامه رو کامل می کنم:

#!/usr/bin/perl

@passes = ();
for($i = 0; $i <= 9999 ; $i++) {
	$passes[$i] = 0;
}


while ($userinput =  ) {
	chomp ($userinput);
	for($i = 0; $i <= 10 ; $i++) {
		$thispass = substr $userinput, $i, 4;
		$passes[$thispass] += 1;
	}
}

for($i = 0; $i <= 9999 ; $i++) {
	print $i, ",",$passes[$i],"\n";
}

این برنامه همه ورودی رو می خونه و از هر خط همه پسوردهای محتمل رو خارج می کنه و می شمره و می ره سراغ خط بعدی و در نهایت می گه هر عدد چند بار ممکن بوده به عنوان پسورد انتخاب شده باشه. بعد از اجرا خروجی اش چیزی شبیه اینه:

jadi@jubung:~/Desktop$ cat all_passwords | ./find_numbers.pl  > all_passwords_charts
jadi@jubung:~/Desktop$ head all_passwords_charts 
0,163
1,150
2,135
3,122
4,137
5,141
6,123
7,138
8,122
9,133

حالا که اینها رو داریم کافیه بریم سراغ برنامه LibreOffice برای کشیدن نمودارها. مثلا این نمودار اول است:

دیده می شه که یک جاهایی پیک داریم. بذارین یک سورت هم بکنم به ترتیب فراوانی و یک نمودار دیگه از صد تا از پرکاربردترین ها بکشیم ببینیم چی در می یاد.

اوه! نظریه دوستمون تقویت شد: مردم از سال تولد برای پسوردها استفاده می کنن (: واضح بود ولی خب از این بازی لذت بردیم و تازه یک نظریه رو هم هرچند کم،‌ تقویت کردیم. همینطوره ترکیب های «خوش دست» روی کیبورد (:

نظرتون چیه برای اختتامیه یک آمار هم بگیریم از تعداد ارقام؟ مشخصه که یک تغییر کوچیک در برنامه است فقط:

#!/usr/bin/perl

@passes = ();
for($i = 0; $i <= 9 ; $i++) {
	$passes[$i] = 0;
}


while ($userinput =  ) {
	chomp ($userinput);
	for($i = 0; $i <= 13 ; $i++) {
		$thispass = substr $userinput, $i, 1;
		$passes[$thispass] += 1;
	}
}

for($i = 0; $i <= 9 ; $i++) {
	print $i, ",",$passes[$i],"\n";
}

و نتیجه:

jadi@jubung:~/Desktop$ cat all_passwords | ./find_numbers.pl  > all_digits
jadi@jubung:~/Desktop$ cat all_digits 
0,157054
1,180318
2,169604
3,175258
4,166898
5,169252
6,162562
7,158727
8,160099
9,159214

هاه.. می بینین که احتمال استفاده از ۷ و ۹ پایینه (این رو قبلا هم شنیده بودم) و احتمالا استفاده از یک و سه بالا (: توجه داریم که در صورت درست بودن الگوریتم اعداد رندم استفاده شده برای «مخفی کردن» پسوردها، یک نویز سفید اون پایین داریم که احتمالا مساوی پخش شده.

دیشب برنامه شصت دقیقه بی بی سی فارسی به سراغ آقای خسرو زارع پر سر و صدا رفت و چند دقیقه ای باهاش حرف زد. اینکه به سرعت طرف رو پیدا کردن و آوردن برنامه به عنوان یک کار خبری خوب بوده ولی از بی بی سی انتظاری خیلی بیشتر می‌رفت.

آقای زارع با افتخار توی برنامه نشست و صحبت کرد بدون اینکه از سابقه کارش حرفی زده بشه یا بعدش یک کارشناس امنیت نظر بده در مورد حرف هاش. بذارین قبل از بررسی کار بی بی سی خود جریان رو مرور کنیم:

• آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است. درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.
• آقای زارع توی وبلاگش می گه که با این اطلاعات به سراغ مسوولین بانک ها رفته و درخواست کرده که به ازای هر پسورد که بهشون بده بهش پول بدن. اونها گفتن که اینکار رو قبول ندارن ولی حاضرن در مقابل نشون دادن محل نشت اطلاعات هزینه کنن. معامله صورت نگرفته و آقای زارع چاره رو در این دیده که از کشور خارج بشه و اطلاعات رو منتشر کنه. آیا اگر بهش پول می دادن الان با همون دسترسی که داشت بر اساس نیاز مالی هر روزش یکسری پسورد می داد و پولشون رو می گرفت و زندگی ادامه پیدا می کرد؟
• چیزی که من از صحبت ها و شنیده ها درک کردم این بود که پسوردها از از یک بانک اطلاعاتی که افراد مختلفی بهش دسترسی دارن درز می کنه. قبول نکردن پیشنهاد نفوذ اخلاقی به بانک و نشون دادن محل نشت پسوردها و در مقابل درخواست پول در مقابل پسوردهای کارت ها این حدس رو تقویت می کنه. به هرحال این حدس ممکنه درست نباشه ولی اگر درست باشه معنی اش اینه که شرکت مورد نظر کاملا مبتنی بر اعتماد به افراد و مشاوران کار می کنه. این کاملا اشتباهه ولی کسانی که به این بانک اطلاعاتی دسترسی دارن و اطلاعاتش رو کپی می کنن هم کارشون شدیدا غیراخلاقی است، بخصوص اگر شروع کنن به خاطر داشتنش درخواست پول بدن
• آقای زارع می گه پسورد رو بین ده رقم دیگه مخفی کرده و در پسورد قابل استفاده نیست. این کاملا اشتباهه. پایینتر در این مورد حرف می زنم. به نظر من اینکار شدیدا تجاوز است به حریم خصوصی افراد.
• ایشون بعد از اینکه با مدیر شرکت به مشکل برخورده و نتونسته از بانک ها هم به خاطر هر پسوردی که داره پول بگیره به خارج رفته و پسوردها رو لو داد و مدعی شده که باید مجامع جهانی ازش حمایت کنن یا مردم بهش کمک مالی کنن؟!! حمایت از کی؟ کسی که پسوردهایی که بهشون دسترسی داشته رو یکضرب منتشر کرده روی وب ؟ اینکار در قانون ایران و هر جایی از دنیا که قانونی مربوط به حفاظت اطلاعات، حریم خصوصی، نفوذ به اطلاعات غیر مجاز، انتشار اطلاعات محرمانه و … داشته باشه جرمه و جرم سنگینی هم هست. نظر شخصی ام اینه که هر قاضی ای حکم خواهد داد که این آدم رو به ایران پس بدن. از این جریان ناراحت می شم چون می دونم تو ایران عادلانه باهاش رفتار نمی شه.
• حرکت بی بی سی در بعد از مصاحبه با آقای زارع بسیار ضعیف بود. کسی که به وضوح مجرم است نباید بیاد توی تلویزیوین یک خبرگزاری و یکطرفه حرف بزنه و بعدش هم یک نفر در این مورد صحبت کنه که چقدر مهم است که پسوردها رو عوض کنیم هر چند وقت یکبار و توصیه های عمومی امنیتی بکنه – این توصیه ها بسیار لازمن و خوب بود همراه این خبر می بودن ولی به شرطی که یک منتقد یا متخصص هم در بعد از توضیحات یکطرفه و گمراه کننده آقای زارع، صحبت می کرد. من از رسانه و قواعد آوردن آدم ها توش سر در نمی یارم ولی به سادگی می فهمم که اگر به خاطر ابعاد خبر و نزدیکی اش به تک تک ما ایرانی ها این آدم لازم بود بیاد تو تلویزیون، بعدش باید یک متخصص امنیت یا یک نفر که حقوق سایبری بدونه میومد و صحبت می کرد و نظرات مخالف رو هم می گفت. الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست. پایینتر حرف می زنم.
• آقای زارع خودش مسوول این برنامه بوده! اگر هم مشکلی هست مستقیم باید به خودش برگرده! این رو چرا کسی نمی گه؟ درسته که توی شرکت مدعی مشکلات متنوع و عدم همکاری و فساد و غیره است ولی مثل اینه که من کلیدساز باشم و بعد که کل کلیدهای شهر رو نصب کردم بگم «این قفل ها به یک روشی که من می دونم قابل باز شدن هست دوستان» و ادعا کنم که همه باید با من مهربون باشن و بهم باج بدن تا نرم از خونه شون دزدی و در ضمن رییس قبلی من هم خیلی آدم بدیه

اما گفته بودم یکی دو تا از نکات رو کاملتر توضیح می دم… اول اینکه آیا این آدم حریم خصوصی افراد رو نقض کرده و‌آیا این اطلاعات منتشر شده قابل استفاده و دوم صحبت در مورد خیرخواه بودن این آدم.

حریم خصوصی آدم ها توسط این آدم نقض شده

پسوردها قابل پیدا کردن هستن. این «متخصص آی تی» باید قبل از انجام چنین کار بزرگی به این فکر می کرد که داره یک پسورد چهار رقمی رو بدون فاصله انداختن بین عددهاش «لای» یک عدد ده رقمی «مخفی» می کنه. یعنی چی؟ یعنی مثلا اگر پسورد من باشه 1111 اون به شکلی مخفی نوشته 5555511115555. درسته که الان من و شما راحت می بینیمش ولی اگر کسی ندونه چی؟ خب اگر کسی پسورد دقیق رو ندونه به راحتی می دونه که پسورد من هست 5555 یا 5551 یا 5511 یا 5111 یا 1111 یا 1115 یا 1155 یا … و ده حالت بیشتر نداره! یعنی احتمال درست بودن اولین حدس ۱۰٪ است و چون طرف سه تا حدس می تونه بزنه احتمال درست بودن یکی از حدس ها (با ضریب اشتباهی کوچیک) ۳۰٪ است. به عبارت دیگه یک دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره. دقت کنین که دزد روی شما تمرکز نکرده که حتما از کارت شما پول برداره بلکه کارت های مختلف رو امتحان می کنه و طبق محاسبات بالا از نظر آماری می تونه از یک سوم این کارت ها (سی درصدشون) یعنی تقریبا از یک میلیون کارت پول برداره.

این محاسبه فقط جنبه آماری داره. مطمئنا جلوی اینکار همین الان گرفته شده. شماره کارت من بین این کارت ها نبود ولی اگر هم بود امکان عوض کردن پسورد رو الان نداشتم و به هیچ وجه هم نگرانش نبودم چون می دونستم در عمل اتفاقی نمی افته. این بحث فقط به این سمته که این روش «مخفی کردن رمز چهار رقمی در یک عدد چهارده رقمی» بسیار بچه گونه است. قول هم می دم اگر این بخش رو یک متخصص آمار بازنویسی کنه فقط با داشتن چند پارامتر کوچیک مثل احتمال استفاده بیشتر از یک رقم خاص در پسورد (پسورد شما توش شش یا دو داره؟ (; )) می تونست احتمال حدس درست عدد پسورد در یک عدد چهارده رقمی رو بالاتر هم ببره.

در ضمن ! بحث فقط بانک نیست. آدم ها معمولا پسوردهای ثابت دارن. الان شماره گاوصندوق اتاق هتل من با شماره کارت بانکی ام یکیه و این آدم ممکن بود شماره گاوصندوق بانک من رو هم منتشر کرده باشه. همینطور رمز ورودم به داخل ساختمون شرکت رو. این آدم بدون شک حریم خصوصی آدم های زیادی رو نقض کرده. من کماکان برای کارش خطر اقتصادی فیزیکی قایل نیستم (سلب امنیت روانی و ایجاد استرس و احساس عدم امنیت و غیره به کنار.. منظورم اینه که حس نمی کنم الان ممکنه کسی که قبلا اینکار رو نمی کرده از حساب کسی پول برداره با این اطلاعات) ولی معتقدم این آدم با اینکار حریم خصوصی انسان ها رو نقض کرده

این آٔدم خیرخواه نیست – هکر هم نیست

هکر برای ما واژه مهمیه. رسانه ها به کسی می گن هکر که وارد سیستم های مردم بشه ولی ما به کسی می گیم هکر که دنیا و چیزهای توش رو عمیق تر از بقیه ببینه – مثل ماتریکس. این آدم هکر نیست و چیزی هم این وسط هک نشد. این آدم مسوول نوشتن یک نرم افزار بوده و الان می گه که اون نرم افزار مشکل امنیتی داره و من پسوردهای شما رو کپی کردم بردم پیش بانک ها و گفتم به ازای هر دونه اش باید بهم پول بدن و اونها گفتن نه و حالا من رفتم خارج و اینها رو منتشر کردم.

اینکار برای من شبیه انتقام گیریه و بدون شک جرم. درخواست هایی مثل «درخواست از سازمان های جهانی و حقوق بشر برای حفاظت از من» یا حتی درخواست مسخره تر از مردم برای کمک مالی فقط و فقط معنی همون توهمی رو می دم که وقتی کسی یک قاضی رو ترور کرد فکر کرد بعدش باید بره خارج خودش رو به سفارت آمریکا معرفی کنه تا اونها بهش پناهندگی سیاسی بدن. قتل جرمه و مجرم به کشوری که توش جرم انجام داده تحویل می شه. اینکار هم جرمه و هیچ ربطی به حقوق بشر نداره. به اون سناریو فکر کنین که بانک ها به اون پیشنهاد آقای زارع مبنی بر اینکه در مقابل هر پسوردی که نشون بده بهش پول بدن عمل می کردن تا بدونین چقدر خیرخواهی توی اینکار هست.

از طرفی حتی اگر ایشون می خواست اینکار اشتباه رو بکنه می تونست بسیار با احتیاط تر و اخلاقی تر و کم ضربه زننده تر ثابت کنه که این اطلاعات رو داره. مثلا می تونست به جای اون روش بچگونه مخفی کردن یک عدد چهار رقمی لای ده رقم اضافی که ۳۰٪ احتمال حدس درست رو به هر کسی می ده (که روی سه میلیون شماره می شه حدس درست پسورد یک میلیون کارت) اینکار رو بکنه که هر کارت رو فقط با دو رقم اول پسوردش منتشر کنه. اینطوری دارنده کارت و مسوول بانک مطمئن می شدن که طرف پسورد رو داره (چون مثلا می دونه کارت من به شماره X پسوردش با 84 شروع می شه) و احتمال حدس صمیم توسط یک هکر رو هم ده برابر کمتر می کرد (در حد سه درصد بعد از سه تلاش). در عین حال این آدم اگر نیازمند توجه بود می تونست هر جمعه، مثلا صد هزار کارت رو منتشر کنه (با گفتن تنها دو رقم اول پین کد) و اینجوری هر هفته کلی آدم رو بکشه به وبسایتش و هر لحظه که توجه کافی بهش شد و به نتیجه دلخواهش (مثلا رفتن آبروی فلان شرکت یا اومدن مسوولین به میز مذاکره یا حمایت سازمان های حقوق بشری ازش یا هر چی) رسید کار رو متوقف کنه.

پس این آدم از نظر من به هیچ وجه خیرخواه نیست. بنا به گفته های خودش بعد از اینکه با شرکتش به مشکل برخورده ، اول سعی کرده از شرکت صاحبکارش که دسترسی به این اطلاعات رو از اون طریق داشته و بعد بانک ها که می تونستن متضرر بشن پول بگیره و وقتی پول ندادن با نقض حریم خصوصی دارنده سه میلیون کارت و افشای اطلاعات محرمانه سعی کرده ضربه محکمی بزنه.

جمع بندی

این رو نوشتم که بگم کار بی بی سی به نظرم حرفه ای نبود. باید از دیدگاه مقابل هم کسی می بود برای حرف زدن و باید به گذشته و پروسه رسیدن این جریان به اینجا هم توجه می کردن. به نظر من این آدم آدمی می یاد که به خاطر شغلش به اطلاعات مهمی دسترسی داشته – که دیگران هم داشتن و اون از این ناراحت بوده – و در لحظه ای فکر کرده می تونه پولدار بشه ولی بانک فقط قبول کرده در مقال نشون دادن دقیق محل مشکل پول بده و نه به ازای هر پسورد هر کارت و این معامله سر نگرفته. بعد این آدم سعی کرده ضربه ای کاری بزنه و به اشتباه ترین وجه ممکن حریم خصصوی یکسری آدم رو نقض کرده بدون اینکه واقعا بهش نیازی باشه. دیشب هم بی بی سی به خاطر خبر بزرگ و هیجان مصاحبه مستقیم با کسی که همه ایران دارن بهش نگاه می کنن به سراغش رفته بدون اینکه دقت کنه باید نظر مقابل و انگیزه طرف رو هم در این جریان لحاظ کنه. درسته که زارع توی برنامه کراوات زده بود و سنش بالا بود و سعی کرد از کسی اسم نبره و خودش رو خیرخواه مردم نشون بده ولی با استدلال های بالا این حداقل برای من شدیدا مورد شکه و خیلی خوب بود اگر بی بی سی بعدش به جای صحبت در مورد اینکه پوز چیه و چقدر عوض کردن پسورد کارت مهمه به سراغ این می رفت که یک نفر این جریان رو نقد کنه تا اعتبار خبری حرفه ای اش برای من حفظ بشه.

البته چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود و بعدش هم گفته شد که تلاش کردن با اون شرکت تماس بگیرن که جواب نگرفتن. مشخصه. اون شرکت فعلا گیجه و تحت فشار. احتمالا کاملا مقصره در این جریان ولی این دلیل کافی نیست برای صحبت های یکطرفه و حق به جانب یک مجرم احتمالی توی بی بی سی.

این دو تا نکته رو هم نگم ممکنه خفه بشم:

• بی بی سی تنها رسانه ای است که من اگر بخوام اخبار فارسی رو دنبال کنم می خونم. اینها رو نوشتم که بهتر بشه. کلا قابل قیاس با بقیه رسانه های فارسی نیست ولی باید شدیدا مواظب باشه که نیافته توی تله VoA شدن . بی بی سی مین استریم مدیا است و مال و غیره و غیره ولی بین چیزهایی که من بهش دسترسی دارم اولویت اول رو داره برای گرفتن اخبار منطبق بر واقعیت.
• این اطلاعات روی سرورهای گوگل و بلاگ اسپات فرانسه منتشر شدن. احتمالا یک تذکر پلیس بین الملل می تونه این اطلاعات رو از این سایت حذف کنه و پروسه های قضایی مختلفی رو به جریان بندازه ولی ظاهرا ما واقعا آماده مقابله با تهدیدات سایبری نیستیم و جنگ سایبری رو کلا با دیفیس کردن سایت ها و کامنت گذاشتن تو وب اشتباه گرفتیم. احتمالا تو خیلی کشورها اینکه یک روز خودپردازها تعطیل بشن ضربه عظیمیه چه برسه به اینهمه ماجرای مرتبط با این اتفاق.

واقعا نمی دونم چند نفر ممکنه تا اینجا رو بخونن (((: به هرحال اگر تا اینجا رو خوندین یک مدال tl;dr بهتون تقدیم می شه با احترام

آپدیت اردیبهشت ۹۳: حالا که مشغول شماره ۴۰ هستیم این فایل فشار زیادی به سرور می یاره و در نتیجه غیرفعالش کردم.. برای دانلود همه شماره ها به آرشیو رادیو گیک روی گیت آی او مراجعه کنین.

یک درخواست اومده به این عنوان:

آرشیو رادیو گیک؟ خب احتمالا کاربرد زیادی نداره و فقط یکی دو نفر شاید یک بار بگیرنش… شاید هم به درد بخوره. من نمی دونم راستش.. به هرحال می تونه یک تجربه ساده و سریع لینوکسی باشه. همه فایل های رادیوگیک اینجا هستن و این شکلی:

webmaster@server:~/public_html/audio$ ls 
jadi.net_radio-geek_000-dragon-pirates.mp3         jadi-net_radio-geek_004_ashke-maahi-haa.mp3  
radio-geek_jadi.net_000-start.mp3                  jadi-net_radio-geek_001_singularity.mp3            
jadi-net_radio-geek_004_ashke-maahi-haa.ogg        shegeftzar.9.10.khoonasham.sample.story_low.mp3
jadi-net_radio-geek_002_space-and-beyond.mp3       radio24-23-November-2011.mp3                 
shegeftzar.9.10.khoonasham.sample.story.mp3        jadi-net_radio-geek_003_ghoole_bazare_makkare.mp3  
radio24-9-November-2011.mp3                        jadi-net_radio-geek_003_ghoole_bazare_makkare.ogg

در اصل هر فایلی که اینجا باشه و اولش با jadi-net_radio-geek شروع بشه مال رادیو است. پس می شه همه اش رو یکجا فشرده کرد:

webmaster@server:~$ cd ~/public_html/audio/ && tar cfz ../radio_geek_all.tar.gz jadi-net_radio-geek*mp3 

پس حالا فایلی دارم که فشرده همه نسخه های ام پی تری رادیو گیک است و در این مسیر قابل دسترسی:

فقط یک قدم دیگه می مونه که کارها رو اتوماتیک کنم. cron توی یونیکس ها این وظیفه رو داره. کافیه بزنم cron -e یعنی می خوام یک کرون جدید تعریف کنم و توش بنویسم:

# m h  dom mon dow   command
42	3	*	*	2	cd /home/jadi/public_html/audio/ && \
                                             tar cfz ../radio_geek_archive.tar.gz jadi-net_radio-geek*mp3

عدد اول دقیقه است و عدد دوم ساعت. عدد سوم روز ماه و عدد چهارم ماه و عدد پنجم روز هفته. در اصل من الان دارم بهش می گم ساعت سه و چهل و دو دقیقه روز دوم هفته هر روزی از ماه که بود، هر ماهی که بود این دستور رو اجرا کن. به عبارت دیگه من بهش می گم هفته ای یکبار نصفه شب اینها رو فشرده کن بریز تو اون فایل. از این به بعد خود به خود هر پادکستی که بفرستم اونجا، اتوماتیک به این آرشیو اضافه می شه.

تنظیم کل اینکار کمتر از دو سه دقیقه طول می کشه (: برای همین می گیم لینوکس رو دوست داریم چون ایده ها رو به سادگی عملی می کنه: مثل یک جعبه ابزار دارای کلی ابزار مفید که با هم ترکیبشون می کنیم و یک ایده رو سریعا عملی می کنیم.

آپدیت اردیبهشت ۹۳: حالا که مشغول شماره ۴۰ هستیم این فایل فشار زیادی به سرور می یاره و در نتیجه غیرفعالش کردم.. برای دانلود همه شماره ها به آرشیو رادیو گیک روی گیت آی او مراجعه کنین.

ویندوز ایکس پی

پراید. ماشن مهربون قدیمی خودمون. بی دردسر و ارزون و همه گیر. هر جا خراب بشه یکی برای تعمیرش هست و هر سی دی ای که توی کشو پیدا کنین یک برنامه روشه که روش کار می کنه. این روزها دیگه باحال حساب نمی شه ولی زمان خودش فقط با هاچ بک بودنش کلی هیجان ایجاد می کرد. خیلی ها که دارنش نمی خوان عوضش کنن چون حس می کنن رفتن سراغ یک چیز دیگه کلی سرمایه گذاری می خواد بدون اینکه کاربرد اصلی رو تغییر بده. به هرحال ماشین برای سوار شدنه و چی بهتر از یک ماشین ارزون که حالا اگر خوشگل و سریع و باحال و جالب توجه نیست، ولی در عوض همه جا مکانیکش پیدا می شه و هر بلایی سرش بیاد با صد تومن قابل تعمیره و هیچکس لازم نیست توی پنلش دنبال چیزی بگرده – راستی! اگر آینه بغلتون شکست مجبور نیستین آینه بغل بخرین، می تونین به شیشه بر محل یک آینه همون سایز سفارش بدین و با چسب بچسبونین و احساس مکانیک بودن بکنین.

ویندوز هفت

پژو دویست و هفت. ولی خب بعضی ها دوست دارن پرایدشون رو عوض کنن. با چیزی جدیدتر،‌ نسبتا خوشگلتر ولی هنوز همونقدر همه گیر که تقریبا هر کسی هر جایی بتونه با کمی هزینه و دردسر بیشتر تعمیرش کنه. این خودرو از نظر فنی تفاوت عیظمی با ایکس پی نداره ولی خب ظاهرش به اندازه کافی تغییر کرده تا کسانی که واقعا احساس می کنن از ایکس پی خسته هستن، بتونن بیان سراغ یک چیز جدیدتر. مشکل اصلی این خودرو اینه که اگر به خاطر رهایی از پراید اومدین سراغش، در عرض دو سه سال خودش به یک پراید جدید تبدیل خواهد شد.

ویندوز هشت

فضایی. این یکی رو هنوز کسی نمی دونه چیه. بعضی ها فکر می کنن پرواز خواهد کرد. بعضی ها فکر می کنن مسخره است. بعضی ها سعی می کنن سوارش بشن ببینن چطوری رانندگی می کنه ولی چون پنلش کلا فرق کرده نمی فهمن چی شده و سازنده که این رو می بینه سریع یک دگمه اضافه می کنه که با فشار دادنش ماشین مثل پژو دویست و هفت می شه و تازه می فهمین که پشت موتور هنوز وضعیت مثل سابقه و فقط چرخ ها و بدنه رو عوض کردن. راستی این ماشین هنوز ساخت پژو است.

مک

خودروی کوچک اسپرت. از پژو خسته شدین؟ فهمیدین که فرق عجیبی بین پراید و دویست و هفت و ماشین فضایی جدید نیست؟ پول زیاد هم دارین؟ چه چیزی بهتر از یک ماشین اسپورت زیبای سریع قوی سربرگردوننده برای شما؟ درسته که کمی گرونه ولی موقع خرید به قیمت نگاه نکنید و با کشیدن دست روی بدنه ماشین مطمئن بشید که این رو می خواین. بعله! مبارکه. این رو می خرین.

بعضی ها این خودرو واقعا باهاشون هماهنگه ولی تو تهران اکثرا در رسیدن به خونه کمی به کمی مشکل می خورن چون خیابون ها چند تا دست انداز دارن که این ماشی از روشون رد نمی شه. اشکالی نداره از این به بعد خیابون های دورتر بدون دست انداز رو می رین. هفته بعد هم که یک مهمونی است این ماشین اسپرت براتون شخصیت می یاره تنها اشکالی اینه که در برگشت نمی تونین دوستاتون رو سوارش کنین چون با دو نفر بیشتر سازگاری نداره. ولی خب ماشین قشنگیه… احتمالا بعد از یکسال به این نتیجه می رسین که شاید بهتر بود با همین قیمت یک پژوی آخرین مدل و یک خونه می خریدین و پنج تا سفر تفریحی هم می رفتین ولی خب به هرحال فعلا که اینو دارین و کسی هم دست دومش رو نمی خواد. البته بین خودمون بدونه! شنیدم مکانیک سر کوچه می تونه براتون توش موتور پژو نصب کنه و کمک فنرها رو هم دستکاری کنه که کف ماشین بیاد بالا. دیگه نمی تونین باهاش تند برین ولی خب عوضش می شه از همه خیابون ها باهاش رد شد. روحیه رو حفظ کنین! هنوز سرها به سمت ماشین شما می چرخه و نباید فراموش کنین که اگر ماشین مشابهی توی خیابون دیدین براش دست تکون بدین که همه روحیه شون حفظ بشه.

لینوکس

ماسل کار یا همون خودورهای عضلانی. خودرویی قوی و زیبا که برای هر کسی خوب نیست. باید علاقمند باشین به مکانیک خودرو. باید از آگاهی از مفاهیم خودرو لذت ببرین و پیشاپیش بدونین که احتمالا در صورت خرابی ماشینتون به خاطر موتور قوی اش صداهای عجیب و غریبی خواهد داد که باعث خنده همه خواهد شد. در ضمن بهترین مکانیک ها و بهترین طراح های دنیا این خودرو رو طراحی کردن اما اگر خراب بشه نمی تونین بهشون غر بزنن و باید آماده باشین کسی بهتون بگه «جدی اینجاش خرابه؟ خوشحال می شیم درست کنی به ما هم بگی چطوری درست شده». این خودرو مال کسی است که خودرو و مفاهیمش رو دوست داشته باشه هرچند که می تونین اون رو بعد از تنظیم خوب، به مادرتون هم بدین و مطمئن باشین که در طول ده سال آینده مثل روز اول کار خواهد کرد. یعنی اگر همه چیزش درست بوده درست می مونه و اگر چیزیش خراب بوده، مادرتون غیر ممکنه بتونه درستش کنه.

حرف اصلی

اینکه چیکاره هستین رو ماشینتون مشخص نمی کنه. کسی با لینوکس هکر نمی شه، با مک هنرمند نمی شه و با ویندوز مهندس یا دکتر یا نویسنده یا عکاس یا هر چیزی. برای خیلی ها شاید انتخاب ماشین یک مساله اخلاقی یا فلسفی باشه ولی برای اکثریت چیزی که مهمه خود ماشین سواری نیست بلکه مساله تعیین کننده اینه که وقتی سوار ماشینشون می شن کجا می رن.

توضیحات تکمیلی

1. دوستان از پشت صحنه می گن اون پژو ۴۰۷ است. به حق چیزهای نشنیده و ندیده ولی ظاهرا درسته. اصلاحش کردم به ۲۰۷
2. گفته شد که ماشین دو گانه سوز هم می شه دوال بوت
3. داس پنج به قبل پیشنهاد شد به روروئک و داس شش به روروئک موتور دار یا اسکوتر موتوری
4. در باز است، باز پرنده است پس در پرنده است سفسطه است. اینکه کسی مثلا از ژیان بدش بیاد و از لینوکس هم بدش بیاد دلیل نمی شه که لینوکس ژیان باشه. باید خصوصیات مشابه بیشتری نشون بدین تا بتونین ادعا کنین چیزی به چیزی شبیه است.
5. دويست و شش يه سيستم پلاگين خور و قابل توسعه است. سيستم برقش يه چيزي داره مشابه باس که هر قطعه اي اگر با استاندارش صحبت کنه سوارش مي شه و پردازنده مرکزي مي شناسدش. تمام قطعات خودرو مثل پلاگين هستن, قابل تعويض و توسعه.
   حالا اين کجاش ويندوزه؟!