آیا ربات تلگرام «حرفت رو ناشناس بهم بزن» امنیت داره؟

یکی از ایده های جالبی که هم خوب پیاده شد و هم خوب ازش استقبال شد، ربات حرف ناشناس تلگرام بود. شما می تونین عضوش بشین و لینکی درست می شه که از طریق اون بقیه می تونن بهتون ناشناس پیام بدن. اگر بخواین جواب بدین باید پول بدین ولی خب شما دقیق نمی دونین دارین به کی جواب می دین بلکه فقط می تونین متنی رو تایپ کنین و به دست اون ناشناس می رسه.

طبق گزارش های خودشون خیلی خوب استقبال شده و درآمد قابل توجهی هم داره. از نظر فنی هم پیاده سازی خوبه و هم زیرساخت. بحث های فرهنگی هم هست که چرا ما دوست داریم ناشناس پیام بگیریم یا چرا فکر می کنیم باید ناشناس پیام بدیم و این چیزها. یا مثلا فکر میکنیم لابد اگر آدم ها می تونستن بهمون ناشناس پیام بدن حتما چه حرف های مگویی داشتن که بگن ولی خب در عمل حداقل برای من که بخشی از پیام ها تشکر است و بخشی سوال! که خب من نمی تونم بهشون جواب بدم.

اما… اما آیا این امنیت داره؟ این سوال بارها از من پرسیده شده. جواب کلی اش اینه که «هر چیزی که در اینترنت می ذارین رو باید تصور کنین روزی توسط همه قابل دسترسی باشه». در خصوصی ترین و امن ترین جاها هم می شه تصور کرد که اطلاعات لو بره، پخش بشه یا دسترسی غیرمجاز بهش باشه. پس امنیت کلی اصولا روی اینترنت نداریم.

اما این ربات تا جایی که من می دونم امنیتی که ادعا می کنه رو داره. یعنی فرستنده و گیرنده نمی تونن با پول یا کلک یا روش دیگه ای هویت همدیگه رو کشف کنن. ولی خب مطمئنا نویسنده برنامه و کسانی که به دیتابیس ها دسترسی دارن (چه مجاز چه غیر مجاز چه به زور)‌ احتمالا می تونن به سادگی همه پیام ها رو بررسی کنن، هویت ناشناس ها رو ببینن و یا حتی به شکل معکوس ببین چه کسانی برای فلان شخص پیام فرستادن و پیامشون چی بوده. نمی گم این اتفاق روزمره می افته ولی از نظر برنامه نویسی این باید کاملا ممکن باشه.

حالا باید دید که خود گردانندگان ربات ناشناس، چه ادعایی در این مورد دارن. انتظار من اینه در چنین سازمان هایی میزان و شکل دسترسی به این اطلاعات کاملا تعریف شده باشه. این چیزی است که من معمولا در ایران ندیدم. مثلا اگر بانک ایکس پروژه اش رو می ده به شرکت ایگرگ، چیزی در این مورد که چه رده هایی از افراد شرکت ایگرگ به چه شکلی می تونن روی دیتابیس خریدهای آدم ها کوئری بزنن صحبتی نمی شه. در مورد ربات ناشناس هم خوبه چنین بحثی باشه که بدونیم توی اون شرکت چه آدم هایی به چه دلایلی ممکنه بتونن به دیتابیس دسترسی پیدا کنن و مثلا آیا یک برنامه نویس که اونجا کار می کنه می تونه تمام پیام های خصوصی که من فرستاده ام رو بخونه یا نه. این رو می شه هم از نظر اخلاقی و هم از نظر فنی محدود کرد.

پس به شکل خلاصه، پیام های ربات ناشناس مثل هر چیز دیگه روی اینترنت شاید روزگاری برای همه قابل دسترسی بشن ولی در حال حاضر تا جایی که ما می دونیم تنها کسانی که به دیتابیس ها دسترسی دارن (چه قانونی چه غیرقانونی چه به زور) می تونن پیام ها و هویت فرستنده ها رو کشف کنن – که احتمالا باید محدودیت هایی در شرکت برای این شکل از دسترسی تعریف شده باشه.

اگر حرفی هست در کامنت ها بگین و با وجودی که من طرفدار شفافیتم، برای ارتباط موضوعی اینم این لینک ربات ناشناس منه ((:

نرم‌افزارهای اداره دادگاه [و جاهای عمومی دیگه] باید توسط عموم قابل بررسی باشن

توی رادیو گیک قبلی از برنامه ای حرف زدیم که توی دادگاه در مورد زندان رفتن محکومین نظر می ده و سرش بحث و گفتگو بود که اصولا آیا می شه کسی رو با یک برنامه بسته و انحصاری که از ساز و کارش سر در نمیاریم به زندان بفرستیم یا نه. حالا مساله جنبه جدیدی هم پیدا کرده. دیروز قاضی دادگاه جلوی درخواست اصلاح برنامه احتمالا مشکل دار مورد نظر رو گرفته.

مدعی العموم (که در جهان از حق کلیت مردم دفاع می کنه)‌ می گه که از دسامبر ۲۰۱۶ که این برنامه آپدیت شده، اشتباه هاش بیشتر شده. قبلا یک قاضی درخواست اصلاح برنامه رو رد کرده بود در حالی که مدی العموم می گه بعد از آپگرید آخر، چندین نفر بدون اینکه واقعا نیازی باشه به زندان فرستاده شدن، یا دستگیر شدن یا حتی اشتباها به عنوان مزاحم جنسی شناخته شدن – البته اینجا نرم افزار فقط این رو بر عهده داشته که به قاضی کمک کنه تصمیم بهتری بگیره و مستقیما تصمیم نمیگرفته.

مساله اصلی اینه که وقتی ما کارهای مهمتر و مهمتر رو می دیم دست نرم افزارها اولا باید کاملا از نحوه کار اونها سر در بیاریم و گروهی مشخص باید بتونین در این مورد که این نرم افزار صحیح کار می کنه یا نه اظهار نظر کنن و از اونطرف باید حق تک تک شهروندان و سازمان ها باشه که به سورس و الگوریتم های تشخیصی چنین چیزی دسترسی داشته باشن.

اگر می خواین هکر بشین، سعی نکنین هکر بشین

می گن روزی یک عاشق شمشیر بازی پیش استاد رفت. استاد ازش پرسید برای چی اومده و جواب داد «برای اینکه بهترین شمشیرباز ژاپن بشم». استاد لبخند زد و گفت «عالی! حالا اون جارو رو بردار و جارو بکش». بعد از کشمکش های مرسوم شاگرد اصرار کرد که لازمه زیاد تمرین کنه و اگر روزی ۴ ساعت تمرین کنه چقدر طول می کشه بهترین استاد بشه. استاد بهش گفت ۲۰ سال. گفت اگر روزی ۸ ساعت تمرین کنه چی؟ جواب شد ۱۵ سال. اما این هنوزم برای شاگرد زیاد بود پس گفت اگر روزی ۱۲ ساعت تمرین کنه و خیلی جدی و مستمر چی؟ استاد بهش گفت اونجوری تقریبا باید ۴۰ سال کار کنه.

هر انسان توانی داره و سطحی از انگیزه. هیجان اولیه هکر شدن اینه که به همه چیز دسترسی داریم و هر جا می خوایم می ریم و همه از ما می ترسن و بقیه بهمون احترام می ذارن. واقعیت اینه که زندگی هکرها اینطوری نیست. تقریبا شبیه هیچ کدوم از فیلم هایی که می سازن نیست. هکرها به معنی نفوذگرها منظم و خیلی پر حوصله کارهای بسیار تکراری می کنن. معمولا نه پول خاصی دارن نه شهرت خاصی. اونها که تخصص رسمی شون امنیت است هم معمولا دنبال یکسری قرارداد هستن و می شینن تو سازمان یکسری ابزار استاندارد اجرا می کنن.

در ضمن مستقیما حرکت کردن به سمت هکر شدن مثل اینه که شما بگین دوست دارین خط تون خیلی خوب باشه و بشینین دائم یک جمله رو تکرار کنین. روش درست تر اینه که الفبا رو درست یاد بگیرین و هر کدوم رو درک کنین و بنویسین و بعد با هم ترکیبشون کنین. در اصل اگر شما می خواین یک هکر خوب بشین بهترین کار اینه که پایه ها رو درست یاد بگیرین:

  • سیستم عامل
  • شبکه
  • امنیت
  • برنامه نویسی

و از اون پایینتر حتی چیزهایی مثل جامعه شناسی، روانشناسی، ریاضی، آمار و حتی زیست شناسی (: [ جامعه شناسی و روان شناسی برای مهندسی اجتماعی و زیست شناسی برای درک مغز و خطاهاش و در نهایت همشون برای داشتن سطح بالاتری از دانش در حوزه های مختلف بعلاوه لذت بردن از دونستن چیزهای جدید ].

اینجوری شما به یک نینجا یا دزد دریایی تبدیل می شین که کسی جلودارش نیست. این خیلی فرق داره با کسی که برای شهرت یا هر چیز دیگه به بقیه کلک می زنه تا بهش اعتماد کنن و یه برنامه رو گوشی شون نصب کنن یا کی لاگر می ذاره لپ تاپش رو قرض می ده به بقیه یا دو تا ابزار از یک سی دی ران می کنه (: انتخاب با شماست که کدوم رو دوست دارین ولی از من میشنوین در اولی (بلد بودن پایه ای خیلی چیزها) کلی اعتبار و امکان تغییر کار و جاهای خوب کار کردن و لذت بردن از نتایج است و توی دومی (یاد گرفتن چند تا ابزار اماده و دروغ گفتن و .. که بهش می گیم اسکریپت کیدی یا بچه اسکریپتی) حداکثر شهرت اینکه مجری تلویزیون بگه یک هکر که درگاه بانکی الکی درست کرده بودم رو گرفتیم و تعجب همکلاسی ها و احتمالا یه پلی گرفتن از یه آدم پر زور و خدمت بهش. من اولی رو ترجیح می دم چون فان تر است و پایدار تر.

اگر شما هم دوست دارین یه آدم با سواد باشین و هک براتون فقط به معنی دزدی و ورود غیرمجاز نباشه، اولی رو انتخاب کنین و همین حالا برین سراغ این لیست:

  • یاد گرفتن لینوکس یا هر سیستم عامل دیگه ای که دوست دارین ولی عمیق
  • یاد گرفتن دیتابیس های مختلف و کار کردن باهاشون
  • یاد گرفتن شبکه در حد سی سی ان ای
  • یاد گرفتن پروتکل های ارتباطی از اچ تی تی پی تا تی سی پی تا اف تی پی تا اس ان ام پی تا هر چی که هر جا دیدین
  • یاد گرفتن رمزنگاری با درک اتفاقات پشتش. از درک بیت کوین تا کلیدها تا اس اس اچ تا هش هایی مثل ام دی ۵ تا اسکرام (رمزنگاری)
  • یاد گرفتن ریاضی پایه تر و آمار
  • یاد گرفتن برنامه نویسی و نوشتن برنامه های جالب از شکستن رمز تا دانلود یک سایت و پریدن در اینترنت و انتقال فایل و هر چی به کارتون اومد
  • یاد گرفتن ابزارهای مرتبط از دیباگرها تا دامپ کننده های شبکه و غیره
  • و ..

و بدونین که برای چنین هکری کلی کار باحال هست و کلی فرصت کسب اعتبار ولی خب ما معمولا به اون سطح نمی رسیم که مثلا باگ فلان ابزار گوگل رو کشف و گزارش کنیم و کلی جایزه ببریم و در نتیجه مثل همون شاگرد شمشیربازی، چون دوست داریم خیلی زود پیشرفت کنیم عملا به سمتی می ریم که پیشرفت زیادی توش نیست. بازم می گم: انتخاب با شما.

۲۸ نقل قول از شخصیت های جنگ ستارگان +‌ ترجمه بهترین هاش در این لحظه

اینها در این لحظه به نظرم بهترین هاش هستن:

  • توانایی صحبت معنی اش این نیست که هوشمند هم هستی – کویی گن جین
  • جلوی تغییر رو همونقدر می شه گرفت که جلوی خورشیدها رو از طلوع کردن – شبی اسکای واکر
  • خودت رو آموزش بده که چیزی که نگرانی از دست بدی رو ول کنی – یودا
  • پس اینگونه است که آزادی می میرد… در خروش تشویق ها – پدمه آمیدالا
  • ترس منجر به عصبانیت می شود. عصبانیت منجر به نفرت و نفرت منجر به رنج -یودا
  • هیچ انرژی مرموزی وجود ندارد که سرنوشت مرا کنترل کند – هان سولو

[ منبع ]

لینک های شاد دوشنبه های آخر ماه – خرداد ۱۳۹۶ از ربات تلگرامی فارسی فهم تا #بازارکار و وسیله

شخصی باحال

  • گروهی از دوستان هم دو تا پادکست شروع کردن. اولی در مورد شبکه که شماره آخرش به اسم تخصص شبکه، امروز و فردا اینجاست و دومی در مورد مهاجرت که آخرین شماره اش در مورد مصاحبه کاری اینجاست. امیدوارم ادامه بدن.
  • یک کار بامزه شخصی هم بها دان است. سیستمی که با خوندن ۲۰ هزار آگهی دیوار و یادگیری ماشین، می تونه با گرفتن محله، مساحت، تعداد اتاق و البته شهر، قیمت خونه رو «حدس» بزنه. یک پروژه شخصی خوب که می تونه با کمی تکمیل شدن به یک پروژه جدی تبدیل بشه. نیازهای اولیه از نظر من؟ سن بنا و در قدم های بعدی داشتن تاریخچه (سری زمانی) و البته منابع بیشتر و حتی زنده بودن نسبت به آگهی ها و مشخص کردن فاکتورهای تاثیر گذار و بعدش شاید حتی سرچ مستقل از یادگیری ماشینی روی دیتای موجود. نمونه خوبی از اینکه وقتی چیزی یاد میگرین چطوری یادگیری رو عمیق تر کنین و عمومی تر. می تونست حتی بازمتن یا آموزشی باشه (:
  • ربات تلگرامی دوست ندارم ولی ربات توییتری باحاله (: این ربات توییتری چیزهایی که فارسی باشن و توشون رپوزیتوری گیت هاب باشه رو ریتوییت می کنه. پیشنهاد؟ برای زبان های دیگه هم ربات های دیگه ساخته بشه. شاید کسی دوست داشت و فالو کرد یا حتی مشهور شد (: همینطور پیشنهاد می کنم اگر نیست خودش آزاد رو گیت هاب باشه.
  • مهدی هم سایتی برای معرفی و جمع آوری کسبه کشور توی تهران و کلانشهرها نوشته. خود سایت اسمش هست سر راست و باحالیش اینه که مخزن گیت هاب هم داره. خودش تو وبلاگش کمی توضیح بیشتر داده. کلیت ایده باحاله ولی برای بزرگ شدن نیاز به جمع آوری اتوماتیک اطلاعات از منابع دیگه داره و خب شکلی دیگه به جز یه جیسون خیلی بزرگ (: امیدوارم ادامه اش بده
  • رضا ویدئو های پایکان ۲۰۱۷ آمریکا رو سرورش آپلود کرده؛ برای کسانی که یکجا می خوان و با یوتوب مشکل دارن: ویدئوهای پایکان ۲۰۱۷

تلگرام

سایت‌ها و استارتاپ ها

  • سایت روال یک کپی ایرانی از یک استارتاپ خارجی است، ولی کپی معقول از یک سایت که نیاز داریم کپی اش باشه!‌ روال نمونه ایرانی مدیوم است. جایی که می شه متن های خودتون رو منتشر کنین.. بیشتر با ایده متن های بلند. شما بنویسین، خودشون قشنگ و مرتب خواهد بود.
  • پادپُرس هم یک استارتاپ مانند است برای پرسیدن «چرا»ها. چرای اصلی این ماه در مورد کتاب خوانی است. نوآ۶ رو ببینین و اگر دوست داشتین، مشارکت کنین.

همایش ها

بازار کار و وسیله

  • من یک Raspberry PI 3 Model B A1.2GHz 64-bit quad-core ARMv8 CPU, 1GB RAM با کیس سفید و مموری 16 گیگ خریدم که بدون استفاده مونده. اگر امکان داره برای فروش آگهی بزنید توی دوشنبه های آخر ماه قیمت پیشنهادی فروش 160 هزار تومان است (آپدیت: فروش رفت)
  • شرکت استارتاپی AbrNetwork جهت راه اندازی وب سرویسی با رویکرد اتصال ماشین به ماشین (M2M) نیازمند برنامه نویس های پایتون، گو، ارلنگ و جاوا است. رزومه خود را به ایمیل Pourcheriki@gmail.com ارسال کنید یا با شماره ۰۹۱۲۸۹۹۳۱۱۶ تماس بگیرید.

نگاهی به باگ بامزه امروز چس دات کام و گپی در مورد یک مهارت مهم: ترابل شوت سیستماتیک

من همه امروز رو مشغول ترابل شوتینگ مشکل ۴ تا سرور بودم و هنوزم حل نشده. برای حل مشکلات کامپیوتری استراتژی های مختلفی هست ولی در واقع خلاصه اشون اینه که کافیه منظم فکر کنین، شواهد رو کنار هم بچنین و اگر گزاره های کافی داشته باشین مشکل دیده می شه. اگر بتونین مشکل رو تکرار کنین احتمال پیدا کردنش بسیار بیشتره و اگر گزاره های بیشتر و بیشتری کنار هم بچینین احتمالا راه حل رو دارین.

به عبارت دیگه می گن «توضیح دقیق یک مشکل در دنیای کامپیوتر برابر است با حل اون مشکل». اما مشکل آماتورها موقع رفع خطا کجاست؟ هی حدس می زنن شاید مشکل فلان جا باشه و می رن سراغ حل اون مساله و بعد که مشکل حل نمی شه یه حدس دیگه می زنن و می رن اون رو حل کنن. شبیه تک تیراندازی که به جای هدفگیری دقیق و زدن یک تیر، دائما به اطراف شلیک می کنه به امید اینکه به هدف بزنه (: گاهی هم کار می کنه ولی روش صحیحی نیست.

حالا مشکل چی بوده؟

  • بعضی ها یکهو نتونستن از اپ مشهورترین سایت شطرنج یعنی چس دات کام بازی کنن

مشکل چی می تونه باشه؟ این سایت مشتری های پولی داره و باید سریع مشکل رو حل کنه. در چند قدم اول این گزاره ها اضافه شدن:

  • کسانی که مشکل دارن همه سعی میکنن بازی جدید شروع کنن
  • کسانی که مشکل دارن همه روی دیوایس های آی او اس هستن

بعد از چند قدم دیگه این گزاره اضافه می شه:

  • کسانی که مشکل دارن همه آیپدهای قدیمی دارن

هنوز حدس خیلی سخته. ولی دو گزاره مستقل از تحقیقات مستقیم که بدم احتمالا بعضی هاتون می تونین حدس بزنین مشکل چیه:

  • آیپدهای قدیمی ۳۲ بیتی بودن
  • برای شروع بازی، شماره سریال یونیک بازی به دستگاه ارسال می شه و توی هر حرکت استفاده می شه

بازم گزاره لازمه؟

  • تعداد بازی های سایت به ۲ میلیارد و ۱۴۷ میلیون و ۴۳۸ هزار و ۶۴۷ بازی رسیده، یعنی ۲ به توان ۳۱ منفی یک

امیدوارم تا الان حدس زده باشین، متغیری که کد بازی رو نگه می داره در آیپد ۳۲ بیتی است و حالا شماره بازی بزرگتر از ظرفیت حافظه شده و برنامه به هم می ریزه. یک کد که برنامه نویس سالها قبل پیش بینی نکرده بودش و الان باعث ۴۸ ساعت اختلال و کلی ترابل شوتینگ شده تا بشه این گزاره ها رو کنار هم گذاشت.

موقع برنامه نویسی به آینده فکر کنین و از اون مهمتر موقع ترابل شوتینگ، بیخودی به اطراف تیر نزنین. موقع عیب یابی باید مشکل رو تشخیص بدین و دقیق تعریف کنین. اینطوری مشکل خود به خود حل می شه. در واقع مشکل این بود که «حالا که بازی ها از ۲ به توان ۳۱ گذشته، روی آیپدهایی که ۳۲ بیت دارن دیگه نمی تونیم بازی جدید بسازیم». برم ببینم فردا با این ذهنیت می تونم مشکل امروز اون ۴ تا سرور رو حل کنم یا نه.

جادی تی وی – بررسی دو ترفند هیجان انگیز هکرهای روس در نوشتن بدافزار تورلا

تیم تورلا مجموعه ای از بدافزارها داره که احتمالا برای اهداف بسیار خاص طراحی شدن. محققین امنیتی اخیرا نشون دادن که این مجموعه از دو ترفند فوق العاده برای مخفی نگه داشتن مرکز عملیاتشون استفاده کردن. توی این ویدئوی ۷ دقیقه ای نگاهی می ندازیم به این دو ایده هیجان انگیز.

کار مرتبط با امنیت رو تجربی انجام ندین؛ ۵۰۰۰ ترابایت اطلاعات هدوپ ناامن هستن

قبلا هم توی رادیو گیک در این مورد حرف زدیم که راه انداختن سرویس با سعی و خطا معمولا اصلی ترین دلیل ایجاد مشکلات امنیتی است. وقتی ما نمی دونیم داریم چیکار می کنیم هی سیستم رو بازتر و بازتر می کنیم تا بالاخره اتفاق مورد نظر بیافته و بعد دیگه نمی دونیم حالا کجا رو باید ببندیم.

این اتفاقا مثل اینه که شما تلاش کرده باشین مجوز ورود یک فرد خاص رو به خونه تون بدین. چون دقیقا نمی دونین کدوم کلیدها رو باید براش بسازین، پنجره رو باز میذارین و بهش می گین بیاد تو. اون تست می کنه و نمی تونه. بعد در پارکینگ رو باز می کنین و بهش می گین بیاد تو، نمی تونه. بعد کلا قفل در رو می کنین و بهش می گین بیاد تو، اون نمی تونه چون پلاک خونه رو درست بهش نگفتین. بعد از اینکه چند بار دیگه سعی می کنین و اجزای دیگه خونه رو خراب می کنین، بالاخره می فهمین که مشکل اشتباه بودن پلاک بوده و این رو که هماهنگ می کنین اون با موفقیت می یاد تو و شما هم می گین «ایول.. پس درست شد!». و همه خونه بازه.

این اتفاق توی دنیای کامپیوتر هم بسیار مرسومه. وب سرور ما کار نمی کنه در نتیجه همه چیز ۷۷۷ می کنیم (قابل نوشتن و خوندن و اجرا توسط همه). بعد که بازم کار نمی کنه دسترسی ها رو عوض می کنیم و بعد یکهو یادمون می افته selinux باید خاموش بشه و اون رو خاموش می کنیم و درست می‌شه.

در شکل دیگه ای از این ایجاد مشکل که قبلا بسیار مرسوم بود و به تازگی بازم دائما دیده می شه، مدیر سیستم نیاز داره در مورد چیزی اطلاعات امنیتی دقیق داشته باشه ولی چون حوصله نداره این اطلاعات رو جمع کنه، به شکل تجربی برنامه ای رو نصب می کنه و همین که راه افتاد فکر می کنه مساله تموم شده. این مساله به راحتی می تونه شما رو با سیستم های کاملا دسترسی پذیر از کل جهان تنها بذاره. قبلا به مونگو دی بی نسخه های قبلتر اشاره کردم که اینستال دیفالتش بسیار ناامنه. حالا همین مساله به شدت با HDFS اتفاق افتاده.

در یک بررسی جدید نشون داده شده که حداقل ۴۴۸۷ مورد نصب دیفالت هدوپ قابل دسترسی در اینترنت وجود داره که بیشتر از ۵۰۰۰ ترابایت دیتا روشون ذخیره شده. از این تعداد ۱۹۰۰ تا در آمریکا و۱۴۲۶ تا در چین هستن. کشورهای بعدی آلمان و کره با ۱۲۹ و ۱۱۵ نصب قراردارن.

کل ماجرا تکراری است بر اینکه اگر نمی دونین دارین چیکار می کنین، اول یاد بگیرین یا از یک متخصص کمک بگیرین. نصب دیفالت گاهی می تونه بسیار خطرناک باشه و سعی و خطا کردن برای رسیدن به نتیجه مورد نظر، تقریبا همیشه همراه با تضعیف ایمنی سیستم است.