بلا تورن برای رفع تهدیدهای دزد عکس های برهنه‌اش، خودش عکسها رو منتشر کرد

بلا تورن، بازیگر و خواننده آمریکایی در برخورد با یک دزد اطلاعات، دست به ابتکار جالبی زد تا به گفته خودش «قدرت رو پس بگیره». این بازیگر ۲۱ ساله که درگیر چاپ کتابش بود می گه که تن به تهدیدهای کسی که براش عکس های برهنه اش رو فرستاده و تهدید کرده اونها رو منتشر می کنه نداده و ترجیح داده خودش عکس ها رو توی توییتر بذاره و راحت بشه. اون می گه:

همونطور که می دونین دیروز هک شدم. برای ۲۴ ساعت با عکس های برهنه خودم تهدید شدم. حس کریهی داشتم و فکر می کردم کسی داره عکس‌هایی که برای مخاطب خاص گرفته شده بوده رو داره نگاه می کنه.

بعدش بلان تورن (Bella Thorne) تصمیم جالبی گرفت: اینکه خودش اون عکسها رو توی توییتر بذاره و از فکر و خیال و تهدید راحت بشه. همینکار رو هم کرد و به پلیس هم خبر داد تا مساله رو پیگیری کنن. اون در مورد دزد احتمالی هم می گه که:

احتمالا یه بچه ۱۷ ساله است که اشتباه می کنه، البته اینبا راشتباهی بد. البته نمی خوام کل زندگی یه بچه خراب بشه چون یک لحظه نتونسته درست فکر کنه و تصمیم بگیره. احتمالا آدم باهوشی است و اگر اینو در مسیر مثبتی استفاده کنه می تونه برای جامعه مفید باشه.

به نظر من که عکس العملش جالب بوده. قبلا هم از این موارد حرف زدم ولی تکرارش ضرر نداره:

  1. سکس و عکس برهنه و غیره کاری است که خیلی ها می کنن. نگرانی نداره. نگرانی اصلی تصورات و خیال های درهم و برهم ما است. هر بار پیش اومده (از جمله هک مشهور سال ۲۰۱۴ روی آی‌کلاود اپل) بعد از مدتی فراموش شده و همه به زندگی مرسوم برگشتن. تهدید کردن آدم ها با عکس برهنه شون خنده داره (:
  2. اگر از چیزی عکس می گیرین و به هر شکلی هر چیزی رو دیجیتال می کنین، باید با این فکر باشه که ممکنه روزی همه ببیننش. اگر راحت نیستین و نمی خواین، نکنین (:
  3. هم آمریکا و هم روسیه سعی کردن رهبر اندونزی یعنی سوکارنو رو با اینکه «ازت یه فیلم سکسی داریم و اگر همکاری نکنی آبروت رو می بریم» تهدید کنن. جوابش این بود که «چه بانمک، برای خودم هم یه نسخه بفرستین (:»

تشریح مشکل امنیتی واتس‌اپ

اخیرا یک خبر دنیای امنیت رو هیجان زده کرد: هکرها می تونستن با زنگ زدن به واتس اپ هر کسی، کد دلخواهشون رو روی گوشی اون اجرا کنن، حتی بدون نیاز به اینکه به تماس جواب بده. توی این ویدئوی کوتاه نگاهی می ندازیم به روش، آسیب پذیری و راه حل واتس‌اپ برای اون.

در یوتوب و اپارات.

امن نگه داشتن اینستاگرام بسیار ساده است

این روزها به اصطلاح هک اینستاگرام زیاد شده و مثل همیشه یه دکون عجیبی هم درست شده به اسم «مسوول امنیت اینستاگرام»‌ (: واقعیت اینه که امن نگه داشتن اکانت اینستاگرام پیچیده تر از روشن کردن ماشین لباسشویی نیست. چهار تا دگمه و تنظیم که خوبه درست بعد از دیدن این مطلب، یاد بگیرین و بزنین؛ هرچند که هیچ مشکلی هم نداره اگر اینکار رو به یکی دیگه بسپرین.

برای امن بودن اینستاگرامتون این چند تا قدم لازمه:

۱. پسورد قوی انتخاب کنید. حداقل ۸ کاراکتر شامل حروف کوچیک و بزرگ و عدد و عبارت های خاص. غیرقابل حدس زدن و نامرتبط با زندگی شخصی تون (مثلا سومین پسوردی که احتمالا آدم ها تست می کنن اسم سگتون است)
۲. پسورد رو دائما تغییر بدین – حدودا شش ماه یکبار. با کسی هم به اشتراکش نذارین به هیچ دلیلی. پسورد مثل مسواک است: فقط خودتون استفاده کنین و گاه گداری هم عوضش کنین.
۳. یکی از دو مدل [تایید دو مرحله ای اینستاگرام] رو فعال کنید. یک مدل با اسمس است که در ایران چندان هم امن نیست و یکی دیگه با اپ های ایجاد پسورد یکبار مصرف از جمله Google Authenticator
۴. ایمیل آدرسی که به اکانت معرفی شده رو هم امن نگه دارید. عملا هر کس به ایمیل شما دسترسی داشته باشه می تونه خیلی چیزهای شما رو ریست کنه و ببینه. مطمئن بشین در اکانت اینستاگرامتون، ایمیل امنی رو تنظیم کردین.
۵. اگر از دستگاه کس دیگه ای به اینستاگرام لاگین کردین مطمئن باشین که آخر کار ازش خارج هم بشین. هرچند که ممکنه رو کامپیوترش برنامه ای باشه که پسورد شما رو نگه داره.
۶. به هیچ سیستم دیگه ای دسترسی به اکانت ندین. برنامه ها به دلایل مختلف دسترسی اتصال به اینستاگرام می کنن، اگر واقعا نمی دونین چیکار دارین می کنین، بهشون دسترسی ندین
۷. اکانت های دیگه مثل فیسبوک رو هم به اکانت اینستاگرام متصل کنید. اینطوری ریکاوری راحتتر می شه.

و البته اصل عمومی اینه که موبایلتون رو هم هیچ وقت به دست هیچ کس ندین. یه آدم بد می تونه در عرض چند ثانیه یه برنامه مخرب رو گوشی شما نصب کنه که از اون به بعد همه کارهای شما رو ببینه و به همه چیزتون دسترسی داشته باشه.

در ویدئویی که توی اینستاگرام گذاشتم، توضیحات بیشتر و یکی دو قدم امن تر رو هم می گم و همچنین اینکه اگر فکر کردین هک شدین باید چیکار کنین. چون عمودی اینستاگرامی است، تو یوتوب نذاشتمش (:

امن باشین و خندون.

ماجرای عکسهای زندگی خصوصی جف بزوس، مدیر آمازون

ماجرا در دنیا خیلی پر سر و صدا بود ولی نمی دونم تو ایران چقدر پوشش داده شد. خلاصه اش اینه که جف بزوس موسس و مدیر آمازون، اخیرا یه پست در مدیوم نوشته و گفته براش یه اتفاق عجیب افتاده. البته اتفاق عجیب نیست و فقط برای اون اولین مورد از این شکل اتفاق بوده: یه پیشنهاد غیرقابل رد؛ یا حداقل پیشنهادی که نشنال انکویرر فکر می کرده غیرقابل رده: متوقف کردن تحقیقات در مقابل عدم انتشار عکس های خصوصی.

اینجا خیلی نمی خوام سراغ اصل ماجرا برم ولی خلاصه اش اینه که یک مجله زرد چند وقت پیش چند مسیج شخصی از جف بزوس منتشر می کنه. جف بزوس برای اینکه بفهمه این نشریه اطلاعات رو از کجا آورده، یک نفر رو استخدام می کنه و بعد از مدتی به نتایج جالبی می رسه. مثلا اینکه مدیر این نشریه زرد (پکر) روابط بسیار نزدیکی با ترامپ داره از جمله اینکه ظاهرا رفته با یکی که مدعی بوده با ترامپ رابطه جنسی داره مصاحبه کرده و بعد انحصار انتشار اون رو ازش خریده اما بعد کلا مطلب رو چاپ نکرده. به عبارت دیگه اول گفته «پول می دم تا اینها رو فقط به من بگی» و بعد گفته «مال خودمه دلم نمی خواد چاپش کنم». ترامپ هم به اندازه کافی هوای ایشون و مجله اش رو داشته و ظاهرا پادرمیونی هایی کرده برای اینکه سعودی ها در نشریه اش پول بیارن.

اما ماجرا وقتی جالب شده که ای ننشریه زرد چند میسج خصوصی از جف بزوس منتشر کرده و بعد جف بزوس به این نتایج رسیده و حالا پکر یه ایمیل به بزوس زده و گفته «ما ازت عکس های خاصی هم داریم. اگر می خوای منتشرشون نکنیم، تحقیقات رو همین الان متوقف کن». چه عکس هایی؟ چیزهایی مثل یک سلفی از بزوس برای یه زن خبرنگار وسط جلسه کاری. یا عکس بزوس در حموم با یک حوله یا عکس بدون بلوز بزوس که در جواب عکس با سینه باز همون خانمش براش فرستاده و توش دولش سفت شده و از زیر شلوار مشخصه. تهدید هم واضح بوده: آبروت رو با اینها می بریم مگر اینکه بیخیال تحقیقات در مورد رابطه ما و ترامپ و سعودی ها بشی.

حالا بذارین چند نکته رو بگم:

  1. نشریه مدعی است حق داره این عکس ها رو منتشر کنه چون مدعی می شه که این چیزی است که سهام دارها باید بدونن.
  2. واکنش بزوس بهترینه. اینجور تهدیدها تا وقتی کار میکنه که تهدیده. اگر الان یکی به من بگه «عکست تو پارتی رو منتشر می کنم ها»‌ یا «عکس رابطه جنسی ات رو به همه ایمیل می کنم» جواب درستم اینه که «خب با اینکار که داری تبلیغش می کنی (:» یا «خب؟» یا حتی بهتر از اون جواب سوکارنو رییس جمهور اندونزی به اف بی آی و کا.گ.ب. در مقابل تهدید انتشار ویدئوی جنسی اش بود که گفت «ایول یه نسخه هم برای خودم بفرستین لطفا»
  3. شما بزوس هم که باشین رفتار طبیعی تون می تونه همین باشه که برای یک آدم دیگه عکس برهنه / نیمه برهنه بفرستین و بگیرین. آدم آدمه (:‌ این رو قبلا در ماجرای سبگیت ۲۰۱۴ هم دیده بودیم که مشهورترین هنرپیشه ها هم کارهای مشابهی می کنن.
  4. و یادمون باشه هر چیزی که دیجیتال می شه و از اون بالاتر ار هر چیزی که از اینترنت می گذره رو باید با این ایده دیجیتال کنیم که «ممکنه کسی ببینه». چیزی که امنه چیزیه که تولید نشده‌ (:

و ایول به بزوس و عکس العمل خوبش و البته فراموش نکنیم که آمازون شرکتی است که داره بیشتر و بیشتر دنیا رو تحت کنترل خودش می گیره و سیستمی درست می کنه که همیشه همه زیر نظرش باشن ولی خب رییسش در این مورد خوب عمل کرده.

چگونه به یک هکر یا متخصص امنیت عالی تبدیل بشم

مفهوم هکر مفهومی عام‌تر از نفوذ و امنیت است. هکر کسیه که از ابزارش استفاده غیرمرسوم و هوشمندانه می کنه و موفق به چیزهایی می شه که از نظر دیگران نشدنی بوده. اما خیلی از رسانه‌ها، مفهوم هکر رو به عنوان صرفا متخصص امنیت کامپیوتر جا انداختن و هفته‌ای نیست که من توش یک ایمیل نگرفته باشم که بگه «جادی! چطوری متخصص امنیت بشم؟». مشکل کار هم اینجاست که خیلی وقت‌ها سوال کننده درک دقیقی از این شغل نداره و فقط به خاطر اسم بامزه و ظاهر هیجان انگیزش می خواد به شاخه امنیت بیاد. توی این نوشته که تقریبا جمع بندی و ترجمه آزادی از این مطلب است سعی کردم یکجا، جوابی رو آماده کنم.

اولین قدم در تبدیل شدن به یک متخصص خوب امنیت، اینه که به یک متخصص معمولی امنیت تبدیل بشین. خیلی خوبه اگر از اول دنبال تبدیل شدن به بهترین هستین اما در نهایت بهتره حواستون باشه که برای رسیدن به هر جایی باید قدم به قدم پیش رفت و حوصله داشت. بخصوص در دنیای امنیت که بهترین ها، معمولا پیشینه گسترده‌ای دارن و در حوزه‌های مختلف دانش دارن. خیلی از متخصصین امنیت و هکرهای خوب، با کارهایی مثل برنامه‌نویسی، سیستم‌عامل، شبکه، طراح و موارد مشابه شروع کردن و بعد از چرخیدن در حوزه‌های مختلف، سراغ امنیت رفتن.

تبدیل شدن به متخصص امنیت مثل اینه که بگین می‌خواین به یک نویسنده خوب تبدیل بشین. نویسنده‌های خوب فقط با کلاس‌های نویسندگی به وجود نمیان بلکه معمولا آدم‌هایی هستن که دنیا رو زندگی کردن، کتاب خوندن، سفر رفتن، فیلم دیدن، فلسفه می‌دونن، به زندگی فکر کردن و بعد نویسندگی رو هم با تمرین یا دوره یاد گرفتن. به همین شکل اگر در این لظحه شما مهارت بخصوصی در رشته‌هایی مثل شبکه، سیستم عامل، سخت افزار، رمزنگاری، برنامه نویسی سطح پایین، برنامه نویسی سطح بالا، درک ار پروتکل‌های ارتباطی، پایگاه‌های داده و موارد مشابه ندارین، پیشنهاد بهتر از این راه رو برو تا متخصص امنیت بشی اینه که در این حوزه‌ها شروع به کار کن و توشون پیشرفت کن.

مرحله بعدی اینه که با دونستن یا فعال بودن در یکی یا چند تا از این حوزه‌ها، مسائل امنیتی مرتبط رو توشون دنبال کنین. مثلا اگر سیستم عامل بلدین، با دنبال کردن باگ‌ها یا خوندن، ببینین مشکلات امنیتی چه چیزهایی می تونن باشن و کجاها می‌شه پیداشون کرد. اگر در برنامه نویسی سطح پایین هستین اصلاح‌هایی مثل اورفلو رو دنبال کنین یا اگر برنامه‌نویس سطح بالا هستین با مفاهیمی مثل اینجکشن آشنا بشین. همین مساله در شبکه و پروتکل و غیره هم ثابته. بسیاری از پروتکل‌ها مشکلاتی دارن که کاملا شناخته شده است و می‌تونین دنبالشون کنین یا حتی سراغ سخت افزار برین و ببینین بقیه چیکار کردن و تکرارشون کنین تا کم کم راهتون رو پیدا کنین. بسیاری از هکرهای بزرگ تاریخ با همین شیوه پیش رفتن و هر کدوم هم حوزه تخصصی خودشون رو داشتن. در اکثرا موارد کسی با ایده «برم بهترین متخصص امنیت بشم» شروع نکرده بلکه از حوزه‌های دیگه سراغ مساله اومده.

یکی از مشکلات فعلی دنیای امنیت همینه که افرادی که تخصصی در حوزه‌های دیگه ندارن و فقط درس امنیت می خونن، به سیستم‌ها اضافه می‌شن و بیشتر از اونی که کار مفید بکنن، دردسرهای اداری برای بقیه بخش‌ها درست می‌کنن – البته اونهم الزاما بد نیست ولی معمولا فرستادن چند بخشنامه و سختگیری در مورد پروتکل ها و اصرار به شکل خاصی از وی پی ان و قرارداد خرید وف و آپدیت کردن فایروال ها و … کاری نیست که وقتی یکی با هیجان می گه «می خوام متخصص امنیت بشم» دنبالش باشه.

اما با داشتن بحث قبلی در ذهن، بذارین نگاهی هم بندازیم به انواع شغل‌هایی که یکه متخصص امنیت می تونه داشته باشه و ببینیم راه رسیدن به هر کدومش چه چیزیه:

  • تست کننده امنیت اپلیکیشن‌های وب:‌ یاد بگیرین برنامه بنویسین تا توی این بحث از آدم‌هایی که فقط بلدن اپلیکیشن تست کنن فاصله بگیرین. درک از سیستم‌عامل و دیتابیس بهتون کمک خواهد کرد و همینطور دونستن چیزهایی مثل پی اچ پی، جاوااسکریپت، پایتون و جاوا. اگر بتونین شیوه کار چیزی رو درک کنین، شکستنش راحتتر خواهد بود. بعد از اون دنبال OWASP بگردین و مسیر رو پیدا خواهید کرد.
  • متخصص امنیت شبکه:‌ بهتره برای خودتون یک لابراتوار درست کنین که اجزای متفاوتی داشته باشه. مثلا استک لمپ (لینوکس، آپاچی، مای اسکوئل، پی اچ پی) همیشه شروع خوب و مرسومی است و بعد بررسی کنین که هر جزء از این استک چطوری امن می‌شه. درک اولیه‌تون که کامل شد می‌تونین برین سراغ PTES (استاندارد اجرای پن تست) و شیوه‌هایی که هکرها به شبکه‌ها حمله می‌کنن رو یادبگیرین و مطمئنا راحت کشف خواهید کرد که علیه هر متد باید چه کاری انجام بشه.
  • Compliance and Auditing: برای اینکار باید در مورد تکنولوژی‌های پایه‌ای و بیزنس مدل‌ها آگاهی کسب کنین. افرادی که در این سمت هستن، بیزنس و امنیت را درک می کنن و مطمئن می‌شون که کارکرد بیزنس بدون صدمه زدن به توان خلاقیت و سرعت، امن می‌شه. خوبه در مورد کسب و کارها بخوانید و با مدیرعامل‌ها و طراحان کسب و کار حرف بزنید و درک واقعی از جهان داشته باشین. در مورد شرکت‌های بزرگ تحقیق کنین و به مواردی که در Center for Internet Security به آن‌ها اشاره شده نگاه کنین. همچنین قواعدی مثل HIPAA، PCI-DDS، DISA STIG و ایزو ۲۷۰۰۱ و SOC2 رو بخوانید و فراموش نکنین که قراره سازمان بدون صدمه زدن به قابلیت‌ها و کارکردهاش‌، امن می‌شه.
  • رمزنگاری/تحلیل رمز: اگر می‌خواهید در این حوزه کار کنید خوبه در زمینه‌های ریاضی و رمزنگاری، تحصیلات آکادمیک داشته باشین و منابع علمی را دنبال کنین. یک رمزنگار ممکنه تو دانشگاه تدریس کنه یا روی الگوریتم ها کار کنه ولی کمتر شرکتی معمولی هست که یک رمزنگار استخدام کنه.
  • مشاور امنیت: کسی که به عنوان مشاور امنیت کار می‌کند، لازم است دانشی گسترده و درک خوبی از محیط‌های کاری و ساز و کار شرکت‌ها داشته باشه. برای این شغل نیاز دارین دانشی به روز از تکنولوژی‌های مورد استفاده شرکت ها و استانداردهای مورد استفاده آن‌ها داشته باشین و با Best Practiceها آشنا بشین. همچنین باید در مورد قوانین محدود کننده و نیازمندی‌های بالا دستی هم آگاه باشین تا بتونین بهترین مشاوره رو به مشتریانتون بدین. اینجا انتظار می ره شما با افق دید بسیار گسترده‌ و آگاهتون، نقاط مورد نیاز برای تقویت امنیت شرکت‌ها و در عین حال حفظ کارایی اونها و سازگاری‌‌شون با قوانین رو پیشنهاد بدین.
  • محقق آسیب‌پذیری‌ها:‌ این شغل به طور خاص نیاز داره که شما حداقل توی یک حوزه بسیار باسواد و با تجربه باشین و حداقل یک زبون برنامه نویسی، فریم ورک یا سیستم عامل رو به خوبی بدونین. بعد با این دانش روی بخش کوچیکی از یک محصول یا شرکت تمرکز می‌کنین و سعی می‌کنین مشکلاتش رو پیدا کنین. مثلا ممکنه شما در سی یا اسمبلی بهترین باشین و با سواد و دانش کامل روی یک شکل از پروتکل، بیاین و روی شیوه کار یک کتابخونه ارتباطی تمرکز کنین و اشکالاتش رو کشف کنین.
  • متخصص امنیت نرم‌افزار: معمولا مهندسان و معماران با تجربه نرم‌افزار بعد از مدتی به متخصصان امنیت هم تبدیل می‌شوند. باید حداقل در یک استک نرم افزاری متخصص باشید و بعد دانش امنیتی خود را برای امن‌تر کردن یک برنامه در آن استک متمرکز کنید. شاید هم وظیفه شما در این شغل، بهتر شدن امنیت کل یک سازمان یا پاسخ دادن به نیازهای امنیتی بقیه کارمندان و برنامه نویسان باشد.

اما واقعا چطور باید به در یکی از این حوزه‌ها به بهترین تبدیل شویم؟ اول بهتر است انتخاب کنید که چه چیزی را در کدام حوزه دوست دارید و هرچقدر که می‌توانید در آن حوزه چیز یاد بگیرید. مثلا به جای اینکه به شکل کلی سراغ یادگیری «تست نفوذ» بروید، بهتر است در چیزی مثل جنگو متخصص شوید و مشکلات امنیتی آن را بشناسید. بهتر است به جای سواد عمومی، دارای سواد تخصصی شوید. چند سال تمرکز روی یک چیز، می‌تواند شما رو به یکی از بهترین‌های آن چیز تبدیل کند.

هیچ کس نمی‌تواند به شما بگوید چه مدت زمان برای متخصص شدن لازم است. آدم ها، توانایی‌های آن‌ها، علاقمندی‌هایشان و استعدادشان فرق می‌کند. اگر واقعا می‌خواهید یکی از بهترین‌ها باشید باید حوصله کنید و از مسیر لذت ببرید و دنبال میان‌بر نگردید. اگر حوصله ندارید می‌توانید اصولا به یک آدم غیرفنی ولی با ظاهر هیجان انگیز تبدیل شوید. چند کلمه قلمبه سلمبه، یاد گرفتن استفاده از چند برنامه (مثلا مرور ابزارهای کالی لینوکس) و حتی داشتن چند لینک در دارک نت و ارتباط با هکرها و خریدن اطلاعات از آن‌ها، روشی دیگر برای ادای یک هکر را در‌آوردن است که شاید برای یک بیزنس من، خیلی هم سر راست تر باشد ولی برای کسی که به مسائل فنی عشق می‌ورزد و قدرت واقعی را می‌خواهد، نچسب‌ترین چیز است.

اگر واقعا می‌خواهید متخصص امنیت شوید، حوصله کنید و یاد بگیرید و خواهید دید که نه فقط قدم به قدم شاهد پیشرفت خودتان خواهید بود که حتی از مسیر هم حسابی لذت خواهید برد. اما یادتان باشد همیشه مسائل قانونی را رعایت کنید و فراموش نکنید که بهترین متخصصین امنیت، باید سابقه تمیز و قابل ارائه ای داشته باشند.

اگر شما هم چیزی دارین که به نظرتون خوبه به مطلب اضافه بشه، خوشحال می شم در کامنت ها بگین تا بعدا به اصل مطلب اضافه کنم.

مرتبط:
چگونه هکر شویم، ترجمه فارسی از یک هکر واقعی یعنی اریک ریموند

دردسر گوشی‌های غیر امن ترامپ

Republican presidential candidate Donald Trump listens to his mobile phone during a lunch stop, Thursday, Feb. 18, 2016, in North Charleston, S.C. (AP Photo/Matt Rourke)

ترامپ هنوزم از آیفون شخصی اش به شرکای تجاری‌اش، فامیلش و دوستای قدیمی زنگ می‌زنه! از کاخ سفید با یک تلفن معمولی و مکالمه روی شبکه موبایل عمومی. به گفته نیویورک تایمز این به سازمان های جاسوسی چین و روسیه فرصت می ده تا به سادگی به این مکالمات دسترسی داشته باشن.

این گزارش مبتنی بر گزارش‌های سازمان‌های جاسوسی آمریکا است که می‌گن ترامپ در مقابل درخواست اونها برای عدم استفاده از گوشی موبایل شخصی‌اش، مقاومت کرده. جایگزین صحیح برای مکالمه، خصوص امن کاخ سفید است که البته بازهم در طرف مقابل، قابلیت ردگیری توسط سرویس‌های جاسوسی رو خواهد داشت. بر اساس این گزارش‌ها، تنها امید سرویس‌های امنیتی آمریکا اینه که ترامپ در این مکالمات، از مسائل محرمانه حرف نزنه. البته کماکان گفته می‌شه مدارکی در دست است که چین به این مکالمات دسترسی داره و از اونها برای نزدیک شدن به کسانی که ترامپ بهشون نزدیکه استفاده می‌کنه تا روی سیاست‌گذاری‌های ترامپ علیه چین، تاثیر بذاره. همین گزارش می گه روسیه کمتر دنبال این کاره چون در حال حاضر نزدیکی کافی به ترامپ داره!

اما تلفن‌ها! ترامپ سه تا تلفن همراه داره. دو تاشون از سیستم‌های امنیتی سازمان امنیت ملی استفاده می‌کنن که احتمال هک شدن و شنودشون رو بسیار پایین میاره ولی آیفون سوم مال خودشه و این برنامه‌ها روش نیست؛ درست مثل هر آیفونی که هر کس دیگه‌ای استفاده می‌کنه. گزارش می گه ترامپ از این گوشی استفاده می کنه چون می تونه کانتکت‌ها رو روش ذخیره کنه و راحت به آدم ها زنگ بزنه!

رییس جمهور قبلی یعنی اوباما، از یک آیفون تغییریافته استفاده می‌کرد که اصولا امکان برقراری تماس یا عکس گرفتن نداشت و تنها کاری که می تونست بکنه دریافت مسیج‌هایی بود که به یک ایمیل خاص فرستاده شده بودن. این آیفون حتی میکروفون هم نداشت و اسمس زدن از روش ممنوع بود. حالا این رو مقایسه کنین با تلفن اندرویدی که ترامپ تا مدتی قبل استفاده می‌کرد و ظاهرا آپدیت هم نشده بود.

در آخر این رو هم اضافه کنم که ترامپ در طول کمپین تبلیغاتی‌اش علیه اپل حرف زده بود و حتی پیشنهاد تحریمش رو داده بود ولی ظاهرا حالا نظرش عوض شده و قبول کرده به جای گوشی اندرویدی قدیمی‌اش، به یک آیفون جدید سوییچ کنه.

رادیوگیک ۸۷ – صورتش رو بیارین جلو

در این شماره از رادیوگیک، با پلیس ها درگیر هستیم. کسانی که صورتشون رو از موبایل‌های ما دور می کنن تا بعدا بتونن صورتمون رو جلوی گوشی‌هامون بگیرن. از هک می گیم و مشکل حاد هسته لینوکس و هکر کلاه خاکستری ای که شما رو هک می کنه تا امن‌تر باشین. با رادیوگیک باشین تا ببینم مشکل اتحادیه اروپا با میم‌های خنده‌دارمون چیه.

با این لینک‌ها مشترک رادیوگیک بشین

اخبار

درصد کاربران گوگل که آی پی نسخه ۶ دارن به ۲۵٪ رسید

گوگل در یک نمودار ساده، تعداد کاربرانی که از آی پی ۶ استفاده می کنن رو نشون می ده. این عدد حالا به ۲۵٪ رسید. [بعد از مدت ها که حرف زدیم + اهمیت توجه بهش در ایران چه از نظر سواد چه از نظر تکنولوژی ]

هکر کلاه خاکستری که میکروتیک‌های مشکلدار مردم رو پچ می کنه

رنگ کلاه ها. حالا یه خاکستری که روسی حرف می زنه داره اینترنت رو می چرخه و به میکروتیک های پچ نشده ای که پیدا می کنه نفوذ می کنه و … چیکار می کنه؟ فایروالشون رو تنظیم می کنه تا دیگه نشه بهشون نفوذ کرد (: آی دی اش alexy است و مدعیه که بیشتر از ۱۰۰هزار میکروتیک رو پچ کرده. اون توی کامنت تغییر فایروال می نویسه که کیه و چرا اینکار رو کرده و‌آدرس تلگرام رو هم می ده ولی می گه فقط ۵۰ نفر باهاش تماس گرفتن و گاهی هم عصبانی بودن! این مشکل امنیتی که می گیم CVE 2018 14847 است.

معرفی وای فای ۶

وای فای ۶ هم معرفی شد. حتما می دونین که قبلا اسم ها اینقدر اسون نبود و بهشون می گفتیم 802.11ac یا 802.1n. این نسخه ها که پیش رفتن معمولا بحث سرعت بیشتر و رسیدن به فاصله بیشتر و اینطور چیزها بود ولی یک متخصص لازم بود که بدونه اسم ها چین و چی از چی بهتره. به همین خاطر wifi alliance حالا اعلام کرده که وای فای بعد یکه قرار بود 802.11ax باشه رو با نام وای فال ۶ خواهیم شناخت تا با نگاه کردن به قوطی دستگاه، مثل آدم بتونیم بگیم کدوم از کدوم بهتره.

مشکل امنیتی هسته لینوکس

یک محقق امنیتی که برای پروجکت زیروی گوگل کار میکنه هم PoC یک مشکل در کنرل های ۳.۱۶ تا ۴.۱۸.۸ رو منتشر کرده. جان هورن با گزارش CVE-2018-17182 نشون داده که با غیرمعتبرکردن کش و استفاده از ساب سیستم مدیریت حافظه لینوکس می تونه حمله UseAfterFree بکنه. شکلی از حمله که گاهی باعث فریز شدن سیستم می شه و گاهی حتی اجازه ارتقاء دسترسی می ده. به گفته اون این حمله در حدود یک ساعت، اجازه دسترسی روت در شل می ده. خودش هم میگه که بعد از گزارش با سرعتی بسیار سریع مشکل رفع شده ولی خب ما باید آپدیت کنیم. البته مشکل اینه که توزیع ها در چه زمانی این آپدیت رو زدن. گاهی یک هفته طول کشیده که خب فرصت فوق العاده ای به هکرهای متخصص و پر اراده می ده برای سوء استفاده.

در اعماق

آیا چین با یه چیپ ریز ریز به عمق آمریکا نفوذ کرده؟

در سال ۲۰۱۵ آمازون به این فکر می کرد که شرکت المنتال رو بخره. شرکتی که تخصصش فشرده کردن ویدئوها و استریم کردنشون برای دیواس های مختلف بود. این شرکت قبلا به پخش زنده المپیک کمک کرده بود، اجازه داد درون های سی آی ای با مراکزشون فیلم زنده مخابره کنن و غیره و غیره. در حین پروسه خرید، آمازون از شرکتی کمک گرفت تا محصولات این شرکت رو بررسی کنه و چیز عجیبی کشف شد. ظاهرا سرورهای سریعی که این شرکت استفاده می کرد یک چیپ کوچیک اضافه بر طراحی اصلی داشتن. سرورهای سوپرمیکرو یکبار دیگه به کانادا فرستاده شدن تا یک شرکت دیگه هم اونها رو بررسی کنه و نتیجه مشابه بود: یک چیپ بسیار کوچیک به اندازه دونه برنج که توی طراحی اصلی نبود. این مساله به مسوولین آمریکایی گزارش داده شد. این سرورها تقریبا همه جاهای مهم بودن. از سی آی ای تا کشتی های جنگی. ظاهرا نتیجه تحقیقات می گه که اضافه شدن این چیپ در پروسه اسمبل شدن بورد در چین اتفاق افتاده! [توضیح شخصی: کسی جوابی نداره هنوز. نقد زیاده. احتمالش هم هست. ولی به هرحال داریم آینده رو می بینیم]

شرکت‌های سهام عمومی کالیفرنیا دیگه نمی تونن هیات مدیره فقط مرد داشته باشن

درک خبر برای خیلی از ما کمی سخته. بخصوص اگر طرفدار حقوق برابر باشیم سریع می ریم سراغ اینکه …
از ۲۰۱۹، حداقل یک زن باید در هیات مدیره شرکت هایی که سهامشون عممی است باشه.

پلیس و رمزهای ما
دو تا خبر هم داشتیم. اولی اینکه نیوزلند قانونی تصویب کرده که اگر حین ورود به کشور پلیس از شما پسورد لپ تاپ یا تلفن‌تون رو بخواد باید اونو بدین و اگر ندین، ۵۰۰۰دلار جریمه می شین. دومی هم اینه که اف بی آی در یک مورد در حین دستگیری یک جوون متهم به کودک آزاری، مجبورش کرده به آیفونش نگاه کنه تا از طریق چهره‌، آنلاک بشه. در موردی مرتبط هم اف بی آی به مامورینش دستور داده تا اگر آیفونی از کسی گرفتن نباید صورتشون رو جلوی صفحه اش بگیرن چون ممکنه بعد از چند بار تلاش برای تشخیص صورت،به اجبار برای آنلاک شدن پسورد رو بخواد.
پین و پسورد ۱۵
پترن ۱۷
چهره / انگشت ۵۹
بدون لاک ۹

آرتیکل ۱۳ (تامه علی)
ابد درمورد این موضوع article 13 شنیدی. قانونی که اروپا داره میگذرونه (یا گذرونده؟) که به موجب اون شرکت های ارائه دهنده خدمات اینترنت اصلی و آپلود فایل(حتی گوگل و فیسبوک) مسئول فایل های آپلودی هستن. بدین معنا که چنانچه فایلی قوانین مربوط به کپی رایت رو نقض میکنه باید حذف بشن و دونه دونه مورد بررسی قرار بگیرن.
تا اینجاش خبر بقدر کافی وحشتناک هست! زمانی بدتر میشه که بدونیم موضوع دامن میم های عزیز و گیف های فان رو هم میگیره و دنیای 9gag رو هم تکون اساسی میده. احتمالا به موجب این قانون meme و gif هایی که داخل اونها از محتوایی استفاده شده که تحت قانون کپی رایت قرار گرفتن نباید آپلود بشن. این یعنی کلی محتوای فان از سراسر نت تبدیل میشه به محتوای غیرقانونی.

بخش آخر

آرو بخونیم.. بشنویم

آیا واقعا این روزها باید بی توجه بخونیم؟ به نظر میاد تکنولوژی علیه آروم و دقیق خوندن می جنگه. حالا راحت با شست رو گوشی اسکرول می کنیم و سریعتر از هر کتاب ورق زدنی، بخش های مختلف متن رو می بینیم و می رسیم آخرش. خوندن از روی گوشی چشم ها رو خسته می کنه و بدن ترجیح می ده بره سراغ یک کار دیگه. الان بالای مقاله ها می نویسن که خوندنش ۱۰ دقیقه طول میکشه ولی حوصله اون رو هم نداریم [گریز به اینستاگرام و نخوندن و حرف زدن . …]

ماریان ولف که نوروساینتیسن است می گه که این «استاندارد جدید» سر سری رد شدن باعث «تغییری نادیدنی ولی بسیار مهم» در شکل درک ما از کلمات می شه. مدارهای عصبی که توانایی مغز برای خوندن و درک رو فعال می کنن حالا به جای تمرکز و دقیق فهمیدن روی سریع رد شدن و سری سری خوندن تربیت می شن.

البته حالا مساله خطرناکترین چیز ممکن هم نیست. ما همیشه چیزهایی رو سرسری می خوندیم و از ۹ سالگی مغزمون یاد می گیره که به جای تک تک کاراکترها، کلمات رو بخونه و حین خوندن به جاهای مختلف صفحه نگاه کنه که ببینه جلوتر چه خبره! از یک نظر هم شاید اسکیم کردن، بخشی از شیوه طبیعی رفتار مغز ما باشه.

قبلا هم این استرس رو داشته ایم. اینکه فرهنگ ما از سمت رمان های بلند به سمت داستان های کوتاه اومده یک شاهد این ماجرا است. در ۱۹۸۹ نویسنده ای گفته بود که «اینکه سونات ها و هایکوها محبوب هستن نشون دهنده این نیست که بازه توجه ما داره کوتاهتر می شه».

ولی مطمئنا اینترنت شیوه خوندن ما را تغییر داده. ما الان چیز بیشتری برای خوندن داریم چون آدم های بیشتری می نویسن. فقط کافیه چند دهه عقب بریم و تعجب خواهید کرد که چقدر کم چیزی نوشته می شد،‌ البته بیرون مدرسه. تقریبا هیچ وقت نمی دیدین که کسی در کافه نشسته باشه و مشغول نوشتن باشه که الان داره چی می خوره یا به دوستش نامه بنویسه و بپرسه امروز صبح چیکار کرده و برنامه اش برای عصر چیه.

در دوران آنالوگ نوشته ها بسیار دیرتر از زمان نوشته شدن خونده می شدن. در دوران دیجیتال تقریبا هر نوشته ای خیلی زود به مخاطب می رسه. گاهی همزمان که شما دارین می نویسین۷ یکی داره می خونه! یا کامنت های یک مطلب تقریبا به محض انتشارش شروع به رشد می کنن.

بیلی کالینز (شاعر) می گه که «شعر قطع کردن سکوت است در حالی که روزمره نویسی، نویزی دائمی است». ما الان گفتن و عکس العمل نسبت به کلام (با کلام) بیشتری داریم تا گوش کردن و خوندن و فکر کردن بهش.

احتمالا خوبه که آروم باشیم. هر روز کلی چیز در مزایای آرومی می شنویم – مثلا در ستایش اینکه خودمون آشپزی کنیم و فست فود نخوریم یا به بچه ها فرصت بدیم با حوصله و زمانی که خودشون لازم دارن دنیا رو کشف کنن و … اما آروم خوندن هنوز مرسوم نشده. هی به ما می گن مطالعه خوبه و آدم ها خوشحالن که کتاب ها رو سریع بخونن و تموم کنن ولی شاید برعکسش بهتر باشه.

تجربه بلند خوندن این وسط می تونه جالب باشه. چیزی رو برای همدیگه بخونین. اگر تو رابطه هستین برای طرفتون کتاب خبونین یا مقاله. و اینجوری می بینین که چطوری هر کلمه از جلوی چشمتون به مغز می رسه و بعد به زبون و لذت خوندن بیشتر می شه. اینجوری مغز تمرین می کنه تا بتونه چیزهای بلندتر رو بخونه. ما الان کلی خبر می خونیم و رنج می کشیم. شاید اگر کمتر بخونیم ولی عمیق تر وضعمون بهتر باشه. آروم خوندن سخته ولی در واقع هدیه دادن زمان است بدون تضمین سود. اول که شروع کنین چیزهای طولانی رو آروم بخونین احتمالا کلافه خواهید شد. گفته می شه مغز ما شدیدا شکل پذیره و اگر در طول چند سال فقط چیزهای کوتاه و سریع خونده باشیم، دیگه سختشه مسیرهای جدیدی برای خوندن چیزهای طولانی ایجاد کنه. ولی این تمرین لازمه اگر قراره از متن اخبار و جک ها و شوخی ها و توصیه های علمی تک جمله ای و پاراگراف هایی که سعی می کنن علوم رو توضیح بدن فراتر بریم و به دانشی واقعی برسیم.

این روزها درآمد اکثر سرویس های بزرگ اینترنت از «وقت» و «توجه» ما است و واقعا روی این با هم رقابتی جدی می کنن. من و شما اما اگر می خوایم چیزی بیشتر از مرکز درآمد این سیستم ها باشیم (چه درآمد سیاسی / چه عقیدتی / چه تبلیغاتی) لازمه که کنترل زمان و توجه خودمون رو توی دستمون بگیریم و اولین قدمش هم اینه که بتونیم «توان توجه» یا «بازه توجه» خودمون رو زیاد کنیم. بتونیم مغزمون رو دوباره پرورش بدیم که برای مدتی طولانی درگیر یک چیز بشه و اینطوری بتونه دانش انباشت کنه. شاید یک روشش تمرین برای آروم خوندن است. و آروم گوش کرد.

نامه ها

سمانه:
در رادیو گیک نمره‌ی هشتاد و چهار؛ به این نکته اشاره کردی که هلیوم زمین داره تموم میشه. من فکر میکنم این شاید به درستی بیان نشده.

هلیوم عنصر بسیار نادری در زمین هست ( حدود چند اتم در هر یک میلیارد اتم و در جو از مرتبه ی حدود پنج اتم در هر یک میلیون اتم). اما میانگین سرعت اتمهای هلیوم از سرعت فرار از سطح زمین بیشتره (سرعت فرار به سرعتی گفته میشه که اگر سنگی رو روی سطح زمین با اون سرعت پرتاب کنیم دیگه برنمیگرده پاییین. گازهای سبک مثل هیدروژن و هلیوم چون ریزه میزه هستن سرعتشون بیشتره و بخاطرهمین سرعتشون از سرعت فرار از سطح زمین بیشتره و …) اما با این وجود پس نباید همین مقدار هلیوم در جو زمین وجود داشته باشه و باید تمام هلیوم از زمین طی این چند میلیارد سال گریخته باشه! پس چرا هنوزم هلیوم روی سطح و داخل جو زمین هست؟!

جواب خیلی جالبه: هلیوم در واپاشی هسته‌های اتم های سنگین مثل اورانیوم، توریوم و … تولید میشه. در حقیقت اون تابش آلفا که توسط برخی رادیو ایزوتوپ ها تولید میشه همون هسته ی هلیوم هست. نرخ تولید هلیوم در فرآیند های واپاشی آلفا اونقدر زیاد هست؛ که هنوز توی جو چند صد هزار تن هلیوم وجود داره.

اما بزرگترین ذخایر هلیوم همون مخازن گاز طبیعی هستند که هلیوم تولید شده در پوسته های زیرین همراه با گاز طبیعی در زیر طاقدیس ها ی سنگ سفت محبوس شده.. به طور معمول حدود یک تا پنج درصد گاز طبیعی رو هلیوم تشکیل میده که با این حساب یک چهارم ذخیره ی هلیوم قابل استحصال در پارس جنوبی جمع شده که متاسفانه ما اون رو از گاز و میعانات جدا نمیکنیم و ول میدیم بره!

پنج درصد از گاز طبیعی خیلی عدد خوبیه انقدر خوبه که ما نباید نگران باشیم. البته برخی معتقدند باید قیمت هلیوم بالاتر بره تا الکی توی مصارف داغون هدر نره اما خب بنظر میرسه ما خیلی هلیوم داریم. بهتره نگران عناصر دیگه ای باشیم مثل لیتیوم که واقعا شاید خیلی سریع تموم بشن

تبریک ها

پیشنهاد تبریک به آمازون برای اینکه بعد از ۱۱ سال تصمیم گرفت روی کیندل از عربی پشتیبانی کنه. در قدم اول ۱۲ هزار کتاب عربی روی کیندل استور منتشر شده که بعضی از آثار ادبی آشنا برای ما هم توی لیست هست. مثل هزار و یک شب. و خبر مردن پل آلن از بنیانگذاران مایکروسافت. تبریکی هم داریم به مایکروسافت که سورس ام اس داس رو توی گیت هابش گذاشته

موسیقی

  • آهنگ دقیقه ۹ از سینا شیخی است
  • آهنگ آخر when you came into my life است از طرف نوید تقدیم به شکوه، ​هیچ چیزی نمی‌تونه بین آشنایی ۱۰ ساله دو تا رفیق فاصله بندازه. ​ هر جا که هستی و هر کاری که می‌کنی​، فقط عاشق بودن و فراموش نکن.​

  • و آهنگ اندی از طرف وحید بود به تهمینه برای شادی همیشگی

ادعای هک سخت‌افزاری چین علیه اپل، دولت امریکا و آمازون و تکذیب همگانی

امروز بلومبرگ یک گزارش جالب / عجیب داشت؛ ادعای هک سخت افزاری که احتمالا یکی از بزرگترین خرابکاری‌های سخت افزاری است که بین دولت‌ها گزارش شده. این گزارش می‌گه که چیپی رو سرورهای سوپرمیکرو پیدا شده، سرورهایی که که توسط آمازون، اپل و سی شرکت دیگه آمرکایی و حتی در مواردی در ارتش آمریکا و سازمان‌های جاسوسی اون کشور استفاده شدن. این چیپ اضافه که در طراحی اولیه نبوده، اندازه یک دونه برنج است و کشفش به سال ۲۰۱۵ برمی‌گرده که «اپل بعد از بررسی چند مشکل در شبکه و ایرادهای مربوط به فرم‌ور، یک چیپ مشکوک بر روی سرورهای سوپرمیکرو پیدا کرد». این چیپ بخشی از طراحی اولیه‌ای که سوپرمیکرو برای ساخت به چین سفارش بود نبود و این مساله تحقیق بسیار سری ۲ ساله‌ای رو شروع کرد.

گزارش فعلی می‌گه که «از اونجایی که چیپ بسیار کوچک است، کدی که روی اون ذخیره هم بسیار کوتاهه. این کد می‌تونه دو کار اصلی روانجام بده: به دستگاه بگه تا با کامپیوتری ناشناس ارتباط برقرار کنه که حاوی کدهای مفصل تر است و به سیستم عامل بگه که این کدها رو روی سیستم بپذیره». این گزارش مدعی است که افراد مرتبط با دولت چین تونستن به محل ساخت مادربردها نفوذ کنن و چیپ‌ها رو به طراحی مدارها اضافه کنن.

این چیپ‌ها بر اساس مدل مادربردها مختلف هستن و این گزارش می گه که از طرف آمازون هم به دولت آمریکا گزارش شده‌اند و اگر واقعیت داشته باشن، یک هک سخت افزاری لایه پایین بسیار خطرناک هستن که البته سال‌ها است در مورد احتمال وقوعش صحبت می‌شه. شاید جالب باشه اضافه کنم که دولت آمریکا با وجود همه ایده‌های سرمایه دارانه‌اش، کارخونه چیپ‌سازی خودش رو داره چون معتقده چیپ‌هایی هست که نمی‌شه در مورد ساختشون به چینی‌ها اعتماد کرد.

اینکه این مساله واقعی است یا نه پیچیده است. بخصوص که اپل و آمازون هر دو گفتن که چنین چیزی و چنین کشفی حقیقت نداره و احتمالا بلومبرگ در مورد کشف یک بدافزار در فرم‌ور یک سرور سوپرمیکرو در ۲۰۱۶ صحبت می‌کنه و اضافه می‌کنه که از سال ۲۰۱۵، اپل از سرورهای سوپرمیکرو استفاده نمی‌کنه.

ما هم نمی‌تونیم نظر قطعی بدیم. از یک طرف طراحی یک چیپ که به شبکه و سیستم عامل فرمان بده ولی در مدار دیده نشه، کار بسیار سختی است و از اونطرف وقتی پول کشورها پشت چنین کارهایی است، مساله آسونتر می‌شه. از طرف دیگه، اگر بخوان چنین کاری بکنن احتمالا راه‌های ساده تری است ولی همزمان قطع ارتباط اپل و سوپرمیکرو از ۲۰۱۵، موضوع رو مشکوک تر می کنه.

به هرحال چه واقعی باشه چه نه، چیزی است که به زودی بیشتر و بیشتر شاهدش خواهیم بود. این پیچیدگی و عدم اطمینان، با پیچیده شدن سیستم‌ها، بیشتر هم خواهند شد. یادمون باشه سفارت‌ خانه‌های شوروی تا همین چند وقت پیش هنوز از ماشین تایپ کلاسیک استفاده می‌کردن چون نمی‌خواستن آمریکایی‌ها، کل ارتباطاتشون رو بخونن.

آپدیت: وزارت امور خارجه چین هم تکذیب کرد