بایگانی برچسب: s

دیتا دلار استور: مغازه ای که به جای پول، اطلاعات شخصی شما رو می گیره

ضرب المثل قدیمی می گه «اگر در شرکتی در مقابل چیزی که می گیرین پول نمی دین، شما مشتری نیستین، کالای اون شرکت هستین». این در اینترنت درست تر از همیشه شد. شرکت های بزرگ فقط برای اینکه شما رو بشناسن، حاضرن به شما سرویس بدن. گوگل حاضره رایگان به شما ایمیل بده به این شرط که محتوای اونها رو نگاه کنه. اینستاگرام حاضره عکس های شما رو نگه داره در مقابل اینکه بفهمه چیکاره هستین و چی دوست دارین و بهتون تبلیغ نشون بده و غیره و غیره. الگوریتم ها در این روزها شما رو می شناسن تا مثلا فیسبوک بتونه به یک تبلیغات چی اجازه بده انتخاب کنه که تبلیغاتش به «زنان سرپرست خانوار با میزان درآمد متوسط که یک فامیل درجه یک مبتلا به اوتیسم دارن» نشون داده بشه.

حالا کسپرسکی برای تایید روی اهمیت این اطلاعات مغازه به اسم «دیتا دلار» باز کرده. داخل این مغازه می تونین تی شرت، ماگ و پوستر پیدا کنین ولی به جای پول باید اطلاعات شخصی خودتون رو به صاحب مغازه بدین و بعد با کالایی که انتخاب کردین بیاین بیرون. مثلا اگر می خواین یه ماگ بردارین باید سه تا عکس یا اسکرین شات واتس اپ، اسمس ها و صفحه اول ایمیل خودتون رو ارائه بدین. اگر علاقمند به یک تی شرت هستین باید دقیقا سه تا عکس آخری که گرفتین رو بدین و سه تا مسیج آخرتون رو. اگر دنبال یک پرینت اوریجینال باشین باید تلفن رو کلا به مسوول فروشگاه بدین و اون می تونه تو عکس ها بچرخه و پنج تا عکس یا سه تا اسکرین شات به انتخاب خودش برداره.

کسانی که برای خرید اومدن ظاهرا میزان قابل توجهی استرس نشون دادن و خارج شدن و اکثرا قبل از خرید، گشتی تو گوشی زدن تا ببینن چی روش هست. نکته جالب؟ شرکت ها تقریبا به همه اینها دسترسی دارن. این فروشگاه هم مثل یک اثر هنری است و قبل از اینکه آدم ها با تلفن های خالی راهی اینجا بشن جمع می شه ولی مدیرش می گه «کسپرسکی امیدواره که مردم بفهمن چه اطلاعاتی رو دارن به رایگان به شرکت ها می دن؛ هر لحظه و هر ساعت و هر روز شما مشغول به اشتراک گذاشتن این اطلاعات با شرکت ها هستین و فعلا هم که کسی جایزه ای در مقابل این به اشتراک گذاری نگرفته».

رادیوگیک شماره ۷۶ – پر از تقبیح

در شماره جدید رادیو گیک به درهایی سر می زنیم که با اشتباه کارخونه سازنده دیگه باز نمی شن و دستگاه هایی که از دی ان ای ها، ویروس می گیرن! با ما باشین تا در کمال شرمندگی از خودمون، از دولت های خبیث فاصله بگیریم!

با این لینک‌ها مشترک رادیوگیک بشین

اخبار

یک آهنگ با ۱۰ دقیقه سکوت، ترک ۴۴م پر فروش آیتونز این هفته است
آقای سمیر رژامی یه آهنگ خوب ساخته و منتشر کرده: aaaaa very good song که ۹ دقیقه و ۵۸ ثانیه سکوت است. ارزشش؟ خودروهایی که اتوماتیک وصل می شن به گوشی و از اول شروع می کنن آهنگ ها رو پخش کردن. حداقل ۵هزار نفر این مشکل رو داشتن و نفری ۹۹سنت پول دادن اینو خریدن که ۱۰ دقیقه اول که تو ماشین هستن چیزی پخش نشه! (: ایده خوب هست، نگین نیست

ویمو waymo برای تست ماشین های خودکارش یک راه حل پیدا کرده: ساخت یک شهر

ویمو بخش ماشین های خودکار گوگل است. در واقع ماشین های خودراننده. این شرکت همیشه برای تست ماشین ها مشکلات متنوع داشته و اتفاقا از بخش هایی در گوگل است که نسبتا هم مخفی نگه داشته شده. حالا اونها از دو پروژه مختلفشون پرده برداشتن. اولی یک شهر کاملا تقلبی در کالیفرنیا،‌صد مایلی سیلیکون ولی که اسمش رو گذاشتن قلعه و پر است از خیابون که بشه توش خودروهای خودراننده رو تست کرد. همه جور تستی. مثلا اینکه یکی بپیچه جلوی ماشین یا بستن خیابون ها با موانع و این چیزها. هاها.. بهترین روش حل مشکل : شهر خودتون رو بسازین.

وب اسکریپتینگ هک کردن نیست
در رای ای مهم، دادگاه فدرال کالیفرنیا رای داده که اسکریپ وب برای جمع کردن دیتا برابر هک کردن نیست. شاکی لینکدین بوده و متشاکی شرکت های.کیو که کارش جمع کردن اطلاعات از سایت هایی مثل لینکدین است و فروختن اونها به شرکت ها. حکم دادگاه [توضیح اینکه چرا مهمه] و ۲۵ صفحه است که توش می گه اسکریپ حتی بعد از درخواست سایت مبنی بر توقف کار هم، غیرقانونی نیست. طبق رای وقتی چیزی روی اینترنت قرار می گیره به عموم اجازه دسترسی به اون داده شده؛ مثال قاضی مغازه ای است که درش قفل نیست و در ساعات کاری یک نفر می تونه بره تو و به همه اجناس نگاه کنه.

حرکت مایع گونه الکترون‌ها در گرافین، موج جدیدی در فیزیک ایجاد می کنه

هوم.. فیزیک دانمون رو نداریم برامون توضیح بده‌ ): خیلی بده. ولی خب.. خبر می گه که با مشاهده حرکت غیرعادی الکترون ها در گرافین، درک جدیدی از مواد رسانا پیدا شده. گرافین با خاطر ساختار دو بعدی اش بارها از مثلا مس رسانا تره ولی از اون مهمتر شکل حرکت الکترون ها است که بر خلاف فلزات رسانای مرسوم، گاهی چندین میکرون رو بدون پخش شدن حرکت می کنن. محققان این تحقیق که توی نیچر فیزیکز منتشر شده می گه که الکترون های بررسی شده حتی سریعتر از الکترون هایی حرکت می کردن که کاملا آزاد بودن. درک من از مطلب اینه که الکترون های کاملا آزاد حرکت های پخش شونده بیشتری دارن از الکترون هایی که روی سطح گرافین جاری می شن. به هرحال تخص من نیست ولی لازم بود بگیم چون می گن درک جدیدی از جهان ممکنه به ما بده!

شنود توسط قطعات تعمیری موبایل

مقاله ای که این هفته توی یوزنیکس آفنسیو تکنولوژی منتشر شده خیلی چشم گیره. نشون می ده چطوری تعمیرکاری می تونه گوشی ای که بهش برای تعمیر داده شده رو با اسکرین / دیسپلی جدیدی به صاحبش پس برده که برای اکثر آدم ها قابل تمایز گذاشته شدن با اسکرین اصلی نیست ولی این توانایی رو داره که نه فقط چیزهای تایپ شده رو ذخیره کنه که بدافزار نصب کنه یا حتی پترن ها رو هم نگه داره. هزینه چنین اسکرینی اگر در مقیاس صنعتی ساخته بشه تقریبا ۱۰ دلار بیشتر از اسکرین اصلی خواهد بود. برای نمونه روی یک ال جی پد ۷ و یک نکسوس ۶پی نصب کردنش و هم درایور آی او اس رو نشون دادن هم درایور اندروید رو. در واقع به این تیپ حملات می تونیم کم کم اسم chip in the middle attack بدیم.

و برقصین؛ پیری رو کند می کنه
ماکه پیر تر می شیم، تغییراتی منفی رو در سلامت بدن و مغز شاهد هستیم. حالا یک مقاله جالب توی ژورنال آزاد پیشگامان نوروساینس چاپ شده که می گه فعالیت فیزیکی این روند رو کند می کنه و یکی از بهترین کندکننده ها، رقص است (: دکتر کاترین رهفلد رهبر این تحقیق می که که دو فعالیت اصلی ورزش استقامتی و رقص می تونن پروسه پیری رو کند کنن یا حتی در مواردی معکوس. خبر خیلی قرص و محکمی نیست ولی خب برای مایی که اسم رقص هم برامون ممنوعه، شنیدنش باحاله… برقصین حالش رو ببرین [آهنگ شاد]

در اعماق

دری که باز نمی شه

توی یکی دو تا پادکست قبلی، در مورد دری که کلید نداره حرف زده بودیم. بحث اینترنت چیزها و اینکه چطوری اضافه کردن پیچیدگی به چیزهایی که وظایف ساده دارن، مسیر رو سخت می کنه. اخیرا لاک استیت که یک شرکت سازنده قفل های هوشمند است، اشتباهی آپدیتی که باید به سری ۷۰۰۰آی می فرستاد رو به سری قفل های ۶۰۰۰آی فرستاد و اونها دیگه نتونستن به شبکه مادر وصل بشن: چیزی که در بسیاری از دیوایس های هوشمند پایه ارتباط هایی مثل باز کردن از راه دور، وضعیت و .. هستن. حالا شاید فقط ۵۰۰ تا مهمون ایر بی اند بی و اینها گیر کرده باشن ولی باید درک کنیم که دنیا کدوم طرفی می ره.

آلوده کردن دستگاه خواننده دی ان ای با دی ان ای آلوده
بخش هایی از اخبار دارن ترکیبی از دنیای آینده می شن که حالا اتفاق می افتنن.. در آینده هستیم! این خبر می گه که محققان برای نشون دادن مشکلات پیش رو که حواسمون بهش نیست، روی دی ان ای اطلاعاتی نوشتن که می تونه کامپیوتری که مظلومانه داره دی ان رو می خونه رو آلوده کنه! در واقع بافری که دیتاهای دی ان رو می خونده اونها رو به شکل A, T, G و C ذخیره می کرده؛ در سایزی مشخص. حالا با یک حمله بافر اورفلو اونها تونستن کد اجرایی رو هم به حافظه ماشین خواننده تزریق کنن! در اصل کامندهای شل رو. اینکه با چنین چیزهایی چیکار می تونن بکنن شدیدا وابسته به اینه که ماشین های خواننده دی ان ای قراره در آینده چیکار کنن… و … حالا ریز بگم که یک تقلب کوچیک هم کردن چون خودشون کد خواننده رو هم نوشته بودن ولی به هرحال سعی کردن نشون بدن چنین چیزی رو.

ربات های قاتل و نامه ۱۱۶ نفره علیه شون

قبلا هم در رادیوگیک ازش گفته ایم ولی هی دارن نزدیکتر می شن: ربات های قاتل (کمی صحبت). حالا در یک نامه ۱۱۶ نفر از متخصصین هوش مصنوعی (شامل ایلان ماسک و مصطفی سلیمان از دیپ مایند گوگل و وزنیاک و هاوکینگز)‌ از «انقلاب سوم جنگ افزار» حرف می زنن. اونها می گن «کشنده های مستقل»‌ یک «پاندورا باکس» هستن که اگر توسعه پیدا کنن اجازه درگیری های نظامی عظیمتری از هر چیزی که درک می کنیم رو خواهند داد. ابزارهایی که تروریست ها ازش علیه جمعیت های بیگناه استفاده خواهند کرد و ابزارهایی که هک می شن تا کارهای غیرقابل تصوری بکنن. اونها می گن وقتی این جعبه پاندورا باز بشه، دیگه بستنش کار حضرت فیل است. اونها می خوان سازمان ملل این ابزارها رو ممنوع اعلام کنه. ربات های قاتل ابزارهایی هستن که به شکل کاملا مستقل اهداف خودشون رو انتخاب و هدف قرار می دن و می کشن. فعلا چنین چیزی نداریم و ابزارها برای عمل نهایی و حتی انتخاب هدف نیازمند دخالت یا تایید انسان ها هستن.

شارژ خودروهای برقی با بلاک چین در کالیفرنیا

خب عنوان خبر باحال نیست.. در واقع یک شرکت جدید به اسم ای.موتور.رک از بلاک چین استفاده کرده تا دارندگان شارژر خونگی خودروهای برقی رو به هم وصل کنه. شما عضو می شین، اجازه پیدا می کنین از شارژر دیگران استفاده کنین و دیگران هم می تونن توی پارکینگ شما از شارژرتون ماشینشون روشارژ کنن و بلاک چین حساب ها رو نگه می داره. دو تا بحث هست.. یکی استفاده از چیزهای بیکار [نظرات خودم در مورد خرید اشتراکی یا سیستم های اجاره و ..] و یکی ظهور بلاک چین در هر گوشه که داریم نگاهش می کنیم. از بیت کوین زیاد حرف می زنیم ولی تکنولوژی جذاب پشت ماجرا بلاک چین استکه موندگاره و رشد کننده.. کمی توضیح در مورد لجر و این چیزها. آهان اینم جالبه که کمپانی پشت ماجرا eMotorsWreck از خود اصل جریان سود برنمیداره بلکه این رو روشی می کنه برای سرمایه گذاری آدم ها در خریدن شارژرهای خونگی و اجاره دادنش به بقیه.. این کمپانی در واقع شارژر خواهد فروخت به کسانی که می خوان تو سیستم مشارکت کنن.

تشدید سرکوب آزادی بیان در اینترنت چین: نوشتن بدون اسم ممنوع

تبریک و تقبیح

مفصل

موسیقی

  • شروع با چامسکی که توضیح می ده هر عمل فردی می تونه مفید باشه
  • ادامه با حسن شماعی زاده و شادمهر
  • آهنگ تهران از سینا شیخی
  • آهنگ آخر رو هم که می شناسین

رادیوگیک شماره ۷۵ – وب عمیق.. وب تاریک. به خطر لاگین کنین

در این شماره ویژه از رادیو گیک از اول تا آخر در اعماق هستیم، در اعماق وب. در وب عمیق، شبکه تاریک یا به قول خارجی تر ها دیپ وب و دارک وب. جایی که افراطی ها توش هستن و چیزهایی که جایی در جاهای دیگه ندارن. با ما باشین تا سری بزنیم به جایی که خیلی ها بهش سر نمی زنن و ببینیم چرا گفته می شه فقط ۴٪ از وب، برای همگان شناخته شده است. با رادیو گیک به اعماق شیرجه بزنین!

با این لینک‌ها مشترک رادیوگیک بشین

کلیت

سه مفهوم جدا از هم باید بررسی بشن:

  1. دیپ وب
  2. دارک وب
  3. بیت کوین یا اصولا کریپتوکرنسی یا رمزپول

‪##‬ دیپ وب

توضیحات خودم. تور ماهیگیری. تاریخچه. وسعه. ۴چن.

وب تاریک یا دارک وب

‪##‬ دارک نت

آرپانت. توضیحات خودم. ابزار. تعریف. روش. مثال ها. تمرکز روی نمونه ها. داستان ها.

وب عمیق و وب تاریک

‪##‬ کریپتوکرنسی
توضیحات خودم [کوتاه]

موسیقی

  • موسیقی آخر رو اختصاص می دیم به چستر بنینگتون از گروه لینکین پارک که در همین هفته خودکشی کرد. موزیک نامب از لینکین پارک
  • مسیح محقق. باران ببار
  • حسین رنگچی. گریه کن
  • سینا حجازی – خوبم

آیا ربات تلگرام «حرفت رو ناشناس بهم بزن» امنیت داره؟

یکی از ایده های جالبی که هم خوب پیاده شد و هم خوب ازش استقبال شد، ربات حرف ناشناس تلگرام بود. شما می تونین عضوش بشین و لینکی درست می شه که از طریق اون بقیه می تونن بهتون ناشناس پیام بدن. اگر بخواین جواب بدین باید پول بدین ولی خب شما دقیق نمی دونین دارین به کی جواب می دین بلکه فقط می تونین متنی رو تایپ کنین و به دست اون ناشناس می رسه.

طبق گزارش های خودشون خیلی خوب استقبال شده و درآمد قابل توجهی هم داره. از نظر فنی هم پیاده سازی خوبه و هم زیرساخت. بحث های فرهنگی هم هست که چرا ما دوست داریم ناشناس پیام بگیریم یا چرا فکر می کنیم باید ناشناس پیام بدیم و این چیزها. یا مثلا فکر میکنیم لابد اگر آدم ها می تونستن بهمون ناشناس پیام بدن حتما چه حرف های مگویی داشتن که بگن ولی خب در عمل حداقل برای من که بخشی از پیام ها تشکر است و بخشی سوال! که خب من نمی تونم بهشون جواب بدم.

اما… اما آیا این امنیت داره؟ این سوال بارها از من پرسیده شده. جواب کلی اش اینه که «هر چیزی که در اینترنت می ذارین رو باید تصور کنین روزی توسط همه قابل دسترسی باشه». در خصوصی ترین و امن ترین جاها هم می شه تصور کرد که اطلاعات لو بره، پخش بشه یا دسترسی غیرمجاز بهش باشه. پس امنیت کلی اصولا روی اینترنت نداریم.

اما این ربات تا جایی که من می دونم امنیتی که ادعا می کنه رو داره. یعنی فرستنده و گیرنده نمی تونن با پول یا کلک یا روش دیگه ای هویت همدیگه رو کشف کنن. ولی خب مطمئنا نویسنده برنامه و کسانی که به دیتابیس ها دسترسی دارن (چه مجاز چه غیر مجاز چه به زور)‌ احتمالا می تونن به سادگی همه پیام ها رو بررسی کنن، هویت ناشناس ها رو ببینن و یا حتی به شکل معکوس ببین چه کسانی برای فلان شخص پیام فرستادن و پیامشون چی بوده. نمی گم این اتفاق روزمره می افته ولی از نظر برنامه نویسی این باید کاملا ممکن باشه.

حالا باید دید که خود گردانندگان ربات ناشناس، چه ادعایی در این مورد دارن. انتظار من اینه در چنین سازمان هایی میزان و شکل دسترسی به این اطلاعات کاملا تعریف شده باشه. این چیزی است که من معمولا در ایران ندیدم. مثلا اگر بانک ایکس پروژه اش رو می ده به شرکت ایگرگ، چیزی در این مورد که چه رده هایی از افراد شرکت ایگرگ به چه شکلی می تونن روی دیتابیس خریدهای آدم ها کوئری بزنن صحبتی نمی شه. در مورد ربات ناشناس هم خوبه چنین بحثی باشه که بدونیم توی اون شرکت چه آدم هایی به چه دلایلی ممکنه بتونن به دیتابیس دسترسی پیدا کنن و مثلا آیا یک برنامه نویس که اونجا کار می کنه می تونه تمام پیام های خصوصی که من فرستاده ام رو بخونه یا نه. این رو می شه هم از نظر اخلاقی و هم از نظر فنی محدود کرد.

پس به شکل خلاصه، پیام های ربات ناشناس مثل هر چیز دیگه روی اینترنت شاید روزگاری برای همه قابل دسترسی بشن ولی در حال حاضر تا جایی که ما می دونیم تنها کسانی که به دیتابیس ها دسترسی دارن (چه قانونی چه غیرقانونی چه به زور) می تونن پیام ها و هویت فرستنده ها رو کشف کنن – که احتمالا باید محدودیت هایی در شرکت برای این شکل از دسترسی تعریف شده باشه.

اگر حرفی هست در کامنت ها بگین و با وجودی که من طرفدار شفافیتم، برای ارتباط موضوعی اینم این لینک ربات ناشناس منه ((:

جادی تی وی – بررسی دو ترفند هیجان انگیز هکرهای روس در نوشتن بدافزار تورلا

تیم تورلا مجموعه ای از بدافزارها داره که احتمالا برای اهداف بسیار خاص طراحی شدن. محققین امنیتی اخیرا نشون دادن که این مجموعه از دو ترفند فوق العاده برای مخفی نگه داشتن مرکز عملیاتشون استفاده کردن. توی این ویدئوی ۷ دقیقه ای نگاهی می ندازیم به این دو ایده هیجان انگیز.

کار مرتبط با امنیت رو تجربی انجام ندین؛ ۵۰۰۰ ترابایت اطلاعات هدوپ ناامن هستن

قبلا هم توی رادیو گیک در این مورد حرف زدیم که راه انداختن سرویس با سعی و خطا معمولا اصلی ترین دلیل ایجاد مشکلات امنیتی است. وقتی ما نمی دونیم داریم چیکار می کنیم هی سیستم رو بازتر و بازتر می کنیم تا بالاخره اتفاق مورد نظر بیافته و بعد دیگه نمی دونیم حالا کجا رو باید ببندیم.

این اتفاقا مثل اینه که شما تلاش کرده باشین مجوز ورود یک فرد خاص رو به خونه تون بدین. چون دقیقا نمی دونین کدوم کلیدها رو باید براش بسازین، پنجره رو باز میذارین و بهش می گین بیاد تو. اون تست می کنه و نمی تونه. بعد در پارکینگ رو باز می کنین و بهش می گین بیاد تو، نمی تونه. بعد کلا قفل در رو می کنین و بهش می گین بیاد تو، اون نمی تونه چون پلاک خونه رو درست بهش نگفتین. بعد از اینکه چند بار دیگه سعی می کنین و اجزای دیگه خونه رو خراب می کنین، بالاخره می فهمین که مشکل اشتباه بودن پلاک بوده و این رو که هماهنگ می کنین اون با موفقیت می یاد تو و شما هم می گین «ایول.. پس درست شد!». و همه خونه بازه.

این اتفاق توی دنیای کامپیوتر هم بسیار مرسومه. وب سرور ما کار نمی کنه در نتیجه همه چیز ۷۷۷ می کنیم (قابل نوشتن و خوندن و اجرا توسط همه). بعد که بازم کار نمی کنه دسترسی ها رو عوض می کنیم و بعد یکهو یادمون می افته selinux باید خاموش بشه و اون رو خاموش می کنیم و درست می‌شه.

در شکل دیگه ای از این ایجاد مشکل که قبلا بسیار مرسوم بود و به تازگی بازم دائما دیده می شه، مدیر سیستم نیاز داره در مورد چیزی اطلاعات امنیتی دقیق داشته باشه ولی چون حوصله نداره این اطلاعات رو جمع کنه، به شکل تجربی برنامه ای رو نصب می کنه و همین که راه افتاد فکر می کنه مساله تموم شده. این مساله به راحتی می تونه شما رو با سیستم های کاملا دسترسی پذیر از کل جهان تنها بذاره. قبلا به مونگو دی بی نسخه های قبلتر اشاره کردم که اینستال دیفالتش بسیار ناامنه. حالا همین مساله به شدت با HDFS اتفاق افتاده.

در یک بررسی جدید نشون داده شده که حداقل ۴۴۸۷ مورد نصب دیفالت هدوپ قابل دسترسی در اینترنت وجود داره که بیشتر از ۵۰۰۰ ترابایت دیتا روشون ذخیره شده. از این تعداد ۱۹۰۰ تا در آمریکا و۱۴۲۶ تا در چین هستن. کشورهای بعدی آلمان و کره با ۱۲۹ و ۱۱۵ نصب قراردارن.

کل ماجرا تکراری است بر اینکه اگر نمی دونین دارین چیکار می کنین، اول یاد بگیرین یا از یک متخصص کمک بگیرین. نصب دیفالت گاهی می تونه بسیار خطرناک باشه و سعی و خطا کردن برای رسیدن به نتیجه مورد نظر، تقریبا همیشه همراه با تضعیف ایمنی سیستم است.