مصرف کنید: از توییت عکس ماهواره جاسوسی توسط ترامپ چی می فهمیم

چند روز قبل ترامپ با گذاشتن یه عکس با کیفیت فوق العاده بالا از یه سایت پرتاب ماهواره ایران، نوشت که عملیات پرتاب شکست خورده و آمریکا توش مقصر نبوده. مستقل از کشمکش های سیاسی، چیزی که عجیب بود این بود که رییس جمهور برای اولین بار به یه عکس از ماهواره جاسوسی ای رو نشون داده بود که توش هر ۱۰ سانتی‌متر روی زمین، تقریبا یک پیکسل شده بوده؛ و البته این عکس با گوشی موبایل فلاش دار، از یک مانیتور گرفته شده بود!

اسکات منلی توی این ویدئو در ده دقیقه توضیح می ده که ما دیگه چی می تونیم از این عکس کشف کنیم. با داشتن زمانی که بقیه ماهواره ها گزارش دادن و سایه ها باید بشه جای گرفته شدن عکس رو پیدا کرد. از رو اون می شه رسید به اینکه الان چه ماهواره ای باید اونجا باشه و شاید یه نفر سعی کرده باشه با تلسکوپش، از اون ماهواره جاسوسی عکسی بگیره!

پلیس فرانسه بدافزار ریتاداپ ۸۵۰هزار پی سی رو از راه دور پاک کرد

پلیس فرانسه امروز اعلام کرد که بدافزار بات‌نتی ریتاداپ (RETADUP) رو از روی ۸۵۰هزار کامپیوتر در سراسر جهان پاک کرده و منطقا این بات‌نت رو از جهان محو کرده.

اوایل امسال، محققان امنیتی آواست که به شکل فعال بات‌نت ریتاداپ رو زیر نظر داشت متوجه یه مشکل امنیتی توی این بدافزار شد که اجازه می‌داد با دسترسی به کامپیوتر کنترل کننده بات نت، بشه اونها رو از کامپیوتر آدم‌ها حذف کرد – از همون راه دور. برای انجام این کار، آواست نیاز به دسترسی به کامپیوتر کنترل و دستور (C&C) داشت که در فرانسه بود.

به همین دلیل محققین با مرکز پلیس سایبری فرانسه تماس گرفتن و مساله رو باهاشون مطرح کردن. بر اساس نقشه اونها، پلیس فرانسه باید کنترل سرور فرمان رو در دست می گرفت و برنامه اصلی کنترل کننده رو با نسخه جدیدی جایگزین می کرد که با استفاده از یک مشکل امنیتی در پروتکل این بات‌نت، می تونست بدون صدمه زدن یا حتی اجرای برنامه جدید روی پی سی آلوده، بدافزار رو از اون حذف کنه.

در اولین لحظات بعد از جایگزینی سرور قبلی با سرور جدید، چند هزار کامپیوتر آلوده به اون وصل شدن و دستوراتی که دریافت کردن رو اجرا کردن و ویروس از روشون پاک شد. بعد از مدتی، عدد کامپیوترهای پاک شده در حدود ۸۵۰هزار ثابت موند. به گفته پلیس، این سرور پاک کننده ویروس، تا چند ماه آینده هم روشن خواهد موند تا اگر کامپیوتری آلوده در طول اون مدت روشن بشه و به مرکز فرماندهی بات نت وصل بشه، دستورات پاک کننده رو دریافت کنه و پاک بشه.

پلیس فرانسه می‌گه در مورد این عملیات با اف.بی.آی. هم در ارتباط بوده چون بعضی از کامپیوترهای آلوده در آمریکا بودن. این رو هم اضافه کرده که کامپیوترها دستور ماین کردنشون رو از کامپیوتر کنترل کننده می گرفتن و به محض شروع این عملیات، دیگه نتونستن چیزی ماین کنن و نویسنده هاش از درآمدشون محروم شدن.

این بات نت از ۲۰۱۵ ظاهر شد و احتمالا از آمریکای لاتین. بات نت ریتاداپ می‌تونست کاربردهای مختلفی داشته باشه؛ از ماین رمزارزها تا دی‌داس کردن زیرساخت و جمع کردن اطلاعات. این بدافزار رو ویندوز نصب می شد و عملیاتی مثل نصب برنامه های دیگه یا گسترش خودش رو هم انجام می داد. در موارد متعددی دیده شده این بدافزار، پی‌لودهای باج افزار استاپ و سرقت کننده پسورد ارکی رو هم نصب کرده. در کنار همه اینها، روی کامپیوتر کنترل، یک کنترل کننده دات نتی RAT (تروجان دسترسی از راه دور) به اسم HoudRat هم پیدا شد.

منبع اصلی

بلا تورن برای رفع تهدیدهای دزد عکس های برهنه‌اش، خودش عکسها رو منتشر کرد

بلا تورن، بازیگر و خواننده آمریکایی در برخورد با یک دزد اطلاعات، دست به ابتکار جالبی زد تا به گفته خودش «قدرت رو پس بگیره». این بازیگر ۲۱ ساله که درگیر چاپ کتابش بود می گه که تن به تهدیدهای کسی که براش عکس های برهنه اش رو فرستاده و تهدید کرده اونها رو منتشر می کنه نداده و ترجیح داده خودش عکس ها رو توی توییتر بذاره و راحت بشه. اون می گه:

همونطور که می دونین دیروز هک شدم. برای ۲۴ ساعت با عکس های برهنه خودم تهدید شدم. حس کریهی داشتم و فکر می کردم کسی داره عکس‌هایی که برای مخاطب خاص گرفته شده بوده رو داره نگاه می کنه.

بعدش بلان تورن (Bella Thorne) تصمیم جالبی گرفت: اینکه خودش اون عکسها رو توی توییتر بذاره و از فکر و خیال و تهدید راحت بشه. همینکار رو هم کرد و به پلیس هم خبر داد تا مساله رو پیگیری کنن. اون در مورد دزد احتمالی هم می گه که:

احتمالا یه بچه ۱۷ ساله است که اشتباه می کنه، البته اینبا راشتباهی بد. البته نمی خوام کل زندگی یه بچه خراب بشه چون یک لحظه نتونسته درست فکر کنه و تصمیم بگیره. احتمالا آدم باهوشی است و اگر اینو در مسیر مثبتی استفاده کنه می تونه برای جامعه مفید باشه.

به نظر من که عکس العملش جالب بوده. قبلا هم از این موارد حرف زدم ولی تکرارش ضرر نداره:

  1. سکس و عکس برهنه و غیره کاری است که خیلی ها می کنن. نگرانی نداره. نگرانی اصلی تصورات و خیال های درهم و برهم ما است. هر بار پیش اومده (از جمله هک مشهور سال ۲۰۱۴ روی آی‌کلاود اپل) بعد از مدتی فراموش شده و همه به زندگی مرسوم برگشتن. تهدید کردن آدم ها با عکس برهنه شون خنده داره (:
  2. اگر از چیزی عکس می گیرین و به هر شکلی هر چیزی رو دیجیتال می کنین، باید با این فکر باشه که ممکنه روزی همه ببیننش. اگر راحت نیستین و نمی خواین، نکنین (:
  3. هم آمریکا و هم روسیه سعی کردن رهبر اندونزی یعنی سوکارنو رو با اینکه «ازت یه فیلم سکسی داریم و اگر همکاری نکنی آبروت رو می بریم» تهدید کنن. جوابش این بود که «چه بانمک، برای خودم هم یه نسخه بفرستین (:»

تشریح مشکل امنیتی واتس‌اپ

اخیرا یک خبر دنیای امنیت رو هیجان زده کرد: هکرها می تونستن با زنگ زدن به واتس اپ هر کسی، کد دلخواهشون رو روی گوشی اون اجرا کنن، حتی بدون نیاز به اینکه به تماس جواب بده. توی این ویدئوی کوتاه نگاهی می ندازیم به روش، آسیب پذیری و راه حل واتس‌اپ برای اون.

در یوتوب و اپارات.

امن نگه داشتن اینستاگرام بسیار ساده است

این روزها به اصطلاح هک اینستاگرام زیاد شده و مثل همیشه یه دکون عجیبی هم درست شده به اسم «مسوول امنیت اینستاگرام»‌ (: واقعیت اینه که امن نگه داشتن اکانت اینستاگرام پیچیده تر از روشن کردن ماشین لباسشویی نیست. چهار تا دگمه و تنظیم که خوبه درست بعد از دیدن این مطلب، یاد بگیرین و بزنین؛ هرچند که هیچ مشکلی هم نداره اگر اینکار رو به یکی دیگه بسپرین.

برای امن بودن اینستاگرامتون این چند تا قدم لازمه:

۱. پسورد قوی انتخاب کنید. حداقل ۸ کاراکتر شامل حروف کوچیک و بزرگ و عدد و عبارت های خاص. غیرقابل حدس زدن و نامرتبط با زندگی شخصی تون (مثلا سومین پسوردی که احتمالا آدم ها تست می کنن اسم سگتون است)
۲. پسورد رو دائما تغییر بدین – حدودا شش ماه یکبار. با کسی هم به اشتراکش نذارین به هیچ دلیلی. پسورد مثل مسواک است: فقط خودتون استفاده کنین و گاه گداری هم عوضش کنین.
۳. یکی از دو مدل [تایید دو مرحله ای اینستاگرام] رو فعال کنید. یک مدل با اسمس است که در ایران چندان هم امن نیست و یکی دیگه با اپ های ایجاد پسورد یکبار مصرف از جمله Google Authenticator
۴. ایمیل آدرسی که به اکانت معرفی شده رو هم امن نگه دارید. عملا هر کس به ایمیل شما دسترسی داشته باشه می تونه خیلی چیزهای شما رو ریست کنه و ببینه. مطمئن بشین در اکانت اینستاگرامتون، ایمیل امنی رو تنظیم کردین.
۵. اگر از دستگاه کس دیگه ای به اینستاگرام لاگین کردین مطمئن باشین که آخر کار ازش خارج هم بشین. هرچند که ممکنه رو کامپیوترش برنامه ای باشه که پسورد شما رو نگه داره.
۶. به هیچ سیستم دیگه ای دسترسی به اکانت ندین. برنامه ها به دلایل مختلف دسترسی اتصال به اینستاگرام می کنن، اگر واقعا نمی دونین چیکار دارین می کنین، بهشون دسترسی ندین
۷. اکانت های دیگه مثل فیسبوک رو هم به اکانت اینستاگرام متصل کنید. اینطوری ریکاوری راحتتر می شه.

و البته اصل عمومی اینه که موبایلتون رو هم هیچ وقت به دست هیچ کس ندین. یه آدم بد می تونه در عرض چند ثانیه یه برنامه مخرب رو گوشی شما نصب کنه که از اون به بعد همه کارهای شما رو ببینه و به همه چیزتون دسترسی داشته باشه.

در ویدئویی که توی اینستاگرام گذاشتم، توضیحات بیشتر و یکی دو قدم امن تر رو هم می گم و همچنین اینکه اگر فکر کردین هک شدین باید چیکار کنین. چون عمودی اینستاگرامی است، تو یوتوب نذاشتمش (:

امن باشین و خندون.

ماجرای عکسهای زندگی خصوصی جف بزوس، مدیر آمازون

ماجرا در دنیا خیلی پر سر و صدا بود ولی نمی دونم تو ایران چقدر پوشش داده شد. خلاصه اش اینه که جف بزوس موسس و مدیر آمازون، اخیرا یه پست در مدیوم نوشته و گفته براش یه اتفاق عجیب افتاده. البته اتفاق عجیب نیست و فقط برای اون اولین مورد از این شکل اتفاق بوده: یه پیشنهاد غیرقابل رد؛ یا حداقل پیشنهادی که نشنال انکویرر فکر می کرده غیرقابل رده: متوقف کردن تحقیقات در مقابل عدم انتشار عکس های خصوصی.

اینجا خیلی نمی خوام سراغ اصل ماجرا برم ولی خلاصه اش اینه که یک مجله زرد چند وقت پیش چند مسیج شخصی از جف بزوس منتشر می کنه. جف بزوس برای اینکه بفهمه این نشریه اطلاعات رو از کجا آورده، یک نفر رو استخدام می کنه و بعد از مدتی به نتایج جالبی می رسه. مثلا اینکه مدیر این نشریه زرد (پکر) روابط بسیار نزدیکی با ترامپ داره از جمله اینکه ظاهرا رفته با یکی که مدعی بوده با ترامپ رابطه جنسی داره مصاحبه کرده و بعد انحصار انتشار اون رو ازش خریده اما بعد کلا مطلب رو چاپ نکرده. به عبارت دیگه اول گفته «پول می دم تا اینها رو فقط به من بگی» و بعد گفته «مال خودمه دلم نمی خواد چاپش کنم». ترامپ هم به اندازه کافی هوای ایشون و مجله اش رو داشته و ظاهرا پادرمیونی هایی کرده برای اینکه سعودی ها در نشریه اش پول بیارن.

اما ماجرا وقتی جالب شده که ای ننشریه زرد چند میسج خصوصی از جف بزوس منتشر کرده و بعد جف بزوس به این نتایج رسیده و حالا پکر یه ایمیل به بزوس زده و گفته «ما ازت عکس های خاصی هم داریم. اگر می خوای منتشرشون نکنیم، تحقیقات رو همین الان متوقف کن». چه عکس هایی؟ چیزهایی مثل یک سلفی از بزوس برای یه زن خبرنگار وسط جلسه کاری. یا عکس بزوس در حموم با یک حوله یا عکس بدون بلوز بزوس که در جواب عکس با سینه باز همون خانمش براش فرستاده و توش دولش سفت شده و از زیر شلوار مشخصه. تهدید هم واضح بوده: آبروت رو با اینها می بریم مگر اینکه بیخیال تحقیقات در مورد رابطه ما و ترامپ و سعودی ها بشی.

حالا بذارین چند نکته رو بگم:

  1. نشریه مدعی است حق داره این عکس ها رو منتشر کنه چون مدعی می شه که این چیزی است که سهام دارها باید بدونن.
  2. واکنش بزوس بهترینه. اینجور تهدیدها تا وقتی کار میکنه که تهدیده. اگر الان یکی به من بگه «عکست تو پارتی رو منتشر می کنم ها»‌ یا «عکس رابطه جنسی ات رو به همه ایمیل می کنم» جواب درستم اینه که «خب با اینکار که داری تبلیغش می کنی (:» یا «خب؟» یا حتی بهتر از اون جواب سوکارنو رییس جمهور اندونزی به اف بی آی و کا.گ.ب. در مقابل تهدید انتشار ویدئوی جنسی اش بود که گفت «ایول یه نسخه هم برای خودم بفرستین لطفا»
  3. شما بزوس هم که باشین رفتار طبیعی تون می تونه همین باشه که برای یک آدم دیگه عکس برهنه / نیمه برهنه بفرستین و بگیرین. آدم آدمه (:‌ این رو قبلا در ماجرای سبگیت ۲۰۱۴ هم دیده بودیم که مشهورترین هنرپیشه ها هم کارهای مشابهی می کنن.
  4. و یادمون باشه هر چیزی که دیجیتال می شه و از اون بالاتر ار هر چیزی که از اینترنت می گذره رو باید با این ایده دیجیتال کنیم که «ممکنه کسی ببینه». چیزی که امنه چیزیه که تولید نشده‌ (:

و ایول به بزوس و عکس العمل خوبش و البته فراموش نکنیم که آمازون شرکتی است که داره بیشتر و بیشتر دنیا رو تحت کنترل خودش می گیره و سیستمی درست می کنه که همیشه همه زیر نظرش باشن ولی خب رییسش در این مورد خوب عمل کرده.

چگونه به یک هکر یا متخصص امنیت عالی تبدیل بشم

مفهوم هکر مفهومی عام‌تر از نفوذ و امنیت است. هکر کسیه که از ابزارش استفاده غیرمرسوم و هوشمندانه می کنه و موفق به چیزهایی می شه که از نظر دیگران نشدنی بوده. اما خیلی از رسانه‌ها، مفهوم هکر رو به عنوان صرفا متخصص امنیت کامپیوتر جا انداختن و هفته‌ای نیست که من توش یک ایمیل نگرفته باشم که بگه «جادی! چطوری متخصص امنیت بشم؟». مشکل کار هم اینجاست که خیلی وقت‌ها سوال کننده درک دقیقی از این شغل نداره و فقط به خاطر اسم بامزه و ظاهر هیجان انگیزش می خواد به شاخه امنیت بیاد. توی این نوشته که تقریبا جمع بندی و ترجمه آزادی از این مطلب است سعی کردم یکجا، جوابی رو آماده کنم.

اولین قدم در تبدیل شدن به یک متخصص خوب امنیت، اینه که به یک متخصص معمولی امنیت تبدیل بشین. خیلی خوبه اگر از اول دنبال تبدیل شدن به بهترین هستین اما در نهایت بهتره حواستون باشه که برای رسیدن به هر جایی باید قدم به قدم پیش رفت و حوصله داشت. بخصوص در دنیای امنیت که بهترین ها، معمولا پیشینه گسترده‌ای دارن و در حوزه‌های مختلف دانش دارن. خیلی از متخصصین امنیت و هکرهای خوب، با کارهایی مثل برنامه‌نویسی، سیستم‌عامل، شبکه، طراح و موارد مشابه شروع کردن و بعد از چرخیدن در حوزه‌های مختلف، سراغ امنیت رفتن.

تبدیل شدن به متخصص امنیت مثل اینه که بگین می‌خواین به یک نویسنده خوب تبدیل بشین. نویسنده‌های خوب فقط با کلاس‌های نویسندگی به وجود نمیان بلکه معمولا آدم‌هایی هستن که دنیا رو زندگی کردن، کتاب خوندن، سفر رفتن، فیلم دیدن، فلسفه می‌دونن، به زندگی فکر کردن و بعد نویسندگی رو هم با تمرین یا دوره یاد گرفتن. به همین شکل اگر در این لظحه شما مهارت بخصوصی در رشته‌هایی مثل شبکه، سیستم عامل، سخت افزار، رمزنگاری، برنامه نویسی سطح پایین، برنامه نویسی سطح بالا، درک ار پروتکل‌های ارتباطی، پایگاه‌های داده و موارد مشابه ندارین، پیشنهاد بهتر از این راه رو برو تا متخصص امنیت بشی اینه که در این حوزه‌ها شروع به کار کن و توشون پیشرفت کن.

مرحله بعدی اینه که با دونستن یا فعال بودن در یکی یا چند تا از این حوزه‌ها، مسائل امنیتی مرتبط رو توشون دنبال کنین. مثلا اگر سیستم عامل بلدین، با دنبال کردن باگ‌ها یا خوندن، ببینین مشکلات امنیتی چه چیزهایی می تونن باشن و کجاها می‌شه پیداشون کرد. اگر در برنامه نویسی سطح پایین هستین اصلاح‌هایی مثل اورفلو رو دنبال کنین یا اگر برنامه‌نویس سطح بالا هستین با مفاهیمی مثل اینجکشن آشنا بشین. همین مساله در شبکه و پروتکل و غیره هم ثابته. بسیاری از پروتکل‌ها مشکلاتی دارن که کاملا شناخته شده است و می‌تونین دنبالشون کنین یا حتی سراغ سخت افزار برین و ببینین بقیه چیکار کردن و تکرارشون کنین تا کم کم راهتون رو پیدا کنین. بسیاری از هکرهای بزرگ تاریخ با همین شیوه پیش رفتن و هر کدوم هم حوزه تخصصی خودشون رو داشتن. در اکثرا موارد کسی با ایده «برم بهترین متخصص امنیت بشم» شروع نکرده بلکه از حوزه‌های دیگه سراغ مساله اومده.

یکی از مشکلات فعلی دنیای امنیت همینه که افرادی که تخصصی در حوزه‌های دیگه ندارن و فقط درس امنیت می خونن، به سیستم‌ها اضافه می‌شن و بیشتر از اونی که کار مفید بکنن، دردسرهای اداری برای بقیه بخش‌ها درست می‌کنن – البته اونهم الزاما بد نیست ولی معمولا فرستادن چند بخشنامه و سختگیری در مورد پروتکل ها و اصرار به شکل خاصی از وی پی ان و قرارداد خرید وف و آپدیت کردن فایروال ها و … کاری نیست که وقتی یکی با هیجان می گه «می خوام متخصص امنیت بشم» دنبالش باشه.

اما با داشتن بحث قبلی در ذهن، بذارین نگاهی هم بندازیم به انواع شغل‌هایی که یکه متخصص امنیت می تونه داشته باشه و ببینیم راه رسیدن به هر کدومش چه چیزیه:

  • تست کننده امنیت اپلیکیشن‌های وب:‌ یاد بگیرین برنامه بنویسین تا توی این بحث از آدم‌هایی که فقط بلدن اپلیکیشن تست کنن فاصله بگیرین. درک از سیستم‌عامل و دیتابیس بهتون کمک خواهد کرد و همینطور دونستن چیزهایی مثل پی اچ پی، جاوااسکریپت، پایتون و جاوا. اگر بتونین شیوه کار چیزی رو درک کنین، شکستنش راحتتر خواهد بود. بعد از اون دنبال OWASP بگردین و مسیر رو پیدا خواهید کرد.
  • متخصص امنیت شبکه:‌ بهتره برای خودتون یک لابراتوار درست کنین که اجزای متفاوتی داشته باشه. مثلا استک لمپ (لینوکس، آپاچی، مای اسکوئل، پی اچ پی) همیشه شروع خوب و مرسومی است و بعد بررسی کنین که هر جزء از این استک چطوری امن می‌شه. درک اولیه‌تون که کامل شد می‌تونین برین سراغ PTES (استاندارد اجرای پن تست) و شیوه‌هایی که هکرها به شبکه‌ها حمله می‌کنن رو یادبگیرین و مطمئنا راحت کشف خواهید کرد که علیه هر متد باید چه کاری انجام بشه.
  • Compliance and Auditing: برای اینکار باید در مورد تکنولوژی‌های پایه‌ای و بیزنس مدل‌ها آگاهی کسب کنین. افرادی که در این سمت هستن، بیزنس و امنیت را درک می کنن و مطمئن می‌شون که کارکرد بیزنس بدون صدمه زدن به توان خلاقیت و سرعت، امن می‌شه. خوبه در مورد کسب و کارها بخوانید و با مدیرعامل‌ها و طراحان کسب و کار حرف بزنید و درک واقعی از جهان داشته باشین. در مورد شرکت‌های بزرگ تحقیق کنین و به مواردی که در Center for Internet Security به آن‌ها اشاره شده نگاه کنین. همچنین قواعدی مثل HIPAA، PCI-DDS، DISA STIG و ایزو ۲۷۰۰۱ و SOC2 رو بخوانید و فراموش نکنین که قراره سازمان بدون صدمه زدن به قابلیت‌ها و کارکردهاش‌، امن می‌شه.
  • رمزنگاری/تحلیل رمز: اگر می‌خواهید در این حوزه کار کنید خوبه در زمینه‌های ریاضی و رمزنگاری، تحصیلات آکادمیک داشته باشین و منابع علمی را دنبال کنین. یک رمزنگار ممکنه تو دانشگاه تدریس کنه یا روی الگوریتم ها کار کنه ولی کمتر شرکتی معمولی هست که یک رمزنگار استخدام کنه.
  • مشاور امنیت: کسی که به عنوان مشاور امنیت کار می‌کند، لازم است دانشی گسترده و درک خوبی از محیط‌های کاری و ساز و کار شرکت‌ها داشته باشه. برای این شغل نیاز دارین دانشی به روز از تکنولوژی‌های مورد استفاده شرکت ها و استانداردهای مورد استفاده آن‌ها داشته باشین و با Best Practiceها آشنا بشین. همچنین باید در مورد قوانین محدود کننده و نیازمندی‌های بالا دستی هم آگاه باشین تا بتونین بهترین مشاوره رو به مشتریانتون بدین. اینجا انتظار می ره شما با افق دید بسیار گسترده‌ و آگاهتون، نقاط مورد نیاز برای تقویت امنیت شرکت‌ها و در عین حال حفظ کارایی اونها و سازگاری‌‌شون با قوانین رو پیشنهاد بدین.
  • محقق آسیب‌پذیری‌ها:‌ این شغل به طور خاص نیاز داره که شما حداقل توی یک حوزه بسیار باسواد و با تجربه باشین و حداقل یک زبون برنامه نویسی، فریم ورک یا سیستم عامل رو به خوبی بدونین. بعد با این دانش روی بخش کوچیکی از یک محصول یا شرکت تمرکز می‌کنین و سعی می‌کنین مشکلاتش رو پیدا کنین. مثلا ممکنه شما در سی یا اسمبلی بهترین باشین و با سواد و دانش کامل روی یک شکل از پروتکل، بیاین و روی شیوه کار یک کتابخونه ارتباطی تمرکز کنین و اشکالاتش رو کشف کنین.
  • متخصص امنیت نرم‌افزار: معمولا مهندسان و معماران با تجربه نرم‌افزار بعد از مدتی به متخصصان امنیت هم تبدیل می‌شوند. باید حداقل در یک استک نرم افزاری متخصص باشید و بعد دانش امنیتی خود را برای امن‌تر کردن یک برنامه در آن استک متمرکز کنید. شاید هم وظیفه شما در این شغل، بهتر شدن امنیت کل یک سازمان یا پاسخ دادن به نیازهای امنیتی بقیه کارمندان و برنامه نویسان باشد.

اما واقعا چطور باید به در یکی از این حوزه‌ها به بهترین تبدیل شویم؟ اول بهتر است انتخاب کنید که چه چیزی را در کدام حوزه دوست دارید و هرچقدر که می‌توانید در آن حوزه چیز یاد بگیرید. مثلا به جای اینکه به شکل کلی سراغ یادگیری «تست نفوذ» بروید، بهتر است در چیزی مثل جنگو متخصص شوید و مشکلات امنیتی آن را بشناسید. بهتر است به جای سواد عمومی، دارای سواد تخصصی شوید. چند سال تمرکز روی یک چیز، می‌تواند شما رو به یکی از بهترین‌های آن چیز تبدیل کند.

هیچ کس نمی‌تواند به شما بگوید چه مدت زمان برای متخصص شدن لازم است. آدم ها، توانایی‌های آن‌ها، علاقمندی‌هایشان و استعدادشان فرق می‌کند. اگر واقعا می‌خواهید یکی از بهترین‌ها باشید باید حوصله کنید و از مسیر لذت ببرید و دنبال میان‌بر نگردید. اگر حوصله ندارید می‌توانید اصولا به یک آدم غیرفنی ولی با ظاهر هیجان انگیز تبدیل شوید. چند کلمه قلمبه سلمبه، یاد گرفتن استفاده از چند برنامه (مثلا مرور ابزارهای کالی لینوکس) و حتی داشتن چند لینک در دارک نت و ارتباط با هکرها و خریدن اطلاعات از آن‌ها، روشی دیگر برای ادای یک هکر را در‌آوردن است که شاید برای یک بیزنس من، خیلی هم سر راست تر باشد ولی برای کسی که به مسائل فنی عشق می‌ورزد و قدرت واقعی را می‌خواهد، نچسب‌ترین چیز است.

اگر واقعا می‌خواهید متخصص امنیت شوید، حوصله کنید و یاد بگیرید و خواهید دید که نه فقط قدم به قدم شاهد پیشرفت خودتان خواهید بود که حتی از مسیر هم حسابی لذت خواهید برد. اما یادتان باشد همیشه مسائل قانونی را رعایت کنید و فراموش نکنید که بهترین متخصصین امنیت، باید سابقه تمیز و قابل ارائه ای داشته باشند.

اگر شما هم چیزی دارین که به نظرتون خوبه به مطلب اضافه بشه، خوشحال می شم در کامنت ها بگین تا بعدا به اصل مطلب اضافه کنم.

مرتبط:
چگونه هکر شویم، ترجمه فارسی از یک هکر واقعی یعنی اریک ریموند

دردسر گوشی‌های غیر امن ترامپ

Republican presidential candidate Donald Trump listens to his mobile phone during a lunch stop, Thursday, Feb. 18, 2016, in North Charleston, S.C. (AP Photo/Matt Rourke)

ترامپ هنوزم از آیفون شخصی اش به شرکای تجاری‌اش، فامیلش و دوستای قدیمی زنگ می‌زنه! از کاخ سفید با یک تلفن معمولی و مکالمه روی شبکه موبایل عمومی. به گفته نیویورک تایمز این به سازمان های جاسوسی چین و روسیه فرصت می ده تا به سادگی به این مکالمات دسترسی داشته باشن.

این گزارش مبتنی بر گزارش‌های سازمان‌های جاسوسی آمریکا است که می‌گن ترامپ در مقابل درخواست اونها برای عدم استفاده از گوشی موبایل شخصی‌اش، مقاومت کرده. جایگزین صحیح برای مکالمه، خصوص امن کاخ سفید است که البته بازهم در طرف مقابل، قابلیت ردگیری توسط سرویس‌های جاسوسی رو خواهد داشت. بر اساس این گزارش‌ها، تنها امید سرویس‌های امنیتی آمریکا اینه که ترامپ در این مکالمات، از مسائل محرمانه حرف نزنه. البته کماکان گفته می‌شه مدارکی در دست است که چین به این مکالمات دسترسی داره و از اونها برای نزدیک شدن به کسانی که ترامپ بهشون نزدیکه استفاده می‌کنه تا روی سیاست‌گذاری‌های ترامپ علیه چین، تاثیر بذاره. همین گزارش می گه روسیه کمتر دنبال این کاره چون در حال حاضر نزدیکی کافی به ترامپ داره!

اما تلفن‌ها! ترامپ سه تا تلفن همراه داره. دو تاشون از سیستم‌های امنیتی سازمان امنیت ملی استفاده می‌کنن که احتمال هک شدن و شنودشون رو بسیار پایین میاره ولی آیفون سوم مال خودشه و این برنامه‌ها روش نیست؛ درست مثل هر آیفونی که هر کس دیگه‌ای استفاده می‌کنه. گزارش می گه ترامپ از این گوشی استفاده می کنه چون می تونه کانتکت‌ها رو روش ذخیره کنه و راحت به آدم ها زنگ بزنه!

رییس جمهور قبلی یعنی اوباما، از یک آیفون تغییریافته استفاده می‌کرد که اصولا امکان برقراری تماس یا عکس گرفتن نداشت و تنها کاری که می تونست بکنه دریافت مسیج‌هایی بود که به یک ایمیل خاص فرستاده شده بودن. این آیفون حتی میکروفون هم نداشت و اسمس زدن از روش ممنوع بود. حالا این رو مقایسه کنین با تلفن اندرویدی که ترامپ تا مدتی قبل استفاده می‌کرد و ظاهرا آپدیت هم نشده بود.

در آخر این رو هم اضافه کنم که ترامپ در طول کمپین تبلیغاتی‌اش علیه اپل حرف زده بود و حتی پیشنهاد تحریمش رو داده بود ولی ظاهرا حالا نظرش عوض شده و قبول کرده به جای گوشی اندرویدی قدیمی‌اش، به یک آیفون جدید سوییچ کنه.