برچسب: امنیت

مایکروسافت در خبری نسبتا غیرمنتظره [اعلام کرده که احتمالا در زمانی به زودی جون ۲۰۱۶ سرتیفیک‌های TLSی که با الگوریتم هش SHA-1 درست شده باشن رو غیرفعال می‌کنه]. دلیل؟ تولید کالیژن (تصادم) در این شکل از رمزنگاری خیلی ارزون شده!

بذارین برای دوستان غیرفنی کمی به عقب برگردم. هش یا همون Hash الگوریتمی است که باعث می‌شه ما بتونیم از یک عبارت یا رشته یا فایل یا هر چیز دیگه که حاوی کمی اطلاعات باشه، به یک رشته برسیم. مثلا هش SHA1 اسم من این می‌شه:

$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

درست؟ حالا کافیه من به شما بگم «اسمم جادی است و هشش هم با ۶ شروع می شه و آخرش ۵ داره». شما اگر برین خونه و انواع مختلفی از اسم من رو بنویسیم و هش اونها رو حساب کنین، فقط در یک حالت به اون هشت که من بهتون دادم می رسین (اگر هش رو کامل بدم که بهترینه ولی معمولا بعیده دو رقم آخرش هم یکی در بیارد:

jadi@funlife:~$ echo -n "madi" | sha1sum
2ed1bf7f675c3e6a16ee159909348669980cc140  -
jadi@funlife:~$ echo -n "ladi" | sha1sum
423a605398fb490a7a7b583dc88974c2c46917d5  -
jadi@funlife:~$ echo -n "jady" | sha1sum
8d0136e02b2d142917a461130af21346d37c3f83  -
jadi@funlife:~$ echo -n "jaadi" | sha1sum
24dc889795b1aaf9845cd504606c62d3a968bb16  -
jadi@funlife:~$ 
jadi@funlife:~$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

در این مثال معلومه که کارمون مسخره است اگر ورودی بزرگ باشه، دادن هش برای چک کردن صحت ورودی روشی معقوله. مثلا وقتی می‌خواین سی دی اوبونتو رو دانلود کنین، هش‌هاش هم بهتون داده می شه تا بعد از دانلود مطمئن باشید که فایل کاملا سالمه.

تا اینجا درست؟ حالا آیا ممکنه یک هکر بیاد و فایلی درست کنه که ایزوی واقعی اوبونتو نیست ولی هش اون دقیقا با هش سی دی اوبونتو یکی بشه؟ این مساله از نظر ریاضی ممکنه (چون به هرحال طول هش SHA1 ثابته ولی طول ورودی می تونه متغیر باشه و در نتیجه حتما هش‌های تکراری داریم) اما از نظر عملی این امکان…

از نظر عملی درست کردن یک فایل که هش اون با هش مورد نظر ما دقیقا یکی بشه در سابق بسیار گرون بوده ولی از یک طرف با تلاش متخصص‌های رمزنگاری و ریاضی‌دان‌ها در پیدا کردن روش‌های سریعتر برای ایجاد تصادم و از اونطرف با اومدن کامپیوترهای پیشرفته تر و سریعتر و ارزونتر و بودن سرویس‌های ابری عظیم مثل EC2 آمازون که به آدم‌ها اجازه می ده با گرید کردن کامپیوترهای کوچیکتر به یک سوپرکامپیوتر برسن،‌ درست کردن یک هش تکراری با هش دلخواد هزینه‌اش حسابی پایین اومده، شاید چیزی در حدود ۷۵ تا ۱۲۰ هزار دلار که برای شکستن رمزهای TLS مبتنی بر SHA1 هزینه‌ای بسیار پایین به حساب می‌یاد.

در همراهی با مایکروسافت، موزیلا و گوگل کروم هم اعلام کردن که در زمانی نسبتا مشابه، سرتیفیکیت‌های تی ال اس مبتنی بر SHA1 رو غیرفعال خواهند کرد. کامپیوترها واقعا دارن پیشرفت‌ می‌کنن.

فاطمه برامون در مورد اسپم‌های تلفنی نوشته. طبق معمول حرف اینه که باید خودمون مواظب باشیم چون اونی که قراره مواظب باشه مشغول کارهای دیگه است. فاطمه می‌گه:

یکی از موضوعات مهمی که دائما در بلاگت در موردش به مردم آگاهی میدی اسپمه و هشدار اینکه گول اسپمرها رو نخورین. اما فکر میکنم در مورد اسپم های تلفنی کمتر صحبت کردی.

امروز یک نفر با موبایل من تماس گرفت و گفت من از موسسه فلان که خیلی شبیه “سازمان بیمه سلامت” بود تماس می‌گیرم. از من پرسید «شما کارت هوشمند بیمه سلامت خودتونو دریافت کردید؟» من پرسیدم از کجا تماس گرفتن و چه اطلاعاتی از من دارن که گفت «به ما اطلاعاتی از شما ندادن فقط شماره تلفن شما رو دادن و وظیفه من اینه که بپرسم شما شما بیمه تامین اجتماعی دارید؟». پرسیدم «اسم من چیه؟» و گفت «عرض کردم فقط شماره تلفن شما رو به ما دادن» جواب من هم مشخص بود: «خوب پس ادامه صحبت فایده ای نداره». اونم گفت «هر جور راحتین» و خداحافظی کرد.

حالا غرض اینکه تلفن یکی از تفاوتهای اصلی ای که با ایمیل داره اینکه که اگر بخوای مؤدب باشی (که لزومی هم نداره) انتظار میره همون لحظه به اون شخص پاسخ بدی و اگر حواست نباشه ممکنه اطلاعاتی که حریم خصوصی تو حساب میشه مجانی و بیخودی در اختیار شرکتهای تبلیغاتی قرار بدی. رندی پاش در سخنرانی مدیریت زمانش پیشنهاداتی در مورد تلفنهای تبلیغاتی داره از جمله اینکه در حین صحبت قطع کنی ودیگه جواب ندی! اما این بیشتر به درد شرکتهایی میخوره که صادقانه میگن ما تماس گرفتیم که فلان محصولو تبلیغ کنیم. ولی تازگیا ورشی که بیشتر کلاه‌برداری به نظر می‌یاد رایج شده و جوری اسم می‌ذارن و حرف می‌زنن که اگر کسی خیلی دقیق دقت نکنه فکر می‌کنه واقعا از یک نهاد دولتی یا جایی که شما عضو اون هستین و به دلیل بی اطلاعی از یک چیز تا به حال متضرر بودین، تماس گرفته شده.

‌ مثلا در همین مورد اگر پدربزرگ من بود شاید فکر میکرد واقعا از سازمان بیمه سلامت تماس گرفتن و اطلاعات زیادی در مورد خودش و خانواده ما لو میداد و احتمالا هزینه ارسال «کارت» رو هم می‌داد. بنابراین امروز که بحث حریم خصوصی هم خیلی داغ شده زمان خوبیه که در این مورد به مردم بیشتر آگاهی داده بشه و بلاگ تو جای بسیار خوبیه برای این کار.

کامله و نیازی به توضیح بیشتر نداره. شاید کنار قانون «هرگز در مسابقه‌ای که شرکت نکردین برنده نمی‌شین» باید اضافه کنیم که «سازمان‌های دولتی شخصا برای حل مشکلات شما با شما تماس نمی‌گیرن».

دوست خوب هکرم میلاد زنگنه نکته جالبی رو بهم یادآوری کرده:

امروز یه چیز جالب دیدم که نشون میده که برنامه هایی مثل cat و … خروجی کاملی از اون چیزی که واقعا درون فایل هست بهمون نشون نمیدن. برای مثال:

دلیل این اتفاق اینه که cat واقعا همه کاراکترها رو به همون شکلی که هستن توی خروجی استاندارد برامون چاپ نمیکنه و وقتی به \033[2A ( یا بطور کلی تر \033[XA )میرسه یکار خاص میکنه. این عبارت باعث میشه وقتی برنامه به این قسمت رسید به تعداد X خط (توی این مثال X دو هست) کرسر رو بالا ببره و باعث بشه X خط بالایی بازنویسی شه و در نتیجه باعث بشه ما گول بخوریم!
چنین چیزی ممکنه خیلی برای افراد عادی با اهمیت جلوه نکنه اما برای ادمین ها و لینوکسی ها که دائم با اسکرپت ها سرو کار دارن مهمه چون با همچین حقه ای ممکنه بدون اینکه بفهمن اسکریپت های مخربی رو اجرا کنن.

حرفش کاملا درسته و اکثرا هم می‌دونیم که Escape Characterها می‌تونن خروجی ترمینال رو تغییر بدن (مثلا رنگی کنن، پاک کنن، جابجا کنن، …) ولی اکثرا توجه نمی‌کنیم که یک اسکریپت در cat ممکنه چیز دیگه ای از اون چیزی که واقعا هست نشون داده بشه. در کل همیشه می‌گیم که بدون فهمیدن هیچ چیزی نباید روی کامپیوترتون اجراش کنین و الان ظاهرا باید بگیم که بعضی اسکریپت ها حتی ممکنه اون چیزی که در لحظات اول به نظر می‌رسن هم نباشن! یک مدیر سیستم مثل گرگ با چشم باز می‌خوابه!

پی.نوشت. ایریکس اشاره کرد که می‌شه از سوییچ A در دستور cat استفاده کرد تا همه کاراکترها اونطوری که واقعا هستن دیده بشن (زندگی از این سوییچ‌ها نداره؟ البته اگر داشت خیلی لوس می شد فضا)

پارادوکس فرمی (Fermi) خیلی جالبه و یک صورت‌بندی‌اش می‌تونه این باشه:

جهان بسیار بزرگ، بسیار قدیمی و بسیار طبیعی است پس منطقا باید سیاره‌هایی مشابه زمین باشن که میلیون‌ها سال قبل توشون حیات‌هایی مشابه زمین ایجاد شده. چرا ما هیچ سیگنالی از این موجودات دریافت نکرده‌ایم؟

ادوارد اسنودن (افشاگر شنودهای NSA) در مصاحبه با یکی از اسطوره‌های جهان علم یعنی نیل دی‌گریس تایسون دلیل جالبی رو برای پاسخ به این مساله حدس زده:

وقتی به اطلاعات رمزنگاری شده نگاه می‌کنید – و این اطلاعات به خوبی رمزگذاری شدن، روشی نداریم که بگیم داریم به رمز نگاه میکنیم یا به نویز. امکان تشخیص اینکه آیا سیگنال در حال عبور رمزنگاری شده یا یک نویز اتفاقی است وجود نداره

و خب با این استدلال دور از ذهن نیست که اطراف ما پر باشه از ارتباطات مرتبط با سیاره‌ها و موجودات هوشمند دیگه بدون اینکه ما اصولا متوجه بششیم این سیگنال‌ها چیزی بیشتر از نویز هستن. در نظر اسنودن اگر این موجودات بسیار پیشرفته‌تر از ما باشن حتما تمام ارتباطاتشون رمزگذاری شده و در نتیجه استدلال بالا به خوبی می‌تونه پاسخی برای پارادوکس فرمی باشه – البته در صورتی که فرض کنیم اونها علاقه‌ای به تلاش برای ارتباط با انسان‌های کره زمین ندارن که دلیلش از نظر اسنودن شاید این باشه که از نظر سیاسی عقلشون بیشتر از ما می‌رسه (:

پیشنهاد می‌کنم کل پادکست فوق العاده رو گوش بدین… کمتر پیش می یاد دو انسان در این حد شریف و مفید برای جهان با هم صحبت کنن.

آپدیت: اسنودن نه متخصص کهکشان است نه حتی یک دانشمند (: نظرش هم منطقا چندان درست و اصولا در حوزه کارشناس هم بهش گوش نمی دیم (: بیشتر تبلیغ برای رمزنگاری است و یک متلک به زمینی‌ها. گفتن اینکه دلیل تماس نگرفتن فضایی‌ها اینه که از نظر سیاسی عقلشون بیشتر از ما می‌رسه می‌گه هم در واقع یک متلک به زمینی‌ها است (: امیرمسعود این نکته رو در تو کامنت‌ها تذکر داده و لازمه اینجا رو هم ببینیم

امروز از صبح تا عصر در همایش پی اچ پی ۲۰۱۵ بودم. یکی از منظم‌ترین همایش‌هایی که تا به حال دیده بودم و هر چقدر همایش ده سالگی تهران لاگ شیرینی‌های خوشمزه‌ای اداشت، اینجا به شکل سلف سرویس و تمام وقت قهوه و آیسی مانکی رایگان داشتیم (:

همایش چهار اسپانسر طلایی داشت و مستقل از کلی چیز میز باحال (ماگ و کول دیسک و کیبورد و ماوس بی سیم به سخنران‌ها و کتاب و …) یک مسابقه هم داشت: هر کس عکسی بگیره، در اینستاگرام به اشتراک بذاره و هشتگ‌های همایش یعنی irphpconf# و اسپانسر این مسابقه یعنی karinaco# رو بزنه و عکسی که بیشترین لایک رو داره یک جایزه ارزشمند بگیره.

مشخصه؟ هر کس بیشترین لایک اینستاگرام رو بگیره… و نکته ای که این مطلب می خواد به همه برگزار کننده ها یادآوری کنه اینه که لایک قابل خریدنه (: نمودار چند نفر اول تقریبا این شکلی بود:

که منطقا اکثر آدم ها با یک نگاه توش دنبال «دلیل» می گردن. حدس معقول اینه:

و حدس محکم من این بود که دوستمون موقعی که می رسه رو سن با خنده بگه لایک ها رو خریده و نفر بعدی رو صدا کنن ولی خب جایزه رو گرفت رو رفت. به هیچ وجه نمی گم صد در صد اینطوره ولی حدس معقول منه (: بخصوص که بعدش که رفتم ببینم لایک ها از کی بوده، دیدم تا جایی که عقل من قد می ده، عکس رو پاک کرده:

از نظر من مشکل خاصی نداره و یک جور شوخی بامزه است که احتمالا قدم به قدم با خنده و شوخی پیش اومده ولی لازم دیدم در موردش بنویسم که حتی اگر این مورد کاملا معقول بوده هم برگزار کننده‌ها بدونن که در اینستاگرام لایک و فالوئر در کمتر از یک ساعت قابل خریدنه (: و البته تقریبا در همه جای دیگه. نمی‌گم این دوستمون حتما تقلب کرده بلکه حدس می زنم در یک پروسه خنده و شوخی به اینجا رسیده و آخرش نمی دونسته چیکار کنه و به نظرش هم بامزه اومده، ممکنه هم کاملا اشتباه کنم و مثلا دوستمون هزاران فالوئر واقعی داشته باشه یا مثلا عضو فرومی گروهی گنگی چیزی باشه که بتونه در یکی دو ساعت از دوستاش بخواد هزار لایک بزنن که عجیب هم نیست (:

به هرحال این همایش یکی از منظم ترین و بهترین همایش هایی بود که من رفتم و ممنونم از همه برگزار کننده‌ها. شنبه در مورد خود همایش و ارائه ام بیشتر حرف می زنم اما شما فراموش نکنین که فالوئر و لایک اینستاگرام قابل خریدنه؛ خیلی هم ارزون.

• اینستاگرام من
• به برگزاری همایش زیکانف یکی دیگه از بهترین همایش های نرم افزار آزاد ایران کمک کنین

یک بحث سیستم عامل‌های آزاد اینه که کامپیوتر من باید تحت کنترل من باشه نه تحت کنترل یک شرکت. درست مثل خودرویی که من از کارخونه می خرم و با اینکه تنظیمات کارخونه روشه اما در نهایت من هستم که کنترلش می کنم و بدون اینکه بخوام با پارس خودرو چک کنم، به ال.۹۰. در پیتم دستور می دم کجا بره و اونم لازم نمی بینه که وقتی منو رسوند استخر، به پارس خودرو اعلام کنه که امروز کجاها رفتم.

اما ظاهرا مایکروسافت و ویندوز ده هنوز اینو نفهمیدن. محققین امنیتی آرس تکنیکا می‌گن که حتی بعد از غیرفعال کردن بینگ، کورتانا و فعال کردن بالاترین سطح پرایوسی در ویندوز ۱۰، این سیستم عامل هنوز اطلاعاتی رو به سرویس‌های مختلف مایکروسافت می‌فرسته که شماره شناسایی کاربر رو هم به همراه دارن. این مساله بعد از جریان زیر نظر گرفتن کودکان به شکل پیش فرض باعث شده بحث‌های پرایوسی دوباره داغ بشه. درسته که ممکنه من به خیلی از این سرویس‌ها احتیاج داشته باشم و ذاتا بد نباشن ولی ۱) باید در پیاده سازی‌شون حریم خصوصی من رعایت بشه و وقتی لازم نیست اطلاعات من روی شبکه منتقل نشه و ۲) این امکانات باید تحت کنترل من باشن تا اگر خواستم اونها رو روشن نکنم نه اینکه به شکل پیش فرض روشن باشن و من فقط اگر درک و سواد کافی داشتم بتونم خاموششون کنم.

مایکروسافت در این مورد که چرا علیرغم تنظیمات پرایوسی، بازهم اطلاعات رو منتقل می کنه توضیحی نداده ولی به احتمال زیاد مانند ماجرایی که چند وقت پیش برای ابونتو افتاد، برخی از تنظیمات رو تغییر خواهد داد تا جلوی گسترش این سبک از انتقادها به سیستم عامل جدیدش رو بگیره.

راستی! امروز اولین روزی بود که من چند دقیقه ای با ویندوز ۱۰ کار کردم ولی خب معلومه که هیچ نظری در موردش ندارم و فقط امیدوارم دسکتاپ سرچ رو بهتر کرده باشه و بالاخره Virtual Desktopها رو هم به سیستمش اضافه کرده باشه. فکر کنم از سال ۲۰۰۰ به بعد هر سیستم عاملی که این دو تا رو نداشته باشه برای من غیرقابل استفاده است.

این هفته یک بحث پرایوسی مفصل درگرفته. بعضی افرادی گزارش می کنن که وقتی توی ویندوز ده برای بچه‌شون اکانت ساختن که اکانت‌هاشون با هم قاطی نشه، ویندوز شروع کرده به شکل هفتگی یک ریپورت از فعالیت‌های فرزند رو برای پدر یا مادر فرستادن! مثلا اینکه «بچه‌تون حسن این هفته به این سایت ها سر زده، اینقدر با کامپیوتر کار کرده و فلان دقیقه با این برنامه و بهمان دقیقه با اون برنامه کار کرده».

یکسری بحث اینجاست که آیا پدر و مادرها حق دارن روی فرزندان کنترل داشته باشن؟ مثلا اونطوری که دولت معتقده باید روی ما کنترل داشته باشه که یکهو سایت‌های خطرناکی مثل جادی.نت رو نخونیم (: اینجا دو سه نظر مختلف روی بحث‌ها هست و مثلا مخالفین می گن همونقدر که لازم نمی دونن دوچرخه یا کارت کتابخونه یک پسر ۱۶ ساله رو کنترل کنن، در اینترنت هم نباید اونو زیر نظر بگیرن و به جاش باید آموزش کافی بدن و اعتماد مشورت کردن رو به وجود بیارن.

ولی اصل نارضایتی اونجا بوده که آدم ها مدعی هستن این زیرنظر گرفتن بدون مجوز اونها بوده و حتی اگر مایکروسافت فیچری برای زیر نظر گرفتن دیگران فراهم کرده، نباید اون رو بدون رضایت والدین روشن کنه یا به شکل پیش فرض فعالش بذاره و فقط باید اطلاع بده که اگر کسی خواست، سراغش بره.

در قسمت اول شاید بشه بحث بیشتری کرد ولی در قسمت دوم به نظر من صد در صد حق با والدین است و من باید صاحب کامپیوتر خودم باشم. کامپیوتر من باید زیر نظر من کار کنه نه من زیر نظر کامپیوترم.

نکته: اگر از کامپیوتری استفاده می کنین که ویندوز ده داره و پدر و مادرتون براتون به عنوان «فرزند» اکانت مستقل درست کردن، احتمالا ایمیل های هفتگی کارهای شما رو به پدر و مادر اطلاع می ده (: