برچسب: امنیت

فیسبوکم ویروسی شده! این اصطلاح خاصی است که گاه گداری می شنویم. این اصطلاح از نظر فنی چندان درست نیست – توی فیسبوک ما خودمون با دست خودمون به برنامه‌ها اجازه می دیم که روی صفحه ما چیز پست کنن یا روی صفحه دوستامون عکس بهمخونن (اگر فعل می سازیم خب چرا می ترسیم بگیم فعله و فعل کمکی پشتش می یاریم؟).

این اتفاق معمولا با «گول زدن» پیش می یاد. مثلا می گن فلان اپلیکیشن رو نصب کن تا ببینی کی به صفحه ات سر زده یا یک «خبر/فیلم» خیلی مهیج نشون می دن و شما در تنهایی خودتون روش کلیک می کنین تا کنجکاوی تون ارضاء بشه ولی در اصل دارین به یک برنامه دسترسی می دین که رو صفحه دوستاتون همین خبر رو بذاره و اونها هم کلیک کنن و پخش بشه.

بهترین روش حل چنین مشکلاتی، حذف دسترسی برنامه‌ها به اکانت فیسبوکمون است. برای اینکار باید اول روی اون چرخ دنده بالا سمت راست، کلیک کنین و از منویی که باز می شه وارد بخش تنظیمات (Settings) بیشن (معقول هم هست دیگه!‌ می رین توی تنظیمات):

حالا می تونین انواع تنظیمات فیسبوک رو انجام بدین. از منوی سمت چپ روی Apps (برنامه هایی که به شکل خودکار می تونن با فیسبوک شما کار کنن)‌ رو انتخاب کنین و فهرست یکسری از Appها نشون داده می شه، پایین فهرست خیلی ریز نوشته Show All Apps. روی اون کلیک کنین و همه برنامه هایی که به فیسبوک شما دسترسی دارن دیده می شه:

روی هر چیزی کلیک کنین دسترسی هاش رو می بینین و اگر چیزی رو نمی شناسین یا بهش مشکوکین یا معتقدین خودتون عضوش نشدین یا دیگه نمی خواینش، کافیه روی اون ضربدر که سمت راست هست کلیک کنین. با اینکار پنجره‌ای باز می شه که توش دو تا چیز مهم هست: یک چک‌باکس که اگر تیکش بزنین همه فعالیت‌های این برنامه در شناسه شما رو هم حذف می کنه (برای اسپم‌ها خوبه) و یک دگمه Remove که به فیسبوک می گه شما مطمئن هستین که می خواین این برنامه رو حذف کنین.

خلاصه مدیریتی؟ اگر فیسبوکتون رو دیوار دوستان چیزهایی می نویسه که شما ازش خبر ندارین، از مسیر بالا به بخش Appها برین و هر چیز مشکوک رو از طریق فشار دادن ضربدری که سمت راست اسمش هست، حذف کنین. ویروس احتمالا بالاهای لیسته!

مرتبط:
– قطع دسترسی اپلیکیشن‌های ناشناسی به اکانت توییتر

دختر و اینترنت و کارت شارژ رو که بذاریم کنار هم احتمالا نتیجه اش اسکول شدن آقایون است و خرج کردن پول از جیب مبارک و دادن کارت شارژ به یک پسر. فکر میکنین دوستانی که با اون گول می خورن، چی می شه اگر کنار مثلث حماقت «دختر، اینترنت، کارت شارژ» یک «سود مالی» هم ببینن؟

واقعا؟ یک دختر می گه که کارت شارژ رو می شه از فلان جا ارزونتر گرفت. کافیه برین به اون سایت و اطلاعات کارتتون رو وارد کنین:

و احتمالا صفحه ای ببینین تحت این عنوان که «شرمنده الان خرابه» و خب اطلاعات کارت اعتباری شما توی بانک اطلاعاتی اون دزد ذخیره شده. از کجا فهمیدم دزده ؟ از:

• آدرس URL که هیچ شباهتی به بانک نداره. تازه شباهت هم کافی نیست. باید دقیقا همون باشه.
• از این واقعیت که هیچ وقت بانک قاطی نمی کنه یه چیزی رو به یه قیمت دیگه بفروشه بعد یه دختری بیاد تو فیسبوک بگه

البته شکی نیست که بخشی از مردم عزیزی که تا چند دقیقه قبل داشتن عدد ۲۱۸ رو کامنت می ذاشتن و لایک می زدن و شر می کردن که تصویر مات اون دختره واضح بشه یا نشون می دادن که «این دوستمون که اعضاش رو اهدا کرده چند تا لایک داره»، خیلی قبل از این فکرها روی لینک کلیک کردن و اطلاعات کارتشون رو به دزد مربوطه دادن (:

ما هم سعی می کنیم در وبلاگ های سانسور شده خودمون کمی اطلاع رسانی کنیم و همزمان دعا می کنیم پلیس فتا سرش کمی خلوت بشه و کشف ، دستگیری، محاکمه عادلانه و مجازات احتمالی متناسب و در شان انسانی این آدم ها رو در اولویت قرار بده.

نکته: گزارش کننده می گه سایت رو به پلیس فتا گزارش کرده و سایت سریعا فیلتر شده. البته مشخصه که برای کسی که توی فیسبوکه، فیلتر بودن این سایت تاثیر خاصی نداره (:

جادی که به شما دروغ نگفته! گفته؟ اینبار یاهو واقعا اعلام کرده که اگر کسی باشه که در یکسال گذشته (و بیست و پنج روز آینده) توی اکانت یاهوش حتی یکبار هم لاگین نکرده باشه، اکانتش پاک خواهد شد و اسمش در اختیار افراد دیگه‌ای که دنبال اون هستن قرار خواهد گرفت.

از نظر یاهو این ایده خوبیه. مثلا mohammad30492@yahoo.com الان شانس داره درخواست اکانت mohammad@yahoo.com رو بده چون احتمالا خیلی از کسانی که اولین روزها و سال‌های یاهو اکانت‌های خوب رو گرفتن دیگه توش فعال نیستن. این باعث جذب آدم‌ها به یاهو می شه و خالی شدن یک حجم عظیم از یوزرهای به درد نخوری که هیچ وقت لاگین نمی کنن.

اما نکته منفی چیه؟ امنیت و پرایوسی و هویت و اینجور چیزها. به هرحال من در سالیان دور mohammad@yahoo.com بودم. درسته که دیگه ازش استفاده نمی کنم ولی اگر از این ایمیل یک ایمیل به دوستانم بره، اونها احتمالا فکر می کنن هنوز مال منه. همچنین ممکنه من اون سال ها اکانت‌هام رو وصل کرده باشم به این آی دی. فرض کنین من سال های دور که توی وردپرس اکانت باز کردم، بهش گفته باشم اگر پسورد رو گم کردم اونو به mohammad@yahoo.com بفرسته. حالا اگر این اکانت رو یکی دیگه در اختیار بگیره، بعد به وردپرس بگه که منه ولی پسورد رو فراموش کرده، می تونه لینک پسورد ریست من رو بگیره. یاهو هنوز جوابی در این مورد نداده؛‌ فقط گفته که حواسش هست اطلاعات شخصی کسی لو نره و اینجوری کار می کنه که هر کسی اکانتی که می خواد رو می گه و یاهو فکر کنم بعد از یک ماه یا چنین چیزی که اون اکانت رو تعلیق می کنه، می گه چه اکانتی به کی رسیده.

به هرحال خلاصه این بحث اینه: اگر اکانت یاهو دارین، برین یکبار توش لاگین کنین چون اگر در سال گذشته اینکار رو نکردین و تا ۲۵ جولای هم اینکار رو نکنین اکانتتون از یاهو حذف می شه.

این عکس سنودن است:

کسی که لو داد دولت آمریکا در یک پروسه شبه-قانونی ولی مخالف با متمم‌های قانون اساسی، حقوق بشر، عقل سلیم و در حرکتی دیکتاتور مابانه و به بهانه مبارزه با تروریسم داره سعی می کنه کل کشور رو شنود کنه.

این هم بردلی منینگ است:

کسی که وقتی به اسنادی دسترسی پیدا کرد که نشون یم داد سیاست خارجی کشور آمریکا داره مسیری اشتباه رو می ره، کل اطلاعاتی که داشت رو به سایت ویکی لیکس داد تا منتشر بشن و جلوی این مسیر گرفته بشه.

هر دوی این آدم‌ها جایی زندگی می کردن که خیلی از ما آرزومونه بریم اونجا و براش لاتاری پر می کنیم و به خاطرش درس می خونیم و هر دو خودشون عضو دولت / حکومتی بودن و هر دو کلی چیز دیگه ولی وقتی می بینن راهی که دارن می رن اشتباهه از همه زندگی می گذرن و با قویترین کشور جهان در می افتن و حرفشون رو می زنن و با هزار تا انگ خیانت و غیره، حاضر می شن زندگیشون از هم بپاشه ولی چیزی که خلاف اخلاقه و خلاف انسانیت و به تباهی برنده کل یک جامعه، افشا بشه.

تمام.

پی.نوشت: این مطلب نیازی به بخش چرا «ما ، ما می شیم» نداره. درسته که در کشوری مثل آمریکا به خاطر آزادی بیان چنین امکانی توش فراهمه و حضور قوی و مستقل توش امری بسیار پایه ای است و قانون اساسی مثل آدم دارن ولی کماکان این بخش از استدلال که چرا اونا اونا هستن و ما ما، سر جاشه. مطمئنا این تنها علت نیست ولی بی تاثیر هم نیست.

مرتبط
– این ویدئوی مشترک آسانژ (از ویکی لیکس) و پری بارلو (از موسسان EFF) رو هم نگاه کنین
– راهنمای ویکی‌لیکس برای روزنامه‌نگاران
– جولیان آسانگ – موسس ویکی لیکس – تحت تعقیب پلیس بین الملل به خاطر «جرایم جنسی»

توی آمریکا هستین و حرفی دارین که می خواین با حفظ کامل حریم شخصی بزنیدش؟ ۷۵ دلار بدین و یک دونه از این تلفن‌ها رو تحویل بگیرین که سی روز کار می کنه و هیچ چیزش به اسم شما نیست و بعد از اتمام یک ماه هم بندازینش دور.

پول مکالمات رو می تونین با کردیت کارت بدین یا اگر واقعا می خواین حتی بانک هم ندونه که از اینجا تلفن گرفتین، با بیت کوین (اگر با بیت کوین آشنا نیستین، شماره چهاردهم رادیو گیک که به این موضوع اختصاص داره رو گوش بدین).

نکته: استفاده از موبایل موقعیت نسبی فیزیکی شما رو لو می ده و همینطور مکالمات و اسمس‌هاتون رو. این تلفن ها در هیچ حالتی صد در صد امن نیستن.

سایت «سامانه کارکنان نظام اداری کشور» جایی است که اگر شما کارمند دولت عزیز جمهوری اسلامی هستین باید خودتون رو توش ثبت کنین. ورود به این سیستم بدون وصل بودن به «اینترانت ملی کشور» غیرممکنه و ثبت کردن شما در اون، نیازمند اینه که اول یک Root Certificate رو که به شکل فایل اجرایی ویندوز در اختیار شما قرار میگیره، روی کامپیوتر خودتون نصب کنین.

اگر تا اینجا بحث براتون فنی بود، ترجمه اش می کنم به زبان آدمیزاد: با نصب این برنامه در کامپیوتر خودتون، به صادر کننده اون اجازه می دین که از این به بعد بتونه ارتباطات امنی که روی اون کامپیوتر با سایت های مثل فیسبوک، جیمیل، … داشتین رو زیر نظر بگیره.

راه حل؟ اگر بحث فنی می خواین باید یک ویرچوال ماشین نصب کنین و یک ویندوز اون تو داشته باشین که این سرتیفیکت خبیث روش نصب شده باشه و فقط برای همینکار به کار بره. البته این راه حل مثل اینه که بگیم قانونی تصویب شده که می گه افراد وابسته به یک گروه خاص حق دارن به همه تجاوز کنن و راه حل شما اینه که از خونه بیرون نرین (:

اگر هم فکر می کنین که شما کارمند نیستین و این براتون مشکلی درست نمی کنه باید یادآور سانسور اینترنت بشم که اول خاتمی شروع کرد و گفت «فقط پورن» بعد اضافه کردن «فقط سیاسی های معاند» بعد گفت «و البته وبلاگ های مخالف» و بعد «سرویس های وبلاگنویسی» و بعد «شبکه اجتماعی» و … و حالا ارزشی های عزیز هم که هرچیزی رو رعایت می کنن جز ارزش‌هایی ثابت و جهانشمول و دینی، هدف سانسور شدن و تازه ناله شون در اومده (:

یادمون نره که برشت نیمولر گفت : «اول به دنبال کمونیست ها آمدند و من چیزی نگفتم چون من کمونیست نبودم. بعد به دنبال سوسیالیست‌ها آمدند و من چیزی نگفتم چون سوسیالیست نبودم. بعد برای دستگیری فعالان اتحادیه‌های کارگری آمدند و من چیزی نگفتم چون زو اتحادیه‌های کارگری نبودم. بعد برای دستیگری من آمدند و دیگر کسی نمانده بود که چیزی بگوید.».

بله… یک – احتمالا هموطن عزیز گمنام – رفته دامینی با اسمی شبیه گوگل گرفته، بعد اومده یک ایمیل با اسمی شبیه گوگل زده و به امین که خواننده جادی.نت است گفته : «بیا پسوردتو به من بگو، به خدا من گوگلم!» خجالت هم نکشیده. امین هم لطف کرده ایمیل رو برای من فرستاده تا در موردش بنویسم. (:

اما از کجا می فهمیم:

۱- گوگل هیچ وقت به کسی ایمیل شخصی نمی زنه که بیا پسوردت رو عوض کن. حداقل به من که تا حالا نزده
۲- آدرس هایی مثل settings@gmail معلومه که تقلبی هستن و فقط دارن تلاش می کنن ظاهرشون واقعی باشه
۳- من می دونم که لینک ها الزاما اون چیزی که نوشته شده نیستن. مثلا اینجا اگر ماوس رو نگه دارم روی اون لینک پایین صفحه بهم می گه که لینک داره می ره به یک جایی به اسم accountsgmail.com که معلومه مال جیمیل نیستو گوگل نیست.
۴- اگر روی این لینک کلیک کنم احتمالا می ره به یه سایتی به اسم accountsgmail.com و من همیشه می دونم قبل از لاگین درست آدرس جایی که توش هستم رو نگاه کنم و مطمئن بشم که فقط و فقط و فقط توی google.com ایمیل می کنم تازه اونم در حالتی که ارور سرتیفیکیت نگرفته باشم.

ولی اگر یک قدم جلوتر بریم می تونم اینو بزنم:

 jadi@jell:~/Pictures$ whois accountsgmail.com

 Registration Date: 05-Feb-2012 
 Expiration Date: 05-Feb-2014  

 Status:SUSPENDED
	Note: This Domain Name is Suspended. 
	In this status the domain name is InActive and will not function. 

 Name Servers:  
    ns1.accountsgmail.com
    ns2.accountsgmail.com
 
 Registrant Contact Details:
    webphp.******@gmail.com
    Vahid *****        (webphp.******@gmail.com)
    Haqani highway, Pishdad st
    ******* alley, no.7
    Tehran
    Tehran,1122334455
    IR
    Tel. +98.212225****

هه هاها… ظاهرا دوستمون خیلی هم گمنام نیست و حتی اینقدر نمی دونسته که موقع فیشینگ نباید دامین رو دو ساله خرید و آدرس و تلفن داد. توی یک کشور درست بود الان دادگاه بود و احتمالا زندان ولی به هرحال درسی که به ما می ده اینه که همیشه بسیار مراقب باشیم که تو تله این به قول فنی ها «فیشینگ ها» یا «ماحی گیری» ها نیافتیم (اشتباه دیکته ای داره چون فیشینگ انگلیسی هم اشتباه نوشته می شه تا نشون بده که یک کلکی تو کاره) .

واقعیت اینه که در دنیا چیزی به اسم «هک کردن اکانت جیمیل» توسط افراد مستقل وجود نداره. همینطور برای یاهو و بقیه سرویس دهنده های بزرگ. تنها چیزی که هست اینه که می تونن من و شما رو گول بزنن که خودمون پسوردهامون رو بدیم یا اسم سگ و گربه و سال تولد و دوست پسر و غیره رو حدس بزنن و وارد اکانت بشن. قول می دم اگر گول نخورین، سرویس دهنده اینترنت یا دولتتون دزد نباشه و پسورد معقولی روی اکانتتون بذارین هیچ کسی هیچ وقت نمی تونه وارد اکانتتون بشه.

مرتبط:
اصل اول جادی: در مسابقه ای که شرکت نکرده‌اید، برنده نمی شین

احسان لینک جالبی رو برام فرستاده در مورد ماجرایی که این دو روز سر و صداش زیاد شد:‌ یک انیماتور لندنی که لپ‌تاپ گرون‌قیمت مک بوک پرو و آیپدش به سرقت رفته، می‌گه اونها توی ایران هستن.

ماجرا این بوده که دام دلتروتو روز ۴ فوریه به خونه‌اش در لندن می‌ره و می‌بینه لپ تاپ گرونقیمت مک بوک پرو و همچنین آیپدش دزدیده شده. خوشبختانه اون به جای اینکار رو هر روز به فردا بندازه، همون زمان که لپ تاپ دستش بوده روش برنامه‌ای نصب کرده بود که در صورت سرقت می‌تونست اطلاعات مکانی لپ تاپ بعلاوه تصویری که وب کم می‌بینه رو براش ایمیل کنه.

این برنامه جذاب یک ماه ساکت بوده اما بعد از یک ماه، اولین ایمیل دریافت می‌شه. عکسی از یک زن که من و شما راحت می‌تونیم تشخیص بدیم ایرانیه بعلاوه مکانی در تهران همچنین برنامه نشون می‌ده که این خانم، مک بوک پرو رو بیشتر از همه برای گوش کردن به موسیقی خواننده‌ای به اسم دایان و ناصر زینالی استفاده می‌کرده.

صاحب اصلی مک‌بوک به پلیس انگلیس مراجعه می‌کنه ولی بعد از بردن اسم «تهران» اونها می‌گن که امکان پیگیری جریان رو ندارن چون ایران خارج از حوزه کاری اونها است و تنها امکان گزارش به پلیس بین الملل است. البته اگر فکر می کنین پلیس بین الملل چیز خیلی خفنیه اشتباه می کنین (: گزارش به پلیس بین الملل مثل نوشتن یک نامه از یک اداره پلیس به یک اداره دیگه است که اگر صلاح دونست به شما توجه کنه و معلومه که چنین گزارشی تقریبا محاله مورد رسیدگی کسی قرار بگیره.

آقای دام که از روندهای قضایی و بین المللی ناامید می‌شه، می ره سراغ فعالیتی خشن تر؛ یک وبلاگ در تامبلر که عکس ها و مکان‌های مربوط به این «دزدی» رو توش منتشر می کنه تا حداقل فشاری باشه به صاحب جدید لپ تاپ.

اما آیا واقعا این دختر رفته لندن لپ تاپ رو دزدیده؟ احتمالا نه. این خانم با دام تماس می‌گیره و می گه اونم این لپ تاپ رو خریده و هیچ وقت نمی ‌دونسته که دزدی است و اظهار می کنه که حاضره لپ تاپ رو به صاحب اصلی برگردونه ولی جریان یک قدم دیگه هم ادامه پیدا می‌کنه: صاحب اصلی که فهمیده اشتباه کرده که اونهمه عکس خصوصی این آدم‌ها رو روی اینترنت گذاشته و بهشون گفته دزد؛ لپ تاپ رو به عنوان معذرت خواهی بهشون می‌ده و می‌گه می‌تونن نگه‌اش دارن و یک داستان گیکی، سیاسی/اجتماعی به خوبی و خوشی تموم می‌شه (:

درس‌های اخلاقی رو من بگم؟

۱) لازم نیست من توی این مطلب از اون عکس‌ها بذارم. نفر اول حاضره لپ تاپش رو بده به عنوان معذرت خواهی که عکس یکی از ایران رو گذاشته پس بهتره ما هم احترام بذاریم.

۲) پیش فرض‌ها خطرناکن. ایران از نظر یک انگلیسی یک کشور اسلامی جهان سومی خاورمیانه‌ای است و الان طرف متاسفه که فکر نکرده ممکنه ما هم مثل هر کس دیگه این لپ تاپ رو خریده باشیم بدون اینکه بدونیم دزدی است.

۳) در این خبر «ایران» قفط از این نظر مهمه که من و شما ایرانی هستیم و در نتیجه این خبر برامون جالبتر از بقیه دنیا است. این اتفاق می تونست با هر کسی در هر جایی بیافته.

۴) می تونیم لبخند بزنیم از یک اتفاق بامزه باحال؛ بخصوص با پایان خوشش.

۵) و از همه مهمتر: برنامه های خودتون رو نصب کنین. اگر کسی برنامه ای می شناسه که خوبه بگین که همین زیر بنویسم (:

معرفی:

– یکی از برنامه های خوب که روی سیستم های مختلف هم اجرا می شه Prey است.