برچسب: امنیت

رادیوگیک ۱۰۰ – جهان تغییر خواهد کرد

در رادیو گیک صد، با نگاهی اجتماعی و فنی به اخبار نگاه می‌کنیم. از هکرهایی که امسال دور هم جمع نمی شن میگیم و لو رفتن سورس کدها و حتی بیرون کشده شدن اطلاعات از کامپیوترهایی که به نظر می رسه مطلقا هیچ خروجی ای ندارن. شاید هم به همه یه حقوق پایه بدیم تا ببینیم دنیا چطور جایی می شه! با ما باشین تا سیاره‌مون رو هک کنیم!

با این لینک‌ها مشترک رادیوگیک بشین

اخبار

عمومی شدن سورس کد ماشین های هوشمند مرسدس بنز

ماشین های ون مرسدس بنز یه مدار Onboard Logic Unit دارن که رابط سخت افزار و نرم افزار خودرو است و ماشین ها رو به کلاود وصل می کنه و حتی اجازه می ده که تردپارتی ها (شخص ثالث؟! شخص؟! ثالث؟!) بتونه به خودرو وصل بشه و دیتا رد و بدل کنه. چیزهایی مثل بررسی وضعیت خودرو در جاده یا وضعیت اجزای خودرو و این چیزها. حالا ظاهرا این کد که توسط Daimler AG نوشته شده، به طور کامل لو رفته؛ بیشتر از ۵۸۰ تا گیت رپوزیتوری. چطوری؟ نگو به من… شرکت معظم دایملر ای جی که این کدها رو برای مرسدس می نوشته، اونها رو روی یک گیت روی وب هاست می کرده که … بگو چی؟ آفرین. امکان رجیستر شدن اکانت جدید توش باز بوده. این محقق امنیتی کارش همینه که دنبال سرورهایی بگرده که گیت لب روشون نصب است و درست تنظیم نشده.. ولی خب رسیدن به رپوزیتوری سورس کد بنز واقعا دیگه… [توضیحات در مورد خطرات نصب دیفالت یا فقط راه انداختن یه چیزی با سعی و خطا]. اوه طرف کل این رپوزیتوری رو چند جا آپلود کرده که شامل چیزهایی مثل ایمیج های رزبری، سورس کد، ایمیج سرورها‌، کامپوننت های کنترل ریموت OLUها، داکیومنت ها و غیره هستن و بعد از بررسی شون به نظر می رسه حتی توکن های API و پسورد و غیره سرور هم توشون پیدا می شه.

خارج اطلاعات ار کامیپوتر air gapped با فن پاور

اینجور خبرها زیادن می بینن که در خبر هم اومدن نه اعماق. دیگه عادی شده تقریبا ولی یادآوری اش مهمه هنوز. [مفهوم کامپیوتر air gapped] و محققی نشون داده که می تونه اطلاعات تایپ شده روی کامپیوتری که نه انیترنت داره نه وای فای نه بلوتوث نه حتی اسپیکر رو بخونه روی یک گوشی نشون بده. چطوری؟ با تنظیم کردن سرعت فن ! در نهایت یک چیزی داره صفر و یک به بیرون می فرسته و این چیز می تونه سرعت فن و صداش باشه که یه موبایل می تونه اونو به شنود خوبی تبدیل کنه. معلومه که این لا یه بدافزار هم لازمه ولی شاید براتون جالب باشه که بعضی ها حتی این ملورها رو از حفظ تایپ می کنن.. کمی توضیح و اینکه واقعا عملی است.

مونیخ هم به استراتژی «پول عمومی؟ کد عمومی!» پیوست

اعتلاف حزب سوسیالیست دموکرات و حزب سبز در مونیخ انتخاب شدن و یکی از تصمیم های خوبشون رو گرفتن: پول عمومی؟ کد عمومی! مساله اینه که تولید نرم افزار گرونه، آموزشش گرونه و از اون مهمتر بسته بودنش رانت میاره. در استراتزی پول عمومی؟ کد عمومی گفته می شه که اگر چیزی با پول عمومی…

دف کان امسال هم غیر حضوری برگزار می شه

خودش که خبر عظیمی نیست ولی هر وقت بحث دفکان باشه خوبه که در موردش حرف بزنیم. دفکان تقریبا بزرگترین گردهمایی هکرهای دنیا است که معمولا همه منتظرش هستیم تا حداقل فیلم هاش رو ببینیم. از ۱۹۹۳ شروع شده و از متخصصین امنیت و هکرها تا حقوق دان ها و این روزها پلیس ها هم توش هستن (:‌ معمولا کلی کارگاه داره. از باز کردن قفل فیزیکی تا رباتیک تا برنامه هایی مثل فتح پرچم تا موسیقی و پول پارتی های شبانه اش. در ضمن badgeهاش هم خیلی معروفه. اوه ایده روستاها هم خیلی خوبن. مثلا اگر من به بیوهک علاقمند هستم یا IoT می تونم برم روستای مرتبط و اونجا با آدم های مشابه گپ بزنم. یه جور میز در سطح خیلی بزرگ. تاثیرش توی فرهنگ هکرها هم زیاده. اگر علاقمندین سرچ کنین و چیز بخونین و ببینین. مثلا توی مستر ربات سیزن ۳ الیوت و دارلین به یه تورنمنت مقدماتی فتح پرچم دفکان سر زدن. خلاصه اینکه امسال نیست (:

وی پی ان قانونی ایران

طبق معمول ایران هیچ کس نمی فهمه این قوانین چیه. میان و می رن و همه هم مدعی هستن که «ما که قدرتی نداریم.. برین از بقیه بپرسین». به هرحال منتظرن که وزیر به اصطلاح ارتباطات ساز و کارش رو فراهم کنه تا رسته های خاص شغلی – بخونین دوستامون – بتونن وی پی ان قانونی داشته باشن و اینترنت سانسور شده بمونه برای من و شمایی که دم تکون نمی دیم. حالا اینکه چطوریه که باید از مالیات ما خرج کنن و ابزار سانسور بخرن و ما رو فیلتر کنن بعد به یکسری مجوز بدن که در مقابل پول بتونن این چیزهای فیلتر شده رو بخونن دیگه یه بحث دیگه است ((: فرمودن هم که به محض اجرایی شدن وی پی ان قانونی، با وی پی ان های غیرقانونی (بخونین روش های رسیدن ما به ایننرت) مبارزه بیشتری صورت خواهد گرفت.

هاوینگ بیت کوین
چهار سال یکبار. مثل ورزش. توضیح اینکه چیه. بیخیال قیمت بشین. به تکنولوژی عشق بورزین (: و در اولین تنظیم مجدد سختی شبکه هم ۶٪ پایین اومده.

مدیر مایکروسافت قبول کرده که قبلا در مورد بازمتن اشتباه می کردن

مایکروسافت در گذشته بسیار با برنامه های آزاد و بازمتن بد بودن. در حدی که در موردش از عبارت سرطان استفاده کرده بودن و FUDهای دیگه. اما حالا برد اسمیت رییس مدیرمایکروسافت پذیرفته که این استراتژی و برخورد اشتباه بوده. البته از نظر فنی هم چند وقت است که شعار MS Loves Linux واقعیت پیدا کرده و می بینیم با خرید گیت هاب و دادن Windows Sybsystem for Linux و vSCode و بقیه موارد واقعا مایکروسافت داره به سمت بازمتن میاد. حالا هم برد اسمیت توی مصاحبه اش گفته که «مایکروسافت قبلا در سمت اشتباه تاریخ ایستاده بودیم. اما خبر خوب این است که زندگی به اندازه کافی طولانی است و می تونین چیزهای جدید یاد بگیرین و تغییر کنین. امروزه مایکروسافت به تنهایی بزرگترین مشارکت کننده در پروژه های بازمتن است .. وقتی صحبت از بیزنس باشد». نکته خوبیه دیگه!

خبر بامزه؟ برنامه نویس جوونی که برنامه ماشین خودران آزاد رو وصل کرده به ماشین های GTA

هاها.. ماشین خودران هنوز چیز خفنی حساب می شه. البته هکر مشهوری به اسم خورخه هوتز یا همون geohot یه پروژه شروع کرده به اسم comma.ai که میتونه به خیلی خودروها وصل بشه و اونها رو تا حد قابل قبولی خودران کنه.. البته بدون تضمین (: خلاصه اگر خواستین خودران ملی بزنین،‌ کار دو سه روزه (: با احترام به کسانی که واقعا سعی می کنن پروژه رو بهتر کنن (: اما حالا یه هکر ۱۵ ساله به اسم لئون هیلمن نرم افزار آزاد رانندگی خودکار رو برداشته و وصلش کرده به Grant Theft Auto V که ذاتا کار جالبی است. تقریبا دو هفته طول کشیده و دو تا کامپیوتر هم می خواین که یکیش کنترل کننده ایکس باکس بهش وصله با ویندوز و اون یکی اوبونتوی ۱۶.۰۴ است که اوپن پایلوت رو با یه وبکم متصل می کنه به comma.ia . جذابیتش برای آینده؟ اینکه شاید بشه نرم افزار رو از طریق رانندگی در بازی بهتر و بهتر کرد (:

در اعماق

کرونا و اینترنت

مشکلات ایران و برنامه هایی که قراره کلا آموزش و پرورش رو به سمت یه چرندی ببرن که .. و امکان اینکه استادها کلا به اشتراک گذاشته بشن و .. و البته در خارج و تا حدی ایران بحث اینکه واقعا ظرفیت هست.. فقط نمی خواستن بفروشن. و البته خبر جالبی که اتوبوس های مدرسه روزی چند ساعت در مناطق محرومتر آمریکا توقف می کنن و اینترنت وای فای رایگان می دن. برای اینکه بچه هایی که قبلا می اومدن سوار اتوبوس می شدن می رفتن مدرسه حالا بتونن بیان بشینن توش یا اطرافش و از اینترنت رایگان امکان وصل شدن به معلم و مدرسه شون رو پیدا کنن. این اتوبوس ها در تگزارش حدود ۶۰ متر برد دارن و از ۸ صبح تا ۲ در مناطق مسکونی مستقر می شن. بحث دیگه کرونا و اینترنت هم بحث های اتصال از راه دور بود که کلی شرکت سبز شدن و تو ایران اکثرا با نصب برنامه های آزادی مثل big blue button و البته برنامه های قفل شکسته و از اونطرف شرکت های بیشتر و بیشتری به سراغ شنود و زیر نظر گرفتن کارمندان رفتن و البته حتی خیلی جاها در سطح شهر هم این سیستم های ۱۹۸۴ی راه افتادن … که امیدوارم بعد از کرونا از بین برن.. هرچند که نمی رن به این راحتی ها (: خبرهای کرونایی یکیش هم بحث کار از خانه است. کلی از خونه کار کردیم و چقدر مثبت بوده (: جک دورسی از توییتر گفته که توییتر اجازه می ده کارمندانش تا وقتی که دلشون می خواد و حتی تا ابد، از خونه کار کنن. تا وقتی کارشون رو می کنن منظم و مرتب. تحقیقات متنوعی هم نشون می دن که بهره وری بالاتر بوده (: برای خیلی ها هم خیلی عجیبه بازم برگردن به دفترهای ناراحتی که همه چیزش از خونه بدتره و لازمه براشون ۱ ساعت از روز رو هم حروم کنیم در رفت و امد. و البته کرونا نتایج غیر انیترنتی هم داشته، از جمله کم شدن ۱۷درصدی Carbon Emission (: اوه اوه همین الان فیسبوک هم گفت که بعد از کرونا هم ریموت رو جدی تر نگه می داره (: کوین بیس و شاپیفای هم گفتن در حد من و داریوش و ابی رو کجا می برین (: و البته قصه رد شدن یکسری آدم هم بود چون گوشی های جدیدشون با HEIC عکس می گیرن که پرتال ها نمی شناسنشون.

رمزارزها و TON و بلاکچین و سانسور

از این نظرها هم جهان پر تلاطم بود. بیشتر از ۲ سال قبل تلگرام اعلام کرد قراره یه رمزارز به اسم TON بده. کلی آدم باهاش انواع کلاه برداری ها رو کردن. از نصب پوسته های تقلبی تلگرام به اسم اینکه بلاکچین است (یعنی چی اصلا؟!) تا عضو شدن تو گروهی به اسم بانک ملی چون رییس تلگرام شخصا قول داده اگر اعضاش به ۱ میلیون برسه به همه پول بده ((: مهملات. حالا توی یه بیانیه رسمی تلگرام اعلام کرد که پروژه TON رو متوقف می کنه و کسی دیگه حق نداره از این اسم استفاده کنه. و این حرفها. صحبت اصلی اش هم اینه که قاضی ای مشکلات حقوقی براش درست کرده. این پیچیدگی عمومی رمزارزها و دولت ها است که سعی می کنن کنترلش کنن. تو ایران هم قانون عجیبی داشتیم که رمزارز رو برابر بقیه ارزها دونسته و نیازمند مجوز صرافی (: خلاصه که … هرکسی از ظن خود شد یار من و بدون اینکه اصلا بفهمه مساله روِ، قانونی تصویب می کنه یا حرفی می زنه. بین خودمون باشه فکر کنم تو تلگرام هم بحث فقط هیجانی راه افتاد. از بحث ضد فیلتر بودن تا پروکسی های خود تلگرام تا رمزارزش (: [ مفهوم کردیت متفاوته و می تونه خیلی هم خوب باشه و البته مشکلاتش با ایران و بازم دردسر پول نبودنش در ایران در حالی که در جهان به عنوان پول استفاده می شه این کردیت]. تو این بحث هستیم بحث تکون دادن ۴۰ تا بیت کوین ۲۰۰۹ رو هم بگم که در روز ۳۷م شروع ماین شده بود

یه برنامه نویس همه ملودی های ممکن رو به شکل میدی ساخته تا جلوی شکایت های چرت رو بگیره

شاید از سریال سیلیکون ولی یادتون باشه [کمی توضیح]. حالا یه وکیل به و یه برنامه نویس دست به دست هم دادن و کار جالبی کردن تا دیگه هیچ موسیقی دانی به خاطر موسیقی ای که ساخته مورد شکایت قرار نگیره. اونها با یه الگوریتم هر ملودی ای که ممکنه رو تولید کردن و نتیجه رو به شکل یه فایل MIDI نوشتن ( Musical Instrument Digital Interface و کمی توضیح. رابط است و چیزی شبیه اینکه نت ها رو با دستگاه های مختلف نوشته و اجرا کنین). بعد اومدن گفتن طبق قانون میدی یک فرمت اجرا شده است و قابل کپی رایت کردن. پس کپی رایت کردن و گفتن دیگه کسی اجازه نداره مدعی بشه چیزی که در این مجموعه است، کپی رایت اونه. کل کار رو هم به شکل creative commons zero منشتر کردن؛ در واقع هیچ چیزی رو برای خودشون نگه نداشتن. نمونه اخیر شکایت tom Petty از Sam Smith بود که توش مدعی بود بخشی از موزیک Stay with me سم به موزیک I wont back down اون شباهت داره. اما حالا که این الگوریتم همه ترکیب های ممکن ۸ نوت از ملودی های ۱۲ بیت رو درست کرده، تکرار این مساله منطقا باید ممنوع باشه. معلومه که قصد این دو نفر نشون دادن داغون بودن وضعیت کپی رایت است. قوانینی که الان خیلی قدیمی هستن و شدیدا نیاز به توسعه و تغییر دارن. درست شدن که خلاقیت رو حفظ کنن و جامعه رو به پیش ببرن ولی … [توضیحات خودم]. راستی. کل الگوریتم روی گیت هاب قابل پیدا شدن است. دنبال allthemusic.info بگردین.

گوگل گلس آپگرید شده به بچه های اوتیستیک اجازه می ده احساسات رو «ببینن»

حالاکه داریم از سریال ها می گیم متوجه بیگ بنگ تئوری هم باشیم دیگه. توش شلدون درجاهای زیادی در تشخیص احساسات مشکل داره و نمی فهمه طرف خوشحاله یا غمگین یا شوخی می کنه یا چی. این می تونه واقعا مشکل درست کنه. تصور کنین جیمی که ۱۱ سالشه گرسنه شده و موقع شام است. میاد بیرون و به سمت اشپزخونه . مادرش میز رو چیده و داره غذا رو میاره ولی جیمی که اتویسم داره، با دیدن ظرف های روی میز تصمیم میگیره اونها رو مرتب کنه و یکی یکی همه قاشق ها و چنگال ها و بشقاب ها رو دقیق می ذاره سرجاشون توی قفسه ها. اون ناگهان یه صدای جیغ می شنوه که می گه «جیمی چیکار می کنی؟!». بر میگرده و مامانش رو می بینه ولی نمی دنه چی شده. البته اگر یک گوگ لگلس ۲۰۱۳ آپگرید شده به چشمش باشه، وضع فرق می کنه. این گوگل کلس شروع می کنه به چشمک زدن در کنار صورت و می گه یه صورت کشف کرده و کافیه جیمی یک ثانیه دیگه به مادرش نگاه کنه تا با نشون دادن یه اسمایلی عصبانی، به جیمی یادآوری کنه که مادرش از یک چیزی عصبانی است! مساله ای که خود جیمی نمی تونسته بفهمه! این نتیجه ۶ سال کار یه تیم توی دانشگاه استنفرد است و حالا نیازمد تاییدیه FDA برای عرضه شدن به عنوان یه ابزار سلامت واقعی. و البته برای فان کردن قضیه بازی هایی هم بهش اضافه شدن. مثلا «لبخند رو پیدا کن» یا «احساسات رو حدس بزن» (: یعنی دقیقا خود شلدون بازی (:‌ چیزی که از این خبر صرف مهمتره، توانایی هوش مصنوعی است در دادن اطلاعات دقیق تر به مغز ما برای تصمیم هاش. به فروشنده ای فکر کنین که دوربین روی چشمش داره بهش می گه شما از کجای حرفش خوشتون نیومده یا مشکوک شدین و هدفون توی گوشش می گه باید به شما چی بگه که … یا بدتر از اون.. کاندیدای ریاست جمهوری که …

‏Universal Basic Income ظاهرا به نفع زندگی بهتر است

این اصطلاح «درآمد عمومی سرتاسری» یا چنین چیزی بحث جالبیه. ایده اینه که‌آیا اگر به همه مردم حداقل های زندگی / یک درآمد نیمه آبرومند رو بدیم چه اتفاقی می افته. معلومه که دوستان راست و طرفدار سرمایه داری سریعا استرس می گیرن که «نه… دیگه هیچکی کار نمی کنه» و «وای اقتصاد به فنا می ره» و «انگیزه های از بین می ره» و «رقابت مهمترین انگیزه بشری است» و «این کمونیستمه!» و … اما ظاهرا تجربیاتش مثبته. همونطور که تجربه چیزهایی مثل بیمه بیکاری و داشتن حق درمان و تحصیل و غذا و … نتایج بهتری داده. در گسترده ترین تحقیقی در این مورد که تا به حال بوده در فنلاند در دو سال یعنی ۲۰۱۷ و ۲۰۱۸ هر ماه به ۲۰۰۰ نفر بین ۲۵ تا ۵۸ سال حقوق ماهانه ای داد بدون اینکه ازشون چیزی بخواد. حقوق فقط ۵۶۰ یورو بود و سعی شد نمونه های معقولی از کل جمعیت کشور انتخاب بشن و وضعیتشون با ۱۷۳هزار نفری که از طریق بیمه بیکاری زندگی می کردن مقایسه شد. ظاهرا طبق نتایج، این افراد بیشتر از افرادی که بیمه بیکاری می گرفتن کار کردن و اطرافیانشون هم بیشتر سر کار رفتن و رفاه کلی بیشتری هم داشتن، همینطور سلامت روانی و کارکردهای ادراکی شون بالاتر بود و امیدشون به آینده هم بهتر بود. گفته می شه ایده درآمد حداقلی عمومی می تونه در مقابله با شرایطی مثل کرونا هم مثبت عمل کنه چون به آدم ها امنیت روانی و مالی می ده. همچنین طبق آمار این شکل از درآمد عمومی بلاشرط تاثیری روی عدم علاقه آدم ها به کار کردن نداشته. محقق ها می گن با اینکه پول مهمه ولی ظاهرا پول تاثیری روی علاقمندی آدم ها به کار کردن و نکردن نداره. در نهایت شعار اینه که انتظار می ره هر کس مستقل از شغل ، رنگ ، جنس، جنسیت، دین، قومیت و هر چیز دیگه، به میزان کافی از از مسکن، آموزش، بهداشت، حمل و نقل و غذا دسترسی داشته باشه.

نامه ها

تقبیح ها و تشویق ها

موسیقی

  • علی دی جی . قدرت تریاک
  • دوباره – شاعر همیشه با کلت
  • جالبوت – فهمت ببر بالا
  • پالت و ماکان اشکواری – پس چرا تفنتگارو گرفتی سمت من
  • کی ناز – منم یه روز میرم یه جایی که مردمش اهل حالن

تشریح و نمایش فنی باگ و حمله‌های استک اورفلو و بافر اورفلو

یکی از مشکلات دائمی امنیتی که دائما – بخصوص توی پروژه های مهم – اسمش رو می شنویم، باگ ها و حمله های اورفلو است. چه استک اورفلو و چه بافراورفلو. در این ویدئوی دو قسمتی، اول نگاهی به مفهوم کلی و معماری ای می کنم که باعث این مشکلات می شه و بعد یک نمونه استک اورفلوی ساده رو نشون می دم و توی ویدئوی دوم سراغ نوشتن یه برنامه کوتاه دارای مشکل بافراورفلویی می رم که به کاربر اجازه می ده بدون داشتن رمز عبور، وارد یه سیستم بشه و با دیباگر گنو، وضعیت پیش اومدنش رو در سطح کدهای حافظه بررسی می کنم. خوش بگذره و حواستون باشه که یکی از بهترین روش های یاد گیری یه چیز، تکرار کردنش است.

این دو وئدیو کمی سطح بالاتر هستن و اگر دیدین و همه اش رو متوجه نشدین، می تونن راهنمایی باشن برای اینکه چه چیزهایی رو دنبال کنین و بخونین.

ویدئوی اول حمله استک اورفلو در یوتوب و آپارات و ویدئوی دوم هم در یوتوب و آپارات.

گوگل داره جلوی لاگین با براوزرهای کمتر مرسوم لینوکسی رو می‌گیره

آدم‌های مختلفی دارن می‌گن که در لاگین کردن به گوگل با براوزرهایی که خیلی مرسوم نیستن، به مشکل برخوردن. این اخبار قبلا هم بود ولی حالا کاربرانی در ردیت دارن می‌گن که واقعا وقتی می‌خوان با مرورگرهای وبی مثل فالکون و کانکوئرر به سرویس هایی مثل جیمیل و گوگل داکس و مپ لاگین کنن، با ارور

امکان ورود وجود ندارد. این مرورگر یا برنامه‌ای که استفاده می‌کنید شاید امن نباشد. سعی کنید از مرورگر دیگری استفاده کنید. اگر در حال استفاده از یک مرورگر پشتیبانی شده هستید، سعی کنید صفحه را رفرش کنید و دوباره وارد شوید.

مواجه می‌شوند اما اگر همین اکانت را روی همین سایت‌ها با یکی از مرورگرهای مرسوم مانند فایرفاکس یا کروم استفاده کنند، مشکلی در ورود ندارند. مساله اصلی هم این است که در صورت وجود مشکل در یکی از این مرورگرها، گوگل باید حداقل به تیم توسعه اعلام کند که چه مشکلی در آن‌ها دیده است یا برعکس، مجموعه ای گایدلاین منتشر کند و بگوید هر مرورگری که می خواهد روی گوگل استفاده شود باید این موارد را پشتیبانی کند. منطقا مرورگرهایی مانند کانکوئرر تحت توسعه مداوم هستند و بعید است به شکل کور بشود گفت مشکل امنیتی‌ای دارند که مانع لاگین می‌شود. بخصوص که طبق آزمایش‌ها، بعد از عوض کردن اطلاعات user agent، سیستم بدون هیچ مشکلی قابل استفاده است.نکته جالبتر این است که فعلا همه افراد این مشکل را ندارند. برای بعضی‌ها پیش میاید و برای بعضی‌ها نه و احتمالا یک تست از طرف گوگل است.

مساله حادتر اما، ایجاد محدودیت توسط یک شرکت بزرگ دارای انحصار نسبی روی ابزارهای مورد استفاده ما است. کاری که براوزرهایی مانند ویوالدی مجبور هستند آن را دور بزنند ولی در نهایت لازم است قانون آن را کنترل کند. همین حالا هم قانون می‌گوید براوزر را نمی شود با سیستم عامل اجبار کرد، هر براوزر لازم است حق انتخاب موتور جستجو را به کاربر بدهد و موارد مشابه. منطقا باید کم کم قانونی هم باشد که بگوید «فقط با فلان براوزر میذارم بیای تو سایت من» غیرقانونی است چون قدم بعدی این است که «ورود با فلان سیستم عامل ها ممنوع است» و قدم بعدی «ورود بدون لپ تاپی که خودم ساختم ممنوع است».

چک کردن سورس سودو برای بررسی باگ امنیتی CVE-2019-14287

می خواستم نگاهی به سورس سودو بندازم و فکر کردم چرا باز کردن و پیدا کردنش رو ضبط نکنم. الزاما قرار نیست اینجا برنامه نویسی،‌ مرکوریال،‌ مک یا هر چیز دگیه ای یاد بگیریم بلکه قراره ببنیم یک نقطه شروع دیگه برای خوندن سورس کجاست
آپارات و یوتوب

هکرهای روسی «خرس تنبل» بعد از سال‌ها مخفی بودن، کشف شدند

اسم تیم هکری، Cozy Bear است و تنبل شاید ترجمه مناسبی نباشه اما این خیلی مهم نیست. نکته مهم این تیم هکری که احتمالا به دولت روسیه نزدیکه، اینه که چند سال با ابزارهایی که قبلا شناخته شده نبود کار می کردن و لو نرفتن. در واقع بخش جذاب «عملیات روح» شیوه ارتباط کامپیوترهای هک شده با سیستم دستور و کنترل (Command and Control) یا به شکل مخفف C2 است.

مساله اینه که اگر شما یه کامپیوتر رو هک کنین، این کامپیوتر باید با یک مرکز تماس بگیره و اطلاعات رو به اون بفرسته و دستورات بعدی رو دریافت کنه. این مساله همیشه دردسر درست می کنه چون با لو رفتن اون مرکز، کامپیوترهای هک شده هم لو می رن یا اصولا ارتباطشون با هکرها قطع می شه.

تیم خرس تنبل از ۲۰۱۳ با اسم هایی مثل CozyDuke و APT29 و CozyCar و Office Monkey مورد اشاره قرار گرفته و جاهایی مثل وزرای اروپایی و سفارت آمریکا و اخیرا دولت نروژ رو هدف قرار داده. ظاهرا اونها با فیشینگ (ماحی گیری) کامپیوترها رو آلوده می کردن و بر اساس اهمیت اون کامپیوتر، بک دورهای دیگه ای روش نصب می کردن. اما نکته بامزه، شیوه ارتباط این بک دورها با C2ها است.

همونطور که توی عکس بالا می بینین حداقل از ۲۰۱۴، ابزارهای دوک (شامل مینی دوک و پالی گات دوک) برای ارتباط از شبکه های اجتماعی مثل ردیت، توییتر و ایمجر استفاده می کنن. در اصل اونها یو آر ال های کد شده سرورهای فرمان و کنترلشون رو تو این شبکه ها می ذارن و کامپیوترها آلوده با چک کردن این لینک ها، به سرورهای C2 متصل می شن! مثلا این توییت هم حاوی یه یو آر ال کد شده است که کامپیوترهای آلوده شده با چک کردن اونها کشف می کنن قراره به کجا وصل بشن.

کدی که می تونه از بیت مپ تصویری که توی یه سایت به اشتراک گذاری تصویر، یو آر ال رو در بیاره چنین چیزی می شه:

برای دیدن گزارش کامل ESET از ابزارهای کوزی بیر، این لینک رو نگاه کنین. ESET از روی تاریخ کمپایل ابزارها معتقده کمپین عملیات روح، از حوالی ۲۰۱۳ شروع شده و تا الان ادامه داره هرچند که بعد از این گزارش مطمئنا دیگه اونها رو نخواهیم داد و احتمالا به شکل جدیدی کارشون رو ادامه خواهند داد. یادتون باشه که ندیدن هکرها به معنی نبودن هکرها نیست (:

مصرف کنید: از توییت عکس ماهواره جاسوسی توسط ترامپ چی می فهمیم

چند روز قبل ترامپ با گذاشتن یه عکس با کیفیت فوق العاده بالا از یه سایت پرتاب ماهواره ایران، نوشت که عملیات پرتاب شکست خورده و آمریکا توش مقصر نبوده. مستقل از کشمکش های سیاسی، چیزی که عجیب بود این بود که رییس جمهور برای اولین بار به یه عکس از ماهواره جاسوسی ای رو نشون داده بود که توش هر ۱۰ سانتی‌متر روی زمین، تقریبا یک پیکسل شده بوده؛ و البته این عکس با گوشی موبایل فلاش دار، از یک مانیتور گرفته شده بود!

اسکات منلی توی این ویدئو در ده دقیقه توضیح می ده که ما دیگه چی می تونیم از این عکس کشف کنیم. با داشتن زمانی که بقیه ماهواره ها گزارش دادن و سایه ها باید بشه جای گرفته شدن عکس رو پیدا کرد. از رو اون می شه رسید به اینکه الان چه ماهواره ای باید اونجا باشه و شاید یه نفر سعی کرده باشه با تلسکوپش، از اون ماهواره جاسوسی عکسی بگیره!

پلیس فرانسه بدافزار ریتاداپ ۸۵۰هزار پی سی رو از راه دور پاک کرد

پلیس فرانسه امروز اعلام کرد که بدافزار بات‌نتی ریتاداپ (RETADUP) رو از روی ۸۵۰هزار کامپیوتر در سراسر جهان پاک کرده و منطقا این بات‌نت رو از جهان محو کرده.

اوایل امسال، محققان امنیتی آواست که به شکل فعال بات‌نت ریتاداپ رو زیر نظر داشت متوجه یه مشکل امنیتی توی این بدافزار شد که اجازه می‌داد با دسترسی به کامپیوتر کنترل کننده بات نت، بشه اونها رو از کامپیوتر آدم‌ها حذف کرد – از همون راه دور. برای انجام این کار، آواست نیاز به دسترسی به کامپیوتر کنترل و دستور (C&C) داشت که در فرانسه بود.

به همین دلیل محققین با مرکز پلیس سایبری فرانسه تماس گرفتن و مساله رو باهاشون مطرح کردن. بر اساس نقشه اونها، پلیس فرانسه باید کنترل سرور فرمان رو در دست می گرفت و برنامه اصلی کنترل کننده رو با نسخه جدیدی جایگزین می کرد که با استفاده از یک مشکل امنیتی در پروتکل این بات‌نت، می تونست بدون صدمه زدن یا حتی اجرای برنامه جدید روی پی سی آلوده، بدافزار رو از اون حذف کنه.

در اولین لحظات بعد از جایگزینی سرور قبلی با سرور جدید، چند هزار کامپیوتر آلوده به اون وصل شدن و دستوراتی که دریافت کردن رو اجرا کردن و ویروس از روشون پاک شد. بعد از مدتی، عدد کامپیوترهای پاک شده در حدود ۸۵۰هزار ثابت موند. به گفته پلیس، این سرور پاک کننده ویروس، تا چند ماه آینده هم روشن خواهد موند تا اگر کامپیوتری آلوده در طول اون مدت روشن بشه و به مرکز فرماندهی بات نت وصل بشه، دستورات پاک کننده رو دریافت کنه و پاک بشه.

پلیس فرانسه می‌گه در مورد این عملیات با اف.بی.آی. هم در ارتباط بوده چون بعضی از کامپیوترهای آلوده در آمریکا بودن. این رو هم اضافه کرده که کامپیوترها دستور ماین کردنشون رو از کامپیوتر کنترل کننده می گرفتن و به محض شروع این عملیات، دیگه نتونستن چیزی ماین کنن و نویسنده هاش از درآمدشون محروم شدن.

این بات نت از ۲۰۱۵ ظاهر شد و احتمالا از آمریکای لاتین. بات نت ریتاداپ می‌تونست کاربردهای مختلفی داشته باشه؛ از ماین رمزارزها تا دی‌داس کردن زیرساخت و جمع کردن اطلاعات. این بدافزار رو ویندوز نصب می شد و عملیاتی مثل نصب برنامه های دیگه یا گسترش خودش رو هم انجام می داد. در موارد متعددی دیده شده این بدافزار، پی‌لودهای باج افزار استاپ و سرقت کننده پسورد ارکی رو هم نصب کرده. در کنار همه اینها، روی کامپیوتر کنترل، یک کنترل کننده دات نتی RAT (تروجان دسترسی از راه دور) به اسم HoudRat هم پیدا شد.

منبع اصلی

بلا تورن برای رفع تهدیدهای دزد عکس های برهنه‌اش، خودش عکسها رو منتشر کرد

بلا تورن، بازیگر و خواننده آمریکایی در برخورد با یک دزد اطلاعات، دست به ابتکار جالبی زد تا به گفته خودش «قدرت رو پس بگیره». این بازیگر ۲۱ ساله که درگیر چاپ کتابش بود می گه که تن به تهدیدهای کسی که براش عکس های برهنه اش رو فرستاده و تهدید کرده اونها رو منتشر می کنه نداده و ترجیح داده خودش عکس ها رو توی توییتر بذاره و راحت بشه. اون می گه:

همونطور که می دونین دیروز هک شدم. برای ۲۴ ساعت با عکس های برهنه خودم تهدید شدم. حس کریهی داشتم و فکر می کردم کسی داره عکس‌هایی که برای مخاطب خاص گرفته شده بوده رو داره نگاه می کنه.

بعدش بلان تورن (Bella Thorne) تصمیم جالبی گرفت: اینکه خودش اون عکسها رو توی توییتر بذاره و از فکر و خیال و تهدید راحت بشه. همینکار رو هم کرد و به پلیس هم خبر داد تا مساله رو پیگیری کنن. اون در مورد دزد احتمالی هم می گه که:

احتمالا یه بچه ۱۷ ساله است که اشتباه می کنه، البته اینبا راشتباهی بد. البته نمی خوام کل زندگی یه بچه خراب بشه چون یک لحظه نتونسته درست فکر کنه و تصمیم بگیره. احتمالا آدم باهوشی است و اگر اینو در مسیر مثبتی استفاده کنه می تونه برای جامعه مفید باشه.

به نظر من که عکس العملش جالب بوده. قبلا هم از این موارد حرف زدم ولی تکرارش ضرر نداره:

  1. سکس و عکس برهنه و غیره کاری است که خیلی ها می کنن. نگرانی نداره. نگرانی اصلی تصورات و خیال های درهم و برهم ما است. هر بار پیش اومده (از جمله هک مشهور سال ۲۰۱۴ روی آی‌کلاود اپل) بعد از مدتی فراموش شده و همه به زندگی مرسوم برگشتن. تهدید کردن آدم ها با عکس برهنه شون خنده داره (:
  2. اگر از چیزی عکس می گیرین و به هر شکلی هر چیزی رو دیجیتال می کنین، باید با این فکر باشه که ممکنه روزی همه ببیننش. اگر راحت نیستین و نمی خواین، نکنین (:
  3. هم آمریکا و هم روسیه سعی کردن رهبر اندونزی یعنی سوکارنو رو با اینکه «ازت یه فیلم سکسی داریم و اگر همکاری نکنی آبروت رو می بریم» تهدید کنن. جوابش این بود که «چه بانمک، برای خودم هم یه نسخه بفرستین (:»