بایگانی برچسب: s

اکسپلویت‌های منتشر شده شدو بروکرز در هفته گذشته، واقعی به نظر می‌رسن

shadow

هفته گذشته یک خبر عجیب داشت. گروه دی شدو بروکرز اعلام کردن که بخشی از «تسلیحات سایبری» سازمان سازمان امنیت ملی آمریکا رو به دست آوردن که بخشی از اونها هنوز هم روی زیرساخت‌های مهم اینترنت کار می کنن و اونها رو به خریداری که تا فلان تاریخ بشیترین بیت‌کوین رو براشون بفرسته می‌فروشن یا در اقدامی عجیبتر اگر ۱ میلیون بیت‌کوین بگیرن، اطلاعات رو عمومی منتشر خواهند کرد.

این شیوه عجیب اعلام و فروش و انگلیسی دست و پا شکسته اطلاعیه اصلی، شک‌های زیادی درست کرد. در واقع اگر شما ۱۰۰۰ بیت کوین به این گروه هکری می‌دادین و یکی دیگه ۱۵۰۰ تا، دومی برنده می‌شد و فایل‌ها رو می‌گرفت و شما کل پول رو از دست می‌دادین! از اونطرف ۱ میلیون بیت‌کوین درخواست شده، یعنی تقریبا ۶ درصد کل بیت‌کوین‌های در حال گردش در کل جهان. بررسی حساب‌های اعلام شده نشون می‌ده که تا به حال رقم واریزی بیشتر از ۲۰ بیت‌کوین هم نبوده. اما وضع احتمالا تغییر خواهد کرد.

اینترسپت جمعه مطلبی رو منتشر کرده که طبق اسناد اسنودن تایید می‌کنه که ابزارهای نشون داده شده به احتمال خیلی زیاد واقعا بخشی از ابزارها و تسلیحات سایبری ان اس ای هستن. حداقل اسامی ابزارهایی مثل اکسترابیکن، اپیک بنانا و جت پیلو چیزهایی هستن که قبلا ازشون حرف زده شده و امکان حمله‌های موفق به برخی ابزارهای سیسکو رو دارن. همچنین در همین هفته سیسکو هم اشکال رو پذیرفته و تقریبا همه می‌تونیم مطمئن باشیم که ابزارها واقعا مربوط به ان اس ای هستن.

برای خوندن اینکه دقیقا اکسپلویت کشف شده چیه دنبال CVE-2016-6366 بگردین ولی نکته اصلی اینه که این زیرو دی خطرناک دست ان اس ای بوده بدون اینکه در موردش به سیسکو اطلاع داده بشه. همین اتفاق از طرف فایروال فورتینت که ایرانی‌ها هم ازش زیاد استفاده می‌کنن افتاده. فورتینت اعلام کرده یک مشکل امنیتی با درجه خطر بالا نسخه‌های قدیمی‌تر فایروال‌هاش رو تهدید می‌کنه. این باگ در بافر پارسر کوکی‌‌ای است که روی برد قرار گرفته و اجازه می‌ده یک حمله کننده بتونه با فرستادن یک درخواست HTTP دستکاری شده، کنترل دستگاه رو در دست بگیره. به احتمال زیاد در زمانی خیلی کوتاه اخبار مشابهی از جونیپر هم خواهیم شنید.

فعلا اینکه این گروه هکری به کجا وابسته است مشخص نیست اما چیزی که بسیار جالب شده، افشای دسترسی‌های گسترده ان اس ای به تجهیزات زیرساخت اینترنت و داشتن تسلیحات مبتنی بر زیرودی‌هایی است که نه فقط برای همگان اعلام نمی‌شن، که حتی به کارخونه سازنده هم خبر داده نشدن.

[منبع اصلی]

رادیوگیک شماره ۶۵ – اینترنت چیزها.. که به غلط بهش می گیم اشیا

در شماره ۶۵ رادیوگیک، به یکی از مباحث روز تکنولوژی می‌رسیم: Internet of Things یا همون اینترنت چیزها که البته کسانی که از «چیز» می ترسیدن بهش گفتن «اینترنت اشیاء» و ما هم به این اصطلاح اشتباه عادت کردیم. اینترنت چیزها از ارتباط دائمی همه چیز با یک شبکه، از سنسورها و از توان پردازش ابری حرف می زنه. تاریخچه و ایده مثل همیشه هیجان انگیزه ولی توهم جاروبرقی ای که به فرمان ما خونه رو جارو می زنه همه ماجرا نیست. اینترنت چیزها مسواکی است که به شرکت بیمه خبر می ده شما باید پول بیشتری بدین چون خوب مسواک نمی زنین! با ما باشین تا در یک ساعت چیز چیز کنیم و گاهی هم اشتباهی مثل باکلاس ها اشتباهی بهش بگیم «اشیاء». شماره شصت و پنج رادیو در یک ساعت نگاهی داره به IoT!

توجه: نوشته های زیر یادداشت های غیر دقیق شخصی هستن. شاید انسجام نداشته باشن. من اینها رو جلوم داشتم که تو رادیو حرف بزنم (: ولی خب اینجا هم می یارم برای سرچ و غیره…

با این لینک‌ها مشترک رادیوگیک بشین

اخبار

در اعماق

اینترنت چیزها

  • تعریف
  • دعوای اسم: «چیزها» بد نیست.. یکسری هستن به بازی کردن می گن بازی رو انجام دادن.. مثال هایی مثل اینترنت همه چیز و غیره
  • شاید در واقع بقیه اینترنت باشه.. یعنی ادامه اینترنت. فقط الان چیزهای جدیدتری دارن وصل می شن که شاید نیازی به اسم عجیب هم نداره. درست مثل اینکه قبل از هر چیز بگیم «هوشمند».
  • بعضی ها می گن یخچال و جارو برقی قراره هوشمند بشن و به بقال محل بگن که پنیر تموم شده یا قبل اومدن شما خونه رو جارو کنن -> سرشون داد بکشین که فلان پنیر رو دوست ندارین!
  • در چند سال آینده به این می رسیم… و دیگه توان خودمون برای خیلی کارها رو از دست می دیم.. مثلا سفارش پنیر به بقال (:

  • البته همین الان هم یک چیزهایی انگار هوشمند شدن. مثلا بیمه ماشین خود به خود تکرار می شه و ما نگرانش نیستیم چندان. چرا نگران پنیر و شیر باشیم؟ و اگر زیاد خرید چی؟ من مسواکم رو ماهی یکبار عوض نمی کنم.. تیغ صورتم رو هم سه ماه یکبار در حالی که اگر فرمون رو بدیم دست اینترنت چیزها… هر هفته یک تیغ برام سفارش می ده!

“the infrastructure of the information society.”

creating opportunities for more direct integration of the physical world into computer-based systems, and resulting in improved efficiency, accuracy and economic benefit;

Each thing is uniquely identifiable through its embedded computing system but is able to interoperate within the existing Internet infrastructu


تاریخچه

از مدت ها پیش پایه ها مطرح شده بود. ۱۹۸۲ توی کارنگی ملون یک ماشین تحویل کوکا کولا به اینترنت وصل شد تا بتونه بگه چند تا کوکا توش مونده

اواخر دهه ۹۰ یا بهتر بگم در واقع خود ۱۹۹۹ کوین اشتون این اصطلاح رو درست کرد و گفت IoT! اون می گفت جهانی می یاد که «در آن هر چیزی، از جمله اشیا بی جان، برای خود هویت دیجیتال داشته باشند و به کامپیوترها اجازه دهند آن‌ها را سازماندهی و مدیریت کنند. اینترنت در حال حاضر همه مردم را به هم متصل می‌کند ولی با اینترنت اشیاء تمام اشیاء به هم متصل می‌شوند». مترکز خاص اشتون روی آر اف آی دی بود و تگ زدن به چیزها (از بارکد کیو ار و دیجیتال واترمارک) که اجازه می ده کامپیوترها مدیریت مردم رو بر عهده بگیرن! البته یکسال قبل کوین کلی در کتاب قوانین نوین اقتصادی در عصر شبکه‌ها (۱۹۹۸) موضوع نودهای کوچک هوشمند (مانند سنسور باز و بسته بودن درب) که به شبکه جهانی اینترنت وصل می‌باشند را مطرح نمود.. یا توی همون ۱۹۹۹ مقاله بیل جوی از «دیوایس به دیوایس» حرف می زد.

یا مثلا به یک بقالی نگاه کنین که خودش می دونه چی فروخته و چندتا و چی باید سفارش بده و تاریخ چی گذشته! این ساده ترین فرم ها است. دقیقا می دونن چی فروش رفته و با چه سرعتی و …

و البته اسم مهمل اینترنت «اشیاء»‌هم قابل بحثه.. واقعا چرا اسمش رو تو فارسی می گیم اشیا؟ چون چیزها بده؟ خزه؟ سکسی است؟ یکسری که اصولا به بازی کردن هم می گن بازی نمودن (: اشیا یعنی آبجکت که یک کلمه خاصه… این اینترنت تینگز است یعنی اینترنت چیزها.. و سگ من معمولا جزو اشیا حساب نمی شه ولی جزو چیزها است.


کلاود

کلاود در این بحث خیلی مهمه چون چیزها نیم تونن خودشون قدرت کافی برای تحلیل دیتا هم داشته باشن. اما با بودن کلاود [کمی توضیح] کافیه هر چیز ریز بتونه اطلاعاتش رو به ابر / اینترنت تحویل بده و کل پروسس و منطق اونجا اتفاق بیافته.

د رحال حاضر گفته می شه در ۲۰۲۰ حدود ۵۰ میلیارد دستگاه به اینترنت چیزها وصل خواهد بود.


مثال های فعال فعلی چیزهایی مثل خونه هوشمند و دزگیریی که به پلیس زنگ می زنه (یا زنگ دم در ) یا ترموستات هستن.

دادن توان پروسس و سنسور به هر چیز فیزیکی. مثلا همه از مسواک عضو اینترنت حرف می زنن. یا ترازو. یا چه می دونم.. کنسرو یا خودرو یا جارو برقی. مثال برای هر کدوم و فرق اینکه هوشمند باشن یا نه و عضو اینترنت باشن یا نه. مثلا قهوه سازی که صبح قهوه رو درست می کنه یا وقتی نزدیک میشین یا خودش قهوه سفارش می ده.

و خب این روزها اتصال به اپ

یا مثلا تیغ عضو اینترنت چیزها. مثال خودم و اینکه چند ماهه عوض نکردم.

m2m

بخش مهم ارتباط ماشین با ماشین است. اینکه مسواک بدونه چند بار مسواک زدم اصلا مهم نیست. به من نشون بده هم چیز خاصی نیست ولی جذابیت اونجاست که شروع کنه به حرف زدن با یخچالم و بگه جادی امشب مسواک زده باز نشو! پایه این اتفاق وب است و اینترنت و همه جا حاضر بودن اون و بخصوص وای فای که امروزه داریم.

در واقع ما اینجا ترکیب مهم رو درست کردیم: سنسور + ارتباط + پروسس

تا اینجا از این گفتیم که ابزارهای شخصی ما دارن وصل می شن ولی انتظار می ره ابزارها همه مال ما نباشن. مثلا بحث شهر هوشمند. من چرا نباید بدونم توی فلان پارکینگ چند تا جای خالی هست یا فلان خیابون آیا ترافیکه؟ یا مثلا آیا بسته پستی من رسیده یا نه. و از این بالاتر.. ام تو ام! چرا من بدونم؟! خب ماشینم بدونه و خودش بره دیگه (: یا مثلا مثال خرید از آمازون.

یا مثلا ممکنه اصولا عمومی هم نباشه و مال اپ های دیگران باشه… یا اصولا چیزهای سوشیال. مثلا وسایل خونه شما با هم حرف بزنن و یخچالتون به همدیگه خبر بدن که چی لازمه یا اگر دارین می رین خونه فلانه خوبه فلان چیز رو بخرین بیارین!‌

این هم هست که شما ممکنه اصلا از سیستم حذف بشین. مثلا می دونیم که هند یکی از مصرف کننده های بزرگ اب جهانه. به خاطر مشکلاتش در کشاورزی کلاسیک و حروم کردن آب . یکسری سنسور توی زمین می تونن کاملا دقیقا به یک سیستم ابیاری خبر بدن که نیاز به چقدر آب در کجا هست یا مثلا داستان ۲۰۰۷ مینسوتا و فروریختن یک پل و مردم آدم ها به خاطر اشکال در صفحات فلزی پل. یکسری سنسور می تونن روی پل نصب بشن و در صورت بروز هر جور شک در سازه، به شهرداری خبر بدن. یا مثلا پل می تونه تعداد ماشین های رد شده رو خبر بده.

در مورد پوشیدنی هم گپ بزنیم و بخصوص حیوانات (:

اقتصاد

تا ۲۰۲۴ حدود ۴.۳ تریلیون دلار بیزنس خواهد بود.و در حال تغییر جهان. هم در تولید هم در مصرف هم در درک از مصرف کننده.
همزمان تغییر دهنده شکل کار. مثلا تغییر دهنده یکسری شغل ها (حداقلش کسی که انبارداری می کرد مثلا) – عده ای هم می گن در واقع تغییر شکل شغل اتفاق می افته ومثلا مثال بانکداری و ای تی ام که باعث شد حتی بانک ها پیشرفت هم بکنن و افراد بیشتری بگیرن چون راحتتر شعبه باز می کن.
انگلیس ۴۰ میلوین پوند بودجه سال ۲۰۱۵ تصویب کرد برای اینترنت چیزها.

حوزه ها

رسانه.
رسانه ها تا حد زیادی به سمت شخصی شدن پیش می رن. بیگ دیتا و اینترن چیزها اجازه می ده رفتارها و علاقمندی ها رو مستقیم تر دید و بر اساس نیازهای فردی رسانه رو تغییر داد.
محیط زیست.
هنگام صحبت از اینترنت چیزها دائما از سنسورها حرف می زنیم و کجا بهتر از محیط زیست برای داشتن سنسور. کیفیت آب، وضعیت کشت و زرع، حرکت حیوانات و خبرگیری در مورد سونامی و غیره بخشی از اینرنت چیزها هستن. بندرهایی که حرف می زنن و بادهایی که وسط اقیانوس به ما خبر می دن کجا دارن می رن و نهنگ هایی که نزدیک شدنشون به ساحل رو اسمس می زنن (: یا مثلا مزرعه هایی که خاکشون می گه چقدر آب لازم داره و سدی که به حرفش گوش می ده (:
زیرساخت.
گپ کلی در مورد مونیتورینگ و بهینه سازی
تولید
گپ در مورد پروسه و اهمیت چرخه تولید و عرضه و غیره
مدیریت انرژی
سلامت (اشاره به پوشیدنی ها)

پیاده سازی های فعلی

خیلی کشورها دارن جدی به این سمت می یان وچون احتمالا فرصت زیادی برای توسعه می ده.
کره جنوبی شهر سونگدو رو درست کرده که زیرساخت کامل هوشمند داره و تقریبا ههمه چیزش به اینترنت وصله و یک جریان دائمی داده است.
نمونه دیگه شهر سانتاندر در اسپانیا است که ۱۸۰ هزار سکنه داره و اپلیکیشنش می تونه حدود ۱۰هزار سنسور از شهر رو تحیلیل کنه.. شامل جای پارک و وضعیت محیط و برنامه های شهری و .. و حدود ۱۸هزار بار هم نصب شده. کشورهای چین و فرانسه هم نمونه های دیگه ای دارن و مطمئنا سان فرانسیسکو

مشکلات

در حال حاضر مشکل پروتکل بسیار جدی است. سامسونگ گفته تا دوهزار و نمیدونم چند صد در صد ابزارهایی که می سازه رو به اینترنت متصل خواهد کرد ولی با چه پروتکلی؟ و من چجوری باهاشون رابطه خواهم داشت؟ احتمالا رابطه من یک اپ خواهد بود ولی آیا باید یک اپ سامسونگ، یک اپ هواوی، یک اپ شهرداری تهران یک اپ خونه هوشمند و .. داشته باشم؟ و آیا توستر سامسونگم می تونه به دوش حموم خریداری شده از سد اسماعیل من وصل باشه تا وقتی که من داشتم خود رو خشک می کردم خبردار بشه که تست رو شروع کنه؟ این سیستم ها باید بتونن به همدیگه وصل باشن و توسط من کنترل بشن!

برای بخشی از این مشکل گروهی در حال هماهنگ کردن پروتکل ها هستن ولی باید ببینیم آیا سازنده ها بهشون گوش می دن یا نه. گوگل. سامسونگ و … در حال تلاش هستن.

مشکل دیگه اصولا ساختار اینترنت است و روش آی پی مرسوم ورژن چهار که خب نیاز به تبدیل شد نبه شش داره

مشکلات امنیت و پرایوسی هم هست. سنسورهایی که در تمام زندگی من دارن دیتا جمع می کنن و خواب و حضور و رفتار و غذا و سیفون دستشویی و … رو ذحیره می کنن .. حتی مصرف دستمال کاغذی و هر چیز دیگه و و این دیتا به جای دیگه ای منتقل می شه. از یکطرف کسانی که از نظر قانونی به اینها دسترسی دارن باید مشخص باشن و از یک طرف کسانی که به شکل غیرقانونی دسترسی دارن! مثال جیپ که اخیرا بود… در واقع در حال حاضر امنیت بسیار کم اهمیت گرفته شده. چه در انتقال چه در نگهداری چه در قوانین و حتی برنامه نویسی!

یک مثال مشهور از پرایوسی هم تارگت است که دختر تینیج کارت های تخفیف حاملگی می گرفت و در نهایت خود طرف معذرت خواهی کرد. یا مثلا بحث تلویزوین های هوشمند که معلوم شد همیشه داره به دستورات صوتی گوش می ده و حتی گپ های خصوصی ما رو هم گوش می ده و می فرسته برای سازنده اش تا هر جوری صحیح می دونه استفاده بشه.. حتی مثلا اینکه گوش داده بشه برای تبلیغات!

ترکیب ای او تی در مقابل بیگ دیتا بسیار خطرناک می شه. در واقع همه کارهای شخص شما رو ممکنه بدونن یا همه چیز قابل پیش بینی باشه و هیچ کس خارج از کنترل دیگران نباشه و در نهایت بر خلاف تبلیغات همه به شکلی مجبور به نمایش همنوایی با اکثریت.

در یک جنبه دیگه مادربزرگ عزیز که دستگاهی داره برای بررسی وضعیت سلامتش… چی می شه اگر کسی اونو هک کنه و ضربان قلب رو ببره بالا یا مشکلات سلامتی رو اصولا گزارش نده؟

آیا اگر من دستگاه رو خاموش کنم ، دیتا از بین می ره؟ یا همیشه می مونه؟

و البته بحث ها بزرگتر هم می شن… ما یک اسم درست کردم به اسم اینترنت چیزها که یادمون می ندازه قراره چیزها به اینترنت وصل بشن… اصل ماجرا اینه؟ نه خیر (: اصل ماجرا اینترنتی است که تمام اطراف ما رو گرفته، سنسورهایی که همه جا دارن کار می کنن.. سرویس ها و حتی آدم ها بهشون وصلن.

بحث فقط گسترش اینترنت نیست بلکه اتفاقا اصل ماجرا یک پیشرفت در سخت افزاره. جاش بورنر می گه این یک حرکت است در ادامه اینترنت. اینترنت تونست همه اطلاعات ما رو به هم وصل کنه و حالا آی او تی همه سخت افزارها رو به هم وصل خواهد کرد. و از اونطرف پروسه تولید متحول می شه و توان مصرفی.. سه هفته قبل یک کمپانی تکنولوژی ای رو معرفی کرد که توش یک وایرلس می تونه با یک باتری برای ۳۵ سال کار کنه! این در واقع اینترنت چیزها رو ممکن خواهد کرد نه بلوتوث مهمل.

البته دقت کنیم که یک خط اشتباه در اینرنت چیزها تلاش برای کوچیکتر کردن همه چیز است. دیوید رز از مدیا لب ام آی تی اپل واچ رو مثال می زنه که یک تکنولوژی اشتباه است: تلاش برای تکرار کوچیکتر تکنولوژی های قبلی. اون می گه مثال خوب از اینترنت چیزها، شمشیر بیلبو بگینز است که دو تا کاربرد داشت: دشمن ها رو نصف می کرد و وقتی اورک یا گابلینی در اطراف بود می درخشید. اینترنت چیزها چتری خواهد بود که وقتی احتمال بارون می ره، دسته اش می درخشه تا ببینین و برش دارین. در واقع بخشی از اینترنت چیزها رو قراره با تعبیر «جادو» درک کنیم.

بحث اخلاقیات هم مهمه. پایه های اینترنت روی یک چیزهایی بنا شده که باید حفظ بشن. مثلا من باید بدونم چه کسی از اطلاعات من استفاد همی کنه یا بهش دسترسی داره. مثلا باید بدونیم که باز بهتر از بسته است و اطلاعات من باید بین دستگاه هام قابل انتقال باشن نه اینکه اگر یک یخچال فلان خریدم تا آخر عمرم باید یخچال فلان بخرم [توضیحات خودم در هر دو مورد]. دیتاهای عمومی باید عمومی باشن (مثلا ترافیک). افراد باید حق پرایوسی روی دیتا داشت باشن و باید بتونن دیتاهاشون رو بگیرن یا حذف کن. یا لازمه پولی که از دیتای جمع شده من جمع می شه به خودم هم برسه…

خلاصه… داستان اصلی اینه که قصه صبح بخیر گفتن در دستشویی و گپ زدن با یخچال رو فراموش کنین. اینکه ابزارها سنسور دارن الزاما معنی شون این نیست که قراره به من و شما خدمت کنن و این چیزها. رادیوگیکی باشین و بدونین تکنولوژی رابطه داره با جامعه و درک من از جامعه است که به درکم از تکنولوژی شکل می ده. دید انتقادی رو حفظ کنین تا تکنولوژی واقعا در خدمت خودمون بمونه نه یک چیزی که ما برده اش بشیم یا کسانی که کنترلش می کنن، ما رو کنترل کنن. گیک ها! متحد بشین شبح آی او تی کره زمین رو فرا گرفته!

تبریک و تقبیح

تقبیح اول برای خودم و رادیو گیک. دو شماره قبل در مورد درگاه‌های پرداخت آنلاین حرف زدم و گفتم یکسری علیه یکسری یکسری کارها می کنن که انگار طوری شده، ولی تحقیقم در موردش کافی نبود و ظاهرا مطلب اشتباه یا غیر دقیق بود. هنوزم نمی دونم ولی این رو می دونم که چیزی که نسبتا دقیق نمی دونیم رو بهتره نگیم (: شرمندگی نسبت به همه درگاه های پرداخت آنلاین و بخصوص مسعود لطفی عزیز که هر دو سری پیگیری کرد.

نامه ها

سلام جادی عزیز
جواد یا همون Jalal.LinuX هستم.
من آرشیو کامل پادکست هاتو توی سایتم گذاشتم به آدرس زیر
hidevs.ir/#!/radiogeek

موسیقی

  • آهنگ‌های جنوبی / بندری به پیشنهاد حامد ذاکری هستند که بازخوانی آهنگ‌های قدیمی هستن
  • به پیشنهاد پوریا Guns N’ Roses – Sweet Child O’ Mine
  • ‌آهنگ snow white به پیشنهاد میلاد
  • یه چیزی بده به من
  • مهندس موسوی که از بودن دروغ حرف زدن و شرافتمندانه سر حرفش ایستاده (:

اکثر چیزها در مورد باگ نافرم جی لیب سی

glibc-exploit

یک باگ جدید و جدی توی glibc دیده شده. یک باگ خیلی جدی. کتابخونه سی گنو یا همون glibc یکی از بخش‌های بسیار مهم اکثر توزیع های لینوکس است. حالا یک باگ توی این کتابخونه هزاران برنامه لینوکس رو تهدید می کنه. این باگ نسبتا شبیه باگ سال گذشته GHOST است (CVE-2015-0235) که اجازه می داد از راه دور کدهایی روی ماشین اجرا بشه.

باگ فعلی (CVE-2015-7547) یک باگ سرریز استک (stack based buffer overflow)‌ است در بخش کلاینت دی ان اس glibc که وظیفه تبدیل کردن آدرس های قابل فهم برای آدم ها (مثلا jadi.net) به آی پی رو داره.

کلیت ماجرا

این مشکل وقتی دیده می شه که یک دستگاه دارای باگ سعی کنه به یک DNS سرور بدطینت ریکوئست بزنه و نتایج رو توی حافظه بذاره (تابع getaddrinfo). چیزی که دی ان اس سرور بدخواه بدجنس بر می گردونه ممکنه حاوی کدی باشه که کار مخربی می کنه و نشستنش توی حافظه – در سطرح تئوری – باعث اجراش خواهد شد. البته در عمل این اتفاق تقریبا غیر ممکنه چون انواع مکانیزمهای امنیتی جلوی اونو خواهند گرفت (شامل ASLR). حالت بعدی اینه که حمله کننده به شکل مرد میانی درخواست های دی ان اس رو خودش بر می گردونه و بینشون کدهای نامناسب درج می کنه.

چه کسانی مبتلا هستن

تقریبا هر سیستم لینوکس جدید با این مشکل مواجه خواهد بود. این باگ از جی لیب سی ۲.۹ به بعد ظاهر شده و در نتیجه هر برنامه ای که با استفاده از توابع glibc به شبکه دسترسی پیدا می کنه ریسک داره. نمونه ها؟ اس اس اچ،‌ سودو و کرل. لیست کامل می خواین؟ تقریبا غیر ممکنه. بهتره تصور کنین اکثر برنامه های مرتبط با شبکه و حتی زبون های پایتون، پی اچ پی، روبی، … و البته برنامه‌های بیت کوین.

مشکل دقیقا کجاست

محققین گوگل می گن که بخشی از glibc که به دی ان اس ریکوئست می زنه مشکل داره. این مساله به جی لیب سی تذکر داده شده و اصلاح شده و همه باید آپدیت کنیم… حداقل در طول هفته آینده دائما آپدیت کنیم. مهندسین گوگل می گن:

جی لیب سی ۲۰۴۸ بایت برای استک الوک می کنه تا جواب دی ان اس از _nss_dns_gethostbyname4_r رو توش ذخیره کنه. جلوتر در تابع send_dg و send_vc اگر جواب بزرگتر از ۲۰۴۸ بایت باشه، بافر جدیدی درست می شه و پوینترها آپدیت می‌شن. در شرایط خاص ناهماهنگی بین بافر استک و تخصیص دهی جدید هیپ پیش می یاد و نتیجه این می شه که بافر استک برای ذخیره کردن جواب دی ان اس استفاده می شه، حتی در مواقعی که جواب بزرگتر از اندازه این بافر باشه. این مساله موجب اورفلوی بافر استک می شه.

(فارسی گفتن اینها عجیب می شه. متن اصلی اینجاست).

اثبات شده

سه شنبه مهندس گوگل فرمین سرنا یک اکسپلویت برای اثبات این مساله منتشر کرد. با استفاده از این اثبات مفهوم می شه چک کرد که آیا برنامه های ما در مقابل این مشکل صدمه پذیر هستن یا نه (هستن!).

اصلاح

مهندسین گوگل با همراهی ردهت یک پچ برای حل مشکل ارائه کردن. اما مساله اینه که حالا تک تک توزیع‌ها باید glibc خودشون رو آپدیت کنن و هر برنامه ای که استاتیک این کتابخونه رو لینک کرده، باید خودش رو آپدیت کنه. مثل همیشه در دنیای لینوکس وقتی مشکلات دیده بشن سریعا حل می شن و من و شما فقط کافیه آپدیت کنیم. پس در روزهای آینده حواستون به آپدیت ها باشه منتظر آپدیت های زیاد باشین. همچنین اگر از سروری محافظت می کنین که به اینترنت وصل نیست، دردسرهای نسبتا زیادی منتظر شما خواهد بود چون آپدیت کردن این سیستم‌ها معمولا دردسره و در مواردی شاید نتونین به سادگی فقط glibc رو آپدیت کنین.

آیا من و شما در خطریم؟

در حالت معقول نه. کامپیوترهای ما به دی ان اس سرورهای بدجنس وصل نمی شن و اگر از لینوکس هایی به روز استفاده کنیم مشکل همین الان هم تا حدی برطرف شده و فقط در روزهای آینده باید آپدیت‌ها رو جدی بگیریم همچنین اندرویدها به جای glibc از بیونیک استفاده می کنن که این مشکل رو نداره و اکثر لینوکس های درونکار( امبدد؟ )‌ هم مشکلی نداره چون اکثرا uclibc هستن.

نکته باقیمانده

به سادگی در کامنت ها مطرح کنین و سعی می کنم در سطح سواد و وقت جواب بدم و بقیه رو هم می سپریم به دوستان باسوادتر در کامنت ها (:

دلیل واقعی بسته شدن فریندفید از زبون موسس این شبکه اجتماعی فوق‌العاده

ff

فریند فید یکی از بهترین شبکه‌های اجتماعی بود. خوشبختانه توسط فیسبوک خریده و کنار گذاشته شد. دیگه نه بهش فیچر اضافه می شد و نه جایی تبلیغ می شد. یک جای متروکه. فریندفید برای من مثل یک جزیره گمشده یا خانه متروکه بود که دیگه آدم جدیدی توش نمی‌یاد. من یک شب توی اتاق زیرشیروونی یک کشور بارونی و سرد پیداش کردم و تا نصفه شب باهاش شاد بودم. بعدها هم هربار رفتم فریند فید، برام مثل یک مهمانی بود. لحظاتی که دوست داشتم با آدم های دوست داشتنی گپ بزنم و بخندم.

البته خیلی‌ها هم خاطراتی بد از فریندفید به جا گذاشتن. احمدی نژادی‌ها فکر می‌کردن بهترین جا است که توش دنبال دشمن و غیره بگردن و لو بدن و این ظاهرا باعث مجموعه‌ای از بدترین خاطرات خیلی‌ها شد و دوستانی که دیگه هیچ وقت ندیدیمشون. خوشبختانه اون دوران من فریندفید نمی‌رفتم.. طبق عادت قدیمی من فقط بعضی سفرها مهمان فرندفید بودم و فرندفید همیشه برام حکم یک مهمونی رو داشت که تعجب می‌کردم چرا هنوز دقیقا همون آدم های قدیم توش هستن، نه بیشتر و نه کم‌تر.

اما همونطور که می‌بینین هیچ کدوم از «فریندفید»های این مطلب به جایی لینک نمی‌شن. حدود یکسال قبل فیسبوک تصمیم گرفت فریندفید رو تعطیل کنه. قبل از اون هم کاملا حس می‌شد که گاهی سرچ از کار می افته و تا وقتی یکی تو فیسبوک سرور رو ریبوت نکنه، بر نمی‌گرده. اما بالاخره یک جایی فیسبوک رسما اعلام کرد که فلان تاریخ فریندفید خاموش خواهد شد. بازم رفتم اونجا و بازم همه بودن… روزها بعد از تاریخ اعلام شده برای خاموش شدن فریندفید هنوز روشن بود و توش می‌خندیدیم که «خاموش کنین بریم سراغ کارمون دیگه!»

حالا توی شبکه کورا، یکی پرسیده «فریند فید چرا تعطیل شد» و یکی از موسسین فریندفید بالاخره پاسخ واقعی رو داده:

برت تیلور، از موسسین فریندفید. مردم کمی ازش استفاده می کردن و اکثر مهندس‌هایی که می‌دونستن چطوری کار می‌کنه سراغ پروژه‌های یا شرکت‌های دیگه رفته بودن. یک جایی زحمت فنی بالا نگه داشتن سرورها دیگه ارزشش رو نداشت.

فکر می‌کنم فیسبوک فوق العاده بود که تا همین‌جا هم روشن نگهش داشت. روشن نگه داشتن فریندفید هیچ دلیل دیگه ای به جز احترام گذاشتن به کاربران و علاقمندانی که هنوز اونجا بودن نداشت. شرکت‌های خیلی کمی که شرکت دیگه ای رو بخرن حاضرن چنین کاری بکنن و این چیزی بود که همه تیم نسبت بهش عمیقا احساس احترام کردن.

مایکروسافت به زودی سرتیفیکیت‌های مبتنی بر SHA-1 رو غیرفعال می‌کنه، به دلیلی جالب

مایکروسافت در خبری نسبتا غیرمنتظره [اعلام کرده که احتمالا در زمانی به زودی جون ۲۰۱۶ سرتیفیک‌های TLSی که با الگوریتم هش SHA-1 درست شده باشن رو غیرفعال می‌کنه]. دلیل؟ تولید کالیژن (تصادم) در این شکل از رمزنگاری خیلی ارزون شده!

بذارین برای دوستان غیرفنی کمی به عقب برگردم. هش یا همون Hash الگوریتمی است که باعث می‌شه ما بتونیم از یک عبارت یا رشته یا فایل یا هر چیز دیگه که حاوی کمی اطلاعات باشه، به یک رشته برسیم. مثلا هش SHA1 اسم من این می‌شه:

$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

درست؟ حالا کافیه من به شما بگم «اسمم جادی است و هشش هم با ۶ شروع می شه و آخرش ۵ داره». شما اگر برین خونه و انواع مختلفی از اسم من رو بنویسیم و هش اونها رو حساب کنین، فقط در یک حالت به اون هشت که من بهتون دادم می رسین (اگر هش رو کامل بدم که بهترینه ولی معمولا بعیده دو رقم آخرش هم یکی در بیارد:

jadi@funlife:~$ echo -n "madi" | sha1sum
2ed1bf7f675c3e6a16ee159909348669980cc140  -
jadi@funlife:~$ echo -n "ladi" | sha1sum
423a605398fb490a7a7b583dc88974c2c46917d5  -
jadi@funlife:~$ echo -n "jady" | sha1sum
8d0136e02b2d142917a461130af21346d37c3f83  -
jadi@funlife:~$ echo -n "jaadi" | sha1sum
24dc889795b1aaf9845cd504606c62d3a968bb16  -
jadi@funlife:~$ 
jadi@funlife:~$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

در این مثال معلومه که کارمون مسخره است اگر ورودی بزرگ باشه، دادن هش برای چک کردن صحت ورودی روشی معقوله. مثلا وقتی می‌خواین سی دی اوبونتو رو دانلود کنین، هش‌هاش هم بهتون داده می شه تا بعد از دانلود مطمئن باشید که فایل کاملا سالمه.

تا اینجا درست؟ حالا آیا ممکنه یک هکر بیاد و فایلی درست کنه که ایزوی واقعی اوبونتو نیست ولی هش اون دقیقا با هش سی دی اوبونتو یکی بشه؟ این مساله از نظر ریاضی ممکنه (چون به هرحال طول هش SHA1 ثابته ولی طول ورودی می تونه متغیر باشه و در نتیجه حتما هش‌های تکراری داریم) اما از نظر عملی این امکان…

از نظر عملی درست کردن یک فایل که هش اون با هش مورد نظر ما دقیقا یکی بشه در سابق بسیار گرون بوده ولی از یک طرف با تلاش متخصص‌های رمزنگاری و ریاضی‌دان‌ها در پیدا کردن روش‌های سریعتر برای ایجاد تصادم و از اونطرف با اومدن کامپیوترهای پیشرفته تر و سریعتر و ارزونتر و بودن سرویس‌های ابری عظیم مثل EC2 آمازون که به آدم‌ها اجازه می ده با گرید کردن کامپیوترهای کوچیکتر به یک سوپرکامپیوتر برسن،‌ درست کردن یک هش تکراری با هش دلخواد هزینه‌اش حسابی پایین اومده، شاید چیزی در حدود ۷۵ تا ۱۲۰ هزار دلار که برای شکستن رمزهای TLS مبتنی بر SHA1 هزینه‌ای بسیار پایین به حساب می‌یاد.

در همراهی با مایکروسافت، موزیلا و گوگل کروم هم اعلام کردن که در زمانی نسبتا مشابه، سرتیفیکیت‌های تی ال اس مبتنی بر SHA1 رو غیرفعال خواهند کرد. کامپیوترها واقعا دارن پیشرفت‌ می‌کنن.

جواب هر سوالی که تا به حال در مورد آوترنت داشتین

cubesat

در چند هفته اخیر اخبار در مورد آوترنت یکهو خیلی زیاد شده. همه می پرسن چیه و از کجا اومده و عده زیادی هم خوشحالن که قراره یکی بیاد مشکلات ما رو حل کنه بدون اینکه خودمون تکون خاصی بخوریم و سایت های تکنولوژی زیادی هم که طبق معمولا کپی پیست همدیگه هستن و از وای‌فای‌هایی می گن که به زودی اینترنت رو به سراسر جهان خواهند رسوند. اما بیاین نگاه کنیم که کلیت داستان چیه و آیا بالاخره کسی پیدا می شه ما رو از دست سانسورچی نجات بده و اینترنت آزاد که به گفته سازمان ملل یکی از حقوق بشره رو دو دستی تقدیم ما کنه؟

من اینجا سعی کردم سوالاتی که در مورد آوترنت به ذهنم می رسه رو جواب بدم. اگر سوال شما اینجا نیست کامنت بذارینش تا اگر عمومیت داشت،‌ به مجموعه سوالات اضافه بشه.

آوترنت از کجا اومده؟

آوترنت یک استارتاپ انتشار اطلاعات است که فعلا صندوق سرمایه‌گذاری‌ای به اسم MDIF داره ازش حمایت می کنه. این پروژه می خواد اینترنت یک طرفه رایگان رو به همه جهان عرضه کنه. در حال حاضر این سیگنال‌ها از طریق ماهواره‌های ارسال سیگنال کلاسیک مثل هات برد به سمت زمین ارسال می شن ولی انتظار می ره در آینده بیشتر پوشش از طریق ماهواره های CubeSat اتفاق بیافته – مینی‌ماهواره‌هایی با حجم یک لیتر.

هدف از این پروژه چیه؟

همونطور که گفتیم هدف پروژه آوترنت رسوندن [بخشی از] اینترنت به کسانی است که بهش دسترسی ندارن. چرا؟ چون اینکار باعث می شه دنیا جای بهتری برای زیستن همه ما بشه. جالبه که این ایده برای ما به شکل یک بام و دو هوا نقد می شه! از یکطرف می گن «هیچ کس برای شما کار رایگان و انسان دوستانه و … نمی کنه و اگر کسی به جز ما کاری کرد که توش سود مستقیم و سریع نداشت حتما نقشه خبیثی داره» ولی از اونطرف کلی تبلیغ می کنیم که بیاین خیریه و کمک مالی به فلان چیز بکنین و … و از نظرمون خیلی هم طبیعی می شه (: واقعیت اینه که کمک به دیگران لذت بخش و مثبته چون زندگی در یک دنیای بهتر، خوب و لذت بخشه.

مطمئنا نمی گیم گروه ها پولشون رو فقط در راه خیر صرف کردن بلکه حرف اینه که اونها می فهمن که اینکار در نهایت دنیای بهتری می سازه و ممکنه به اشکال مختلف پول خوبی هم به سمتشون سرازیر کنه. فقط به این فکر کنین که کل جمعیت بدون اینترنت دنیا بتونن از کانال شما بخشی از اینترنت رو ببینن…. یک تبلیغ اینجا چند تا لایک داره؟ (:

و البته بخش دیگه ای از ایده می تونه برگرده به اینکه جهانی درس خونده تر، با سوادتر و فهیم تر تضمین کننده زندگی بهتر آدم های درس خونده تر، باسوادتر و فهیم تر هم هست (:

از همه اینها که بگذریم هدف آوترنت به شکل خاص تر، رسوندن اطلاعات مهم روی اینترنت به گروه‌هایی است که الان بهش دسترسی ندارن.

آترنت چه تفاوتی با اینترنت داره؟

اینترنت یک شبکه بسیار بزرگ است شامل میلیون ها سایت و صفحه و فیلم و … شما با اتصال به اینترنت می تونین توش بچرخین و به هر صفحه ای که هر کسی درست کرده برین. حالا در اینترنت ایران وضع چیه؟ یک گروه به خودشون اجازه / حق / مسوولیت داده که حقوق بگیره و تو اینترنت بچرخه و صفحه هایی که شما نباید ببینین رو جدا کنه و دسترسی شما رو بهش قطع کنه. حالا بحث آوترنت درست برعکسه!‌ تصور کنین یک گروه بگن یک سیستم دارن که می‌تونه حجم محدودی از صفحات، سایت‌ها و فیلم‌های اینترنت رو به دست شما برسونه و بشینن تیک بزنن که فلان چیز و فلان چیز و فلان چیز باید به شما برسه. شما هم سیستمی رو راه می ندازین که این صفحات و فایل ها رو می گیره و شما می تونین همونطور که در اینترنت می چرخین توی اون‌ها بچرخین. این می‌شه آوترنت.

آیا باهاش می شه از فیلترینگ رد شد؟

بله و نه. اگر سایتی که شما می خواین بخونین توسط پروژه آوترنت انتخاب شده باشه، شما می تونین اون رو ببینین ولی اگر اینطور نباشه، امکان دسترسی به اون نیست. در ضمن همه دنیا آوترنت مشابهی دریافت می کنن در نتیجه خیلی بعیده که مسوولین پروژه تصمیم بگیرن جادی.نت رو روش بذارن اما در مقابل به احتمال خیلی زیاد بخش بزرگی از پروژه گوتنبرگ (کتاب های کلاسیک رایگان) یا آکادمی خان (آموزش علوم)‌ روش قابل دسترسی است.

آیا مشکل ما رو حل می کنه؟

احتمالا تا الان جوابتون رو گرفته اید. خب می شه به بخش بزرگی از مواد آموزشی و مفید اینترنت یا اخبار توسط آوترنت دسترسی داشت ولی مشکل من و شما که این نیست (: در واقع مساله همونه: خوشبختانه کسی یکهو ظاهر نمی شه مشکل یکی دیگه رو حل کنه.. اگر کسی می خواد مشکلش حل شه باید یک کمی هم تلاش کنه (:

چجوری باید ازش استفاده کرد؟

اترنت‌ تقریبا شبیه یک سیستم دریافت ماهواره است – با این اختلاف که فایل سرش می شه! شما برای استفاده از آترنت باید سیستمی داشته باشین که بتونه سیگنال های اون رو از ماهواره بگیره. این سیستم منطقا شامل یک مجموعه دیش برای دریافت سیگنال و یک مجموعه الکترونیکی برای تفسیر و ذخیره و بازنمایی اطلاعات است. قسمت اول تقریبا همون گیرنده های مرسوم خودمون است و قسمت دوم می تونه دستگاهی شبیه به این باشه:

lighthosue

که به قیمت صد دلار از خود آوترنت قابل خریدنه یا سیستمی که خودتون با یک رزبری پای می‌سازین یا هر مکانیزم دیگه که بتونه سیگنال های ماهواره رو تحلیل کنه – مثلا یک گیرنده دیجیتال درست تنظیم شده. این سیستم به طور دائمی در حال دریافت سیگنال ها و ذخیره کردن اونهاست و شما می تونین هر وقت بخواین مثل یک سایت توی چیزهایی که دریافت کردین بگردین. درست مثل اینکه یکی یک دی وی دی به شما داده باشه که کلی چیز با فرمتی شبیه اینترنت و قابل چرخیدن به شکل یک سایت خیلی بزرگ توش باشه.

فرض کنین من آوترنت داشتم، چی می شد؟

اگر شما یک سیستم آوترنت داشتین، وقتی می‌نشستین پشت کامپیوتر احتمالا می تونستین تصور کنین که توی یک سایت هستین که بخش های مختلفی مثل کتاب های کلاسیک، آموزش ها، ویدئوهای درسی و … داره. برای تجربه اینکه آوترنت دقیقا چطوری کار می کنه به این سایت سر بزنین.

پس این ماجرای دریافت از طریق WiFi چیه؟

خیلی جذاب نیست. فرض کنین من عضو آترنت هستم. شما با خوندن این مطلب دقیقا می دونین منی که عضو آترنت هستم الان به چه چیزهایی دسترسی دارم و چه فایده هایی برام داره. حالا کافیه من این اطلاعات رو از طریق یک شبکه بی سیم به بقیه هم بدم. شما اگر نزدیک کلبه من باشین می تونین از گوشی هوشمند به وای فای من وصل بشین و همون چیزهایی که من دارم رو ببینین. به همین سادگی. اگر قراره منتظر باشیم یکی بیاد بگه «خب از امروز مجانی به فلان وای فای وصل بشو و کل اینترنت مال توئه»

چطوری می شه درخواست اضافه شدن چیزی رو داد؟

در حال حاضر یک شورا دارن چیزهایی که مفید می بینن رو به آوترنت اضافه می کنن. در اینترنت هم می شه به صفحات مختلف رای داد تا به پروژه اضافه بشن و در آینده قراره از طریق سرویس های مسنجر هم بتونیم درخواست یک صفحه خاص یا یک مفهوم عمومی (مثلا «آموزش کشاورزی به فارسی») بدیم. معلومه که تصویب و اضافه شدن این درخواست ها به پروژه وابسته به نظر اون شورا است.

خلاصه

آوترنت یک پروژه است برای رسوندن اینترنت به دست کسانی که به اینترنت دسترسی ندارن. این پروژه به شکل یکطرفه بخش بسیار کوچیکی از اینترنت (شامل کتاب‌های رایگان، اخبار، فیلم‌های خبری یا آموزشی، منابع درسی و …)‌ رو از طریق ماهواره به سمت زمین ارسال می کنه و یک دستگاه روی زمین می تونه اینها رو دریافت کنه و به شکل یک وبسایت آفلاین به شما نشون بده. در ضمن اگر بخواین می تونین این منابع رو از طریق وایرلس در اختیار دور و بری‌ها هم بذارین.

سوالی باقی مونده؟

چیزی رو جا انداختم؟ نکته مبهمی هست؟ در کامنت ها بگین تا اگر عمومیت داشت و می دونستم اضافه کنم.