در سوتی جدید بانک مقصر کیه؟‌ نگاهی به نقش‌های مرتبط

خلاصه ماجرا: چند ساعت است در وب فارسی، توییتر و فیسبوک مطلبی می چرخه در مورد اینکه آدم ها می تونن بدون لاگین کردن در بانک ملت و فقط با رفتن به آدرس یک صفحه و عوض کردن عدد پاس شده در آدرس بار به شکل SaleOrderId=1333683 به واریزی های افراد مختلف به حساب بعضی سازمان ها دستریس داشته باشن. مطلب زیر نگاهی است به راه حل های فنی حل این مساله.

variz

بانک ها قراره یکی از جاهایی باشن که بالاترین سطح امنیت رو دارن اما سوتی های مداومی که از بانک ها می بینیم، این مساله رو کاملا زیر سوال برده. سوتی جدید متعلق به بانک ملت است و اجازه می ده هر کسی که به اینترنت دسترسی داره بدون کوچکترین قدم فنی یا سطحی ترین دانش مرتبط با امنیت، بتونه تراکنش های افراد دیگه رو ببینه!

این از کجا می یاد؟ از دو جا: آگاهی بسیار کم بانک ها در مورد امنیت و آگاهی بسیار کم برنامه نویس هایی که این چیزها رو نوشتن. نکته ای که جالبه کم تقصیرترین فرد در این وسط، نویسنده کد است و مقصرترین آدم کسی که پروژه رو به این آدم داده. این کسی که نوشتن چنین کد حساسی رو به چنین برنامه نویس ناآگاهی از مبانی امنیتی داده اما سوال سختیه. منطقا یک زنجیره بزرگ باید منجر به این سوتی های عظیم بشن.

مشاور پروژه

در قدم اول باید مشاور پروژه می تونست در دقیقه دوم تست این برنامه، بگه که این برنامه این مشکل عظیم رو داره. شاید واقعا این پروژه مشاور نداشته و اگر مشاوری داشته که اینجا رو دیده ولی از روش رد شده، منطقا فقط یک آدمی است که شغلش حقوق گرفتن برای پر کردن عنوان «مشاور» است. این آدم اگر پروژه رو دیده و اوکی کرده، نباید مشاور باشه.

مشاور فنی بانک

تقریبا مثل بالایی ولی حادتر. اگر بانک مشاور مرتبطی داره که این کد و نتیجه اش رو دیده و تشخیص نداده که اینجاش این مشکل حاد رو داره، باید همینجا اخراج بشه و بانک باید یک مشاور دیگه بگیره. متاسفم که در مورد یک همکار مجبورم این رو بگم ولی واقعا نقش مشاور فنی اینه که چیزهایی بسیار عمیقتر رو تشخیص بده. تشخیص چنین باگی در حدی مقدماتی است که حتی گروهی از مشتری های بانک هم باید بتونن تشخیصش بدن. اگر بانک اصولا مشاور فنی نداره، بهتره زودتر یکی بگیره.

مدیر پروژه

در مورد مدیرپروژه همیشه به سختی می شه نظر داد. آدمی است که از بالاتر بهش می گن باید محصول فلان رو در تاریخ فلان تحویل بدی و منابعش هم مشخصه. اگر الان شغل من تحویل یک سکوی نفتی در تاریخ ۲۹ اسفند ۱۳۹۶ باشه و یک تیم هم داشته باشم که کار رو درست بلد نباشن، ممکنه هر سوتی ای از من در بیاد (: در سطحی بالاتر می شه گفت که باید استعفا بدم ولی خب چند نفر داریم که بتونن راحت از شغلشون استعفا بدن. به نظر من مدیر پروژه اگر دفاع خوبی داشته باشه، تقصیر چندانی نداره.

تیم/شرکتی که کار رو قبول کرده

اینجا هم سخته. اگر با یک شرکت بیرونی طرف هستیم، خب اون شرکت باز شده که سود کنه. منطقا باید بانک کارش رو به یک شرکت غیرحرفه ای نده و شرکت ها نباید کار رو بگیرن ولی کیه که از پول بدش بیاد؟ به نظرم خود شرکت ها اگر از مفاد قرارداد عدول نکرده باشن چندان مقصر نیستن. الان یکی بیاد به من بگه یک میلیارد بهت می دیم برامون یک اسکچ از یوزراینترفیس یک سایت فروش کفش ورنی بزن، معلومه که قبول می کنم (: آبروم رو می برم ولی به پولش می ارزه و اگر طرف راضی است، منم راضی هستم.

اگر هم کار با کارمندها و تیم‌های داخلی بوده که خب حرجی نیست. یکی رو استخدام کردین و گفتین فلان کار رو بکن. احتمالا از دید خودش تلاش کافی هم کرده و تنها حالتی که می شه ازش ناراضی بود اینه که براش دوره آموزشی و فرصت یادگیری فراهم کرده باشیم ولی بازم پیچونده باشه؛ معمولا هم اینطوری نیست.

گروهی که کار رو به این گروه دادن

این‌ها – در کنار مشاورها و بررسی کننده های کیفی – احتمالا بزرگترین مقصر هستن. نتیجه کار کاملا نشون می ده که نویسنده برنامه ها دید باز نسبت به جهان نداشته و گروه برنامه نویسی‌ای بوده که تجربی و بدون بررسی نمونه‌های پذیرفته شده جهانی کار کرده و اصولا فکر نمی کرده در دنیای واقعی چه چیزهایی در انتظارش است. کسانی که چنین کاری رو به این گروه دادن احتمالا بیشترین تقصیر رو دارن. حتی اگر مدعی بشن که نمی دونستن این شرکت خوب نیست، باید پرسید که چرا از مشاور استفاده نکردن. اشتباه همیشه پیش می یاد ولی مهمه این گروه روشی رو پیش بگیرن که جلوی تکرار این مساله گرفته بشه.

سیستم نرم افزاری کشور

ما چیزی داریم به اسم شورای انفورماتیک و فکر کنم حتی به شرکت ها رتبه می ده و اینکارها. این در دنیای امروز تا حد زیادی ناکارا است. کاملا می شه تصور کرد که این برنامه رو یکی از شرکت های با رتبه بالا و مشهور نوشته باشن. امروزه تعداد مهندس و تعداد کارمند نشون نمی دن که یک برنامه خوب تولید خواهد شد.

حالا چیکار کنیم؟

اگر کاره ای در بانک ملت هستین، سریعا این بخش از سیستم رو بیارین پایین و بنویسین به خاطر تعمیرات تعطیله. بعد یک تسک فورس سریع با یک اتاق جنگ درست کنین (اتاقی که آدم ها می رن توش و تا وقتی مشکل حل نشده بیرون نمی یان و می تونن هر کسی که لازمه رو هم به اتاق اضافه کنن) و با دو تا مشاور خوب که بهشون حقوق خوبی می دین برنامه رو بررسی کنید. وقتی برنامه ای چنین مشکلات حادی داره اصلا بعید نیست مشکلات دیگه ای هم داشته باشه که عمیق تر از تغییر یک یو آر ال باشن و تاثیراتی بسیار بزرگتر از افشای اطلاعات شخصی آدم ها بذارن. همزمان با اتاق جنگ لازمه که یک پروژه مستقل تعریف بشه برای بررسی مستقل کد و انجام انواع تست های نفوذ. بانک شما همیشه در این مدت نماد بانکی بوده که سعی کرده تبلیغاتی بالاتر از سواد بصری جامعه داشته باشه و حالا لازمه سراغ سطح امنیتی ای بالاتر از متوسط جامعه هم برین. بعد هم باید بررسی کنین که در چه پروسه ای این برنامه به این گروه برنامه نویسی رسیده و اصلاحش کنین. ریلکس باشین و برای آینده برنامه بریزین (:

اگر هم برنامه نویس مستقل هستین، هر برنامه ای که اطرافتون می بینین رو با دقت نگاه کنین. یو آر الش چطوریه؟ آیا تعداد ریکوئست در دقیقه بهش کنترل شده است؟ در مورد استانداردهای توسعه نرم افزار بخونین و فریم ورک های موجود رو بررسی کنین. حواستون باشه که برنامه نویسی چیزی بسیار بسیار گسترده تر از نوشتن کد است. در واقع کد نویسی (Coder) سطح ورودی دنیای برنامه نویسی است و اگر می خواین توی این دنیا پیش برین، چیزی بسیار مفصلتر از دستور زبان مورد نیازه. سعی می کنم یک ویدئوکست با یک متخصص در این زمینه درست کنم. برم بهش زنگ بزنم!

به نظرتون از چه نقش هایی دیگه می تونیم حرف بزنیم؟ ناظر کیفی؟ کنترل کیفیت؟ تست امنیت؟

رادیو گیک شماره ۴۹ – قادر مطلق

رادیو گیک در یک ثانیه اضافی که امسال بهش هدیه کرده، به دنیای امنیت، جامعه شناسی و هوش مصنوعی سرک می شه. از تشخیص چهره و سامسونگ و هاردهایی که خراب نمی شن و انگشت هایی که از راه دور کپی می شن. از عشق داده ها می گیم و اصول عشق ورزی با اطلاعات رو بررسی می کنیم تا جهان تکونی به خودش بده.

این شعر از هادی جمالی است در اعتراض به سانسور شدید واژگان در شعر و داستان:

ای دلبر من، ای قد و بالات سه نقطه!
ای چهره ی تو در همه حالات سه نقطه…

لب( بووووق) دهن (بووووق) تمام سر و تن (بووووق)!
اصلا چه بگویم که سراپات سه نقطه…

برخیز و میان همگان جلوه گری کن!
حال همه در حال تماشات سه نقطه…

با دشمن خود یاری و با یار چو دشمن!
ای آنکه تولا و تبرات سه نقطه…

آخر به زری یا ضرری یا که به زوری؟!
میگیرم از آن گوشه ی لبهات سه نقطه…

چشم من و گیسوی تو (نه) چادر تو (خوب)!
دست من و بازوی تو (نه) پات سه نقطه…

“تا باد صبا پرده ز رخسار وی انداخت”
این بخش خطرناک شده کات سه نقطه…

آخر چه بگویم که توان چاپ نمودن!
ای بر پدر کل ادارات سه نقطه…

مشترک رادیو گیک بشین


آر اس اس رادیو گیک

اپلیکیشن اندروید رادیو گیک

رادیو گیک در آیتونز

رادیو گیک در ساوند کلاود

اخبار

سال ۲۰۱۵ و ثانیه اضافی
دقیقا در ساعت ۲۳ و ۵۹ و ۵۹ جون امسال، تمام ساعت های اتمی جهان برای یک ثانیه متوقف می شن یا اگر برنامه شون فرق کنه، به ساعت غیرعادی ۲۳ و ۵۹ و ۶۰ می رن! این تغییر ساعت تقریبا چیزی است شبیه به سال کبیسه و مربوط به هماهنگ کردن زمانی که ما می سنجیم و حرکت زمین به دور خورشید و یک دردسر مجدد برای مهندسین کامپیوتر در بعضی رشته ها. ثانیه قبلی که دستی به زمان مورد سنجش ما اضافه شده بود، در سال ۱۹۷۲ بود که احتمالا خیلی هم مهم نبود چون کامپیوترها کمتر بودن و الان هم بعد از اینکه کشف شد این اتفاق دائما خواهد افتاد، سیستم ها تطابق بیشتری باهاشون پیدا کردن (توضیح در مورد توان جالب ان تی پی در تطبیق با چنین مشکلاتی)

جشنواره وب
[توضیحات خودم و اینکه خوبه که چنین چیزی جدی در حال برگزاری است]

الگوریتم های جدید تشخیص چهره
face
الگوریتم های تشخیص چهره تا سال ۲۰۰۱ چندان کارا نبودن ولی در اون سال با کارهای دو دانشمند به اسم پول ویولا و مایکل جونز، دنیا یکهو عوض شد و تشخیص چهره به یک چیز واقعی تبدیل شد که می تونست در زمان واقعی تشخیص بده یک تصویر چهره انسان است که داره به دوربین نگاه می کنه و راهش رو هم سریع به دوربین ها و موبایل ها باز کرد. اما این دنیا دیگه تکون خاصی نخورد تا همین هفته قبل! مشکل الگوریتم ویولا جونز این بود که اول دنبال خطوط عمودی براق می گشت و حدس می زد دماغ رو پیدا کرده، بعد دنبال خطوط افقی تیره می گشت و اگر جاشون مناسب بود حدس می زد چشم پیدا کرده و بقیه کار فقط بهتر کردن حدس بود. مشکل این چیه؟ اینکه حتما باید از روبرو انجام بشه ولی یاهو لازم داشت از کنار هم اینکار رو بکنه. حالا ساچین فارفاد و محمد صابریان در یاهو با روشی کاملا متفاوت به نتایجی فوق العاده رسیدن. اونها با ماشین لرنینگ مبتنی بر شبکه های عصبی کانولوشن عمیق تونستن با داشتن یک دیتابیس خیلی بزرگ و دادنش به یک سیستم یادگیری، با درصدی بسیار بالا تشخیص بدن که چیزی که بهشون داده شده یک صورت است یا نه – حتی اگر از کنار باشه.

گوگل ارث پرو رایگان شد
google
[توضیحات خودم در مورد علاقه ام به گوگل ارث به خاطر غیرممکن بودنش] و البته در ده سال گذشته شرکت هایی که حاضر بودن پول بدن به نسخه بسیار جالبتری از گوگل ارث هم دسترسی داشتن: گوگل ارث پرو که همون گوگل ارث است بعلاوه ابزارهای کاملتر و ساختمون های سه بعدی و اندازه گیری های اونها و پرینت های با کیفیت سبیار بالا و گزارش و ذخیره فیلم های اچ دی از این برنامه. این سرویس ها از این هفته دیگه برای همه مجانی است … کافیه یک کلید رایگان بگیرین و گوگل ارث پرو رو دانلود کنین و از چرخیدن در جهان لذت ببرین… البته با قیمت های دولا پهنای پهنای باندمون.

استارتاپ های سل فون و وای فای
cell
[آف لود کردن روی وای فای] و حالا هم دائما مشغول رویت کردن استارتاپ های مرتبط هستیم. این شرکت ها اپلیکیشن هایی دارن که به شکل خودکار اگر به وایرلس وصل باشین، تماس تلفنی رو روی وایرلس انجام می دن و تو هزینه های شما صرفه جویی میکنن. قلق اصلی هم گذاشتن وایرلس های آزاد در جاهایی است که مردم زیاد تماس می گیرن و هدایت کردن تماس ها به سمت خود. مثل cablevision سرویسی می ده با سی دلار که توش تمام تماس ها روی وایرلس اتفاق می افته و گوگل هم در حال کار روی تلفن همراهی است که برای تماس شدیدا وابسته به وایرلس است. [توضیحات شرایط ایران و اینکه این به نفع مصرف کننده است و احتمال کم شدن پرووایدرهای فقط موبایل در آینده]

و حالا که بحث اعداده، سری هم بزنیم به ساعت های هوشمند
wear
گفته می شه در سال گذشته فقط ۷۲۰هزار ساعت هوشمند فروش رفته. البته وحشتناک هم نیست برای دیوایسی که تازه ظاهر شده و سیستم عاملی که تازه داره خودش رو از گوشی بیرون می کشه ولی خب هیجان خاصی هم به ماجرا نداده بخصوص وقتی توجه کنیم که در همین مدت کل فروش دیوایس های گیکی که به مچ بسته می شن ۴.۶میلیون بوده. محبوبترین این وسط موتوی ۳۶۰ بوده و ظاهرا ساعت های گرد محبوبتر از چهارگوش ها بودن. باید نگاهی به این جریان داشته باشیم …

[عدد بده!]

رزبری پای و رکورد تاریخی ۵ میلیون فروش
رزبری پای که یک کامپیوتر کوچیک، کم مصرف و ارزون است (اندازه یک موبایل کوچیک و فقط سی دلار دارای چهار تا یو اس بی و کارت شبکه و HDMI و … و لینوکس) تا به حال پنج میلیون فروخته و با این فروش تبدیل به بزرگترین فروشنده کامپیوتر در تمام تاریخ در انگلستان شده.

در اعماق

تغییر دامین کیک اس تورنت
kick
بعد از اخبار گسترده مربوط به بسته شدن پایرت بی و اخبار ضد و نقیض باز شدن مجددش در شکل های مختلف و دادگاه های مرتبط با مگاآپلود حالا کیک اس تورنت که اصلی ترین جایگزین بود هم دارای کشمکش هایی است. این سایت اشتراک گذاری تورنت حالا دامین سومالی خودش که so. بوده رو کنار گذاشته و دامین کشور تونگا رو استفاده می کنه که می شه to. نکته اصلی هم این بوده که دامین کیک اس تورنت از طرف رجیستری کشور سومالی ممنوع اعلام شده. کیک اس گفته همیشه در حال تغییر دامین است و این مساله خیلی حساس نیست. این شرکت در ۲۰۰۸ باز شد و یکی از بزرگترین سایت های تورنت جهان بود و از نظر الکسا رتبه ۶۸م رو داره.

و شنود سامسونگ از کاربرانش
نمیدونم کلمه صحیحش شنود است، جاسوسی است، کارهای مشکوک است یا چی. خب اینها سیستمی دارن که بتونن دستورات صوتی شما رو بفهمن و در نتیجه نیازی نباشه همیشه دنبال ریموت بگردید و خب معنی اش اینه که همیشه دارن به شما گوش می دن و الزاما هم توسط خود تلویزیون پروسس نمی شه و ممکنه فرستاده بشه به اینترنت. از اونطرف تلویزیون هوشمندها شروع کردن به نشون دادن تبلیغ در بین فیلم های شخصی خودتون که از هارد کامپیوترون دارن پخش می کنین و … سامسونگ هم می گه نمی دونه ماجرا چیه و داره بررسی می کنه. کارهای مشابهی توسط گوگل و بقیه هم انجام می شه و نمی دونیم اسمش چیه ولی مهمه بدونیمش! و مطمئنا انواع سازمان های جاسوسی و ضد جاسوسی و غیرجاسوسی و فراجاسوسی و .. به اینها دسترسی پیدا می کنن.

کپی اثر انگشت وزیر دفاع آلمان از راه دور
finger
اگر تا الان فکر می کردیم که اثر انگشت بهترین سیستم کسب هویته و فقط بعد از مرگ در چند ساعتی که انگشت ما رو قطع کردن و گذاشتن تو جیبشون و هنوزم نپلاسیده، می تونن خودشون رو جای ما جا بزنن، اشتباه می کردیم!

هکری به اسم استارباگ در کنفرانس سالانه کی‌آس (آشوب) نشون داه که چطوری تونسته اثر انگشت وزیر دفاع آلمان خانم اورسلا فون در لین رو کپی کنه. استارباگ حتی به شیوه کلاسیک یک لیوان یا عکس هم دست وزیردفاع نداده بلکه فقط با چند دوربین عالی از فاصله دور و زوایای مختلف از دست وزیردفاع عکس گرفته و از نرم افزار VeriFinger برای تولید اثر انگشت کمک گرفته. این هکر در سال ۲۰۰۸ هم کار مشابهی با وزیراقتصاد فنلاند کرده بود و الان با عزت و احترام به عنوان یک آدم با سواد در دانشگاه برلین تحقیق می کنه. کلوپ کامپیوتر کی آس (آشوب) یا همون CCC یکی از معتبرترین سازمان های هک در اروپا است.

دو استارتاپ جدیدی که درک ما از قوانین کپی رایت رو تغییر می دن
دو تا «استارتاپ» جدید باعث گیجی قانونگذارها شدن! اولی یک شرکت طنز است که همینطوری تند تند با کامپیوترهاش کلمات رو پشت هم می چینه و زیر هر چیزی که تولید می شه می نویسه که این متن کپی رایت این شرکت است. نتیجه اش اینه که بعد از مدتی این شرکت کل متن های ممکن رو کپی رایت خودش خواهد کرد و هر هنرمندی که بعد از این شعر بگه یا رمان بنویسه باید کپی رایتش رو به این شرکت بده چون قبلا این متن رو داشته (: این شرکت حتی می تونه کپی رایت ترکیب هایی مثل «کابل سبز»‌ رو هم مدعی بشه. اما شرکت دوم که بر خلاف اولی جدی است نرم افزاری داره که پتنت های نمونه رو می خونه و از روی هر پتنت ده ها هزار پتنت مشابه تولید میکنه و با این روش هر اختراعی که در جهان بشه اینها چند ده هزار اختراع مشابهش رو می تونن ثبت کنن! خوشبختانه دفتر کپی رایت آمریکا در مواجهه با این پدیده اعلام کرده که از این به بعد هیچ چیزی که فقط توسط ماشین یا به شکل اتفاقی و بدون ورودی هوشمندانه انسانی تولید شده باشه رو پتنت نخواهد کرد. البته در قانون آمریکا اگر کسی چزی رو بدون آگاهی از اینکه قبلا ساخته شده و بدون تاثیرگرفتن از اون پنت کنه، مسوولیت های کیفی نخواهد داشت و البته این باعث شده خوندن پتنت های دیگران از مد بیافته چون دادگاه ها رو پیچیده می کنه.

بدافزاری که تنها راه مقابله اش خورد کردن هارده

hdd
روز دوشنبه کسپرسکی گزارشی منتشر کرده که می گه یک بدافزار جدید کامپیوترهای بعضی کشورها که نام نمی بریم رو آلوده کرده که ظاهرا تنها راه مقابله با اون بعد از اینکه بهش آلوده شدیم، دور انداختن هارد دیسک است. این بدافزار که توسط گروهی که Equation نام گرفته پخش شده شباهت زیادی با چیزی داره که در اسناد منتشر شده از NSA در ۲۰۱۳ دیده شده بود. گزارش کسپرسکی می گه این برنامه می تونه فرم ور هارد دیسک رو آلوده کنه و سکتورهای مخفی روی دیسک بسازه که توسط APIهایی منتشر نشده قابل دسترسی هستن. مدیر امنیت کسپرسکی گفته که می دونستن چنین چیزی از نظر تئوری قابل انجامه ولی تا به حال نمونه واقعی از اون دیده نشده بود. آلودگی روی هاردهای سیگیت، وسترن دیجیتال، هیتاچی، سامسونگ و توشیبا اتفاق می افته و دستورات ATAی که این امکان رو می دن در داکیومنتهای رسمی موجود نیستن. این مساله و گروه احتمالا مرتبط است با هکرهای اومنی پوتنت و هک های مشهور از ۲۰۰۲ به بعدشون که در مواردی روی بسته های پستی دستکاری می کردن [توضیح خودم].

تبریک و تقبیح

غر غر و گر گر و پارسی جو و شیلنگ و یوز و … همه دکون ها یک نمی دونم چی دارن. تشویق برای میلیاردها پولی که می گیرن و تقبیح برای میلیاردها پولی که میگیرن. و خسته نباشیدی هم می گیم به محقیقینی که روی ارتباط فساد سیستم حاکم و ثروت اون کشور کار کردن و نشون دادن کشورهای فقیرتر، فاسدترین و برعکس و هر چقدر کشورها ثروتمندتر باشن، از نظر اداری و سیاسی، پاک تر هستن. یادش بخیر مهندس که می گفت اومده با دروغ بجنگه و حالا چندین ساله حبسه. و تبریک به مردم آمریکا که اوباماشون در نطق سالیانه اش آی پدش رو نشون داده و سرعت اینترنت شهرها رو نشون داده و گفته کره جنوبی و هنگ کنگ و ژاپن سریعترین ها هستن و برنامه هاش رو گفت برای پیشبرد سرعت و دسترسی اینترنت در شهرهای آمریکا که بعدش افرادش بتونن عضوی از جهان بشن و خودشون رو به جهان پلاگ کنن.. و شرمندگی برای قانونگذارهای که گفتن تو کشورشون هیچ کس همین فیلترنت داغون رو هم حق نداره بیشتر از ۱۲۸ بگیره.

نامه ها

بخش آخر

datalove-heart1

کوتاهترین بخش آخر رو داریم. اصول عشق داده یا DataLove یا دیتالاو. این اصول در سایت دیتالاو.می نوشته شدن تا یادآوری باشن از اینکه شبکه ها باید مستقل از صاحبت و محتوای محتوا،‌ محتوا رو حمل و نقل کنن و تحویلش بدن و هیچ کس به هیچ دلیلی نباید بتونه هیچ داده ای رو مخفی کنه، سانسور کنه و … و اگر این جایی اتفاق نشون دهنده یک کژکارکردی است. دیتا لاو اصولش رو اینها بیان می کنه:

  • به داده عشق بورزید
  • داده حیاتی است
  • داده باید جریان یابد
  • داده باید استفاده شود
  • داده نه خوب است و نه بد
  • هیچ داده ای غیرقانونی نیست
  • داده آزاد است
  • داده نباید در مالکیت کسی باشد
  • هیچ انسان،‌ماشین یا سیستمی نباید جریان آزاد داده‌ها را متوقف کند
  • حبس کردن داده‌ها، جنایتی علیه عشق به داده است
  • ** به داده ها عشق بورزید**

موسیقی

به پیشنهاد جاوید مومنی و با تشکر که البوم رو خرید برام – محسن شریفیان و دینگو مارو

کپی اثر انگشت وزیر دفاع آلمان از راه دور

fingerprint

اگر تا الان فکر می کردیم که اثر انگشت بهترین سیستم کسب هویته و فقط بعد از مرگ در چند ساعتی که انگشت ما رو قطع کردن و گذاشتن تو جیبشون و هنوزم نپلاسیده، می تونن خودشون رو جای ما جا بزنن، اشتباه می کردیم!

هکری به اسم استارباگ در کنفرانس سالانه کی‌آس (آشوب) نشون داه که چطوری تونسته اثر انگشت وزیر دفاع آلمان خانم اورسلا فون در لین رو کپی کنه. استارباگ حتی به شیوه کلاسیک یک لیوان یا عکس هم دست وزیردفاع نداده بلکه فقط با چند دوربین عالی از فاصله دور و زوایای مختلف از دست وزیردفاع عکس گرفته و از نرم افزار VeriFinger برای تولید اثر انگشت کمک گرفته. این هکر در سال ۲۰۰۸ هم کار مشابهی با وزیراقتصاد فنلاند کرده بود و الان با عزت و احترام به عنوان یک آدم با سواد در دانشگاه برلین تحقیق می کنه.

کلوپ کامپیوتر کی آس (آشوب) یا همون CCC یکی از معتبرترین سازمان های هک در اروپا است.

هک فیسنما و نکاتی برای شرکت ها، استارتاپ‌ها، برنامه نویس ها، مدیر پروژه ها و هکرها و بقیه

خبر بزرگ امروز، هک فیسنما بود. کپی پیست ایرانی فیسبوک. هک، ظاهرا یک هک کامل دیتابیس است که به کل اطلاعات دسترسی داره و هکر فایلی متنی حاوی یوزر و ایمیل و پسورد رو در اینترنت گذاشته و گفته دامپ دیتابیس رو هم بعدا منتشر می کنه که امیدوارم نکنه. راستش من نمی خوام خیلی توش دقیق بشم چون اولا امنیت آدم های دور و برمون است و بخصوص اون بخشی از صد هزار کاربر که واقعا با فیسنما کار می کردن و کسانی که پسورد ایمیل و فیس‌نما شون یکیه است و ثانیا در کشور عزیزمون، به جای دستگیری اسید پاش ها به معترضین به اسید پاشی سخت می گیرن و من هم در این موارد ترجیح می دم نظر تخصصی و بررسی دقیق ننویسم و خودم و شما و فیس نما و سانسورچی و هکر و بودجه بگیر و برنامه نویس و همه رو با ذکر همین نکات، به همدیگه بسپارم:

  • شرکت و استارتاپ ها باید پایه هاشون رو محکم بذارن. برنامه نویس این سایت بسیار داغون و بدون اطلاع از حداقل های برنامه نویسی ای بوده که هر کسی در این سطح باید بدونه. لازمه اگر واقعا سیستمی درست می کنین که دوست دارین بمونه از اول با آدم های حرفه ای کار رو شروع کنین نه با هر کس که دور و برتون است یا با کسانی که نمی دونین سطح کاریشون چقدره.
  • در صورتی که مدیر پروژه ای توان تشخیص مهارت های فنی نیرویی رو نداره، لازمه اینکار رو از یک متخصص بیرونی بخواد و حتما و حتما لازمه سیستمش از طریق یک سیستم بی طرف و مستقل کراس چک بشه.
  • برنامه نویس ها هم لازمه از همین الان عهد کنن که دیگه هیچ وقت در هیچ کجای از هیچ پسوردی، پسورد بدون هش و هش بدون سالت ندارن. md5 کردن یک پسورد در یک وبسایت فقط یک قدم مورچه ای بهتر از متن خالص است.
  • اعلام نیاز به چک کردن کیفیت پسورد وظیفه مدیر پروژه است ولی اگر هم بهتون نگفته، حتما کیفیت پسوردی که انتخاب شده رو تست کنید. حداقل هشت حرف و دارای حداقل یکی از حروف بزرگ و کوچیک یا عدد.

و اما هکرها:

  • ما قدرت شما رو می دونیم (: همیشه خوبه این قدرت در راه خوبی مصرف بشه و حداقل صدمه رو به آدم های نامرتبط بزنه. می شد همین دیتابیس رو با جایگزین کردن یک کاراکتر از هر هش منتشر کرد تا حداقل ایمیل های منتشر شده، هک نشن.
  • اینکارها جالبه و خیلی چیزها رو نشون می ده و حتی گاهی مفید ولی زندگی واقعی یک چیز دیگه است. ISMS بخونین و LPI و سیسکو و تو کار باحالی که می کنین «حرفه‌ای» بشین.. یعنی این بشه شغل معتبرتون (: الان کلی نیاز به آدم های حرفه ای هست که نداریم و مثلا همین فیسنما باید قبل از این اتفاق کلی از شما دعوت می کرد برین کمکشون.

و توصیه به همه کاربران وب

  • پسورد خوب سرمایه گذاری است! حتی در این دیتابیس منتشر شده هم اگر شما یک پسورد خوب (حروف کوچیک و بزرگ و عدد و علامت) داشته باشین، احتمالا امن خواهید بود! هنوزم که هنوزه اصلی ترین پسورد 123456 و 111111 و … است.
  • پسورد جاهایی که حدس می زنین در پیت باشن و جاهایی که فکر می کنین خوب هستن رو متفاوت بذارین. فیس نما کاملا بی تعهد نسبت به تمام پسوردهای شما عمل کرده پس عاقلانه اینه که در هر سایتی که بهشون مطمئن نیستین، پسوردی جدا از پسورد ایملیتون رو استفاده کنین.
  • اگر عضو فیسنما بودین، هین الان پسوردتون رو عوض کنین.

و در نهایت نکتاتی برای فیسنما:
– سری بعد از برنامه نویس خوب استفاده کنین
– اگر نمی تونین بسنجین از کسی خواهش کنین بسنجه
– کد رو بدین یک نفر که سر در میاره بررسی کنه
– تمام پسوردها رو غیر معتبر کنین و دوباره کاربر بگیرین
– برای پروژه ها مدیر بذارین. هر محصول باید یک مدیر داشته باشه که با مشورت حرفه ای ها، کار رو جلو ببره.

این بود توصیه هایی به تمام اقشار جامعه که البته بخش محوری اش اینه که خوش باشین و بخندین تا هک بعدی.

در مورد خبر هک شدن پنج میلیون اکانت جیمیل

هکرهای روسی مدعی شدن که پنج میلیون اکانت جیمیل (گوگل) رو هک کردن و فهرستی هم دادن از ایمیل ها که ایمیل منم جزوشون هست (:‌ برام بسیار باعث خوشحالی است که از صبح بیشتر از پنج نفر بهم ایمیل زدن که پسوردم رو عوض کنم. هم نشون می ده دوستان اخبار رو جدی دنبال می کنن و هم نشون می ده امنیت دوستاشون براشون مهمه.

اما این خبر موجب نقد و بررسی های زیادی شد و نتیجه نهایی این بود که این پسوردهای لو رفته نه فقط جدید نستن که احتمالا به جیمیل هم مربوط نمی شن و از سایت دیگه ای می یان. پسورد منم توشون بوده ولی پسوردی مربوط به تقریبا ده سال قبل و مربوط به سایت هایی که من بهشون هیچ اعتمادی نداشتم. احتمالا یک نفر یک سایت قدیمی رو هک کرده یا چنین چیزی. اگر علاقمند هستین از اینجا چک کنین که پسورد شما هم جزو این پنج میلیون پسورد هست یا نه.

ممنون از همگی و ما حداقل از این نظر امن و امان هستیم و مثل همیشه تکرار می کنیم که پسورد مثل مسواک است: هر دو سه ماه باید عوض بشه و با هیچ کس نباید مشترک باشه!

رادیو گیک شماره ۴۲ – رشته بیکار؛ سخت است هیچ کاری نکردن

بعضی ها می گن شماره ۴۲ برای هر گیکی مقدس است و بعضی ها می گن هیچ چیز برای گیک ها مقدس نیست چون هر چیز با علم امکان تغییر. ما بدون اینکه وارد این دعوا بشیم وارد شماره ۴۲ می شیم و پته همه خبیث ها رو آب می ریزیم.. آخرش هم عاشق می شیم. با ما باشین.

مشترک رادیو گیک بشین


آر اس اس رادیو گیک

اپلیکیشن اندروید رادیو گیک

رادیو گیک در آیتونز

رادیو گیک در ساوند کلاود

رادیو گیک روی پایرت بی

اخبار

پتنت ترول ها مسوول ۶۷٪ دعواهای حقوقی پتنتی

troll
پتنت ترول ها رو می شناسیم (توضیح) و با وجودی که دولت ها دارن سعی می کنن قوانینی تصویب کنن که جلوی این مسخره بازی گرفته باشه، این ترول ها هنوز هم زنده هستن و طبق تحقیق اخیر موسسه پرینس‌واترهاوس‌کوپرز هی هم دارن بد و بدتر می شن. این تحقیق می گه در پرونده‌های جدید، ۶۷ پرونده ها از طرف پتنت ترول ها مطرح شده که خیلی هاشون بیرون دادگاه حل می شن (بخونین یک پولی می گیره از طرف تا بیخیال پرونده بشه و اذیتش نکنه یا بخونین هر شرکت باید یک پولی به زورگوها / لات ها / .. بده تا بتونه کار کنه و بخونین هر محصولی که من و شما قراره بخریم باید یک باجی به یک کله گنده داده شده باشه که البته ما بهش عادت کردیم دیگه (: ولی اینبار پتنت ترول است که علم رو هم داره کند می کنه) بگذریم بحث قاطی شد (:

مایکروسافت و اخراج ۱۸۰۰۰ کارمند از جمله ۱۲۵۰۰ کارمند نوکیای سابق
mic

شرکت مایکروسافت در یکی از بزرگترین اخراج های این سال ها داره ۱۸هزار کارمندش رو اخراج می کنه که ۱۲۵۰۰ تاش کسانی هستن که از طریق خریدن شرکت نوکیا وارد این کمپانی شده بودن. عملا یعنی نوکیا داره خیلی خیلی کوچیکتر می شه. معلومه که ایمیل همیشگی هم زده شده که «با اینکار داریم تلاش می کنیم خیلی خوب بشیم و فعال باشیم و اصلا نگران نباشین و …» ولی اگر کسی نوکیا رو دوست داشته باید خیلی نگران باشه و اگر کسی در مایکروسافت کار می کرده باید خیلی نگران باشه. [صحبت در مورد شرکت ها و اینکه زندگی ما نباید به شرکت ها تقلیل پیدا کنه یا هیچ چیزی امن نیست و چند بعدی بودن و بحث یخچال ]

پروژه روز صفر گوگل
MEMBER EXCHANGE-PEOPLE

[توضیح روز صفر] . حالا فرض کنین.. فرض که نه.. بدونین که هکری هست به اسم جرج هوتز Hotz که وقتی ۱۷ سالش بود اولین کسی شد که ای فون ای تی اند تی رو در ۲۰۰۷ کرک کرد و لاکش رو باز کرد ولی هیچ کس بهش توجه کرد و همه تمرکز رو گذاشتن روی اینکه چیکار کنن که دیگه کسی نتونه آنلاک کنه (که موفق هم نشدن). همین آقای ایشون یکی دو سال بعد پلی استیشن سونی ۳ رو مهندسی معکوس کرد و تنها هنری که از سونی بر اومد این بود که ازش شکایت کنه و در آخر با گرفتن تعهد که دیگه هیچ محصول سونی رو هک نخواهد کرد از شکایتش صرف نظر کنه! ولی ماجرای گوگل فرق می کنه. وقتی هوتز تونست سیستم عامل گوگل کرم رو در اوایل امسال هک کنه، گوگل بهش جایزه ای ۱۵۰هزار دلاری داد و از اینکه کمک کرده سیستم عامل امن تر بشه تشکر کرد. دو ماه بعد هوتز ایمیلی از کریس اوانز – مهندس امنیت گوگل – دریافت کرد که دعوتش می کرد به کار.. کار تمام وقت روی امنیت هر محصولی که گوگل قراره بده بیرون. گوگل حالا هم اعلام کرده ک پروژه ای به اسم پروژه روز صفر رو داره که اکسپلویت های روز صفر رو کشف می کنه و حل می کنه چون مردم باید حق داشته باشن بدون ترس، از اینترنت استفاده کنن.

پایرت بی و مبارزه با سانسور اینترنت

پایرت بی رو حتما همه می شناسیم.. سایت تورنت و بعد فعال آزادی در اینترنت و بعد تشکیل دهنده احزاب طرفدار اینترنت در کشورهای متنوع و حتی عکس العمل نشون دهنده نسبت به وقایع هشتاد و هشت ایران و .. خلاصه یک گروه عالی. سایت اعلام کرده آخر تابستون براوزر جدیدی می دن که با تکنولوژی پی۲پی می تونه فیلترینگ رو رد کنه و معلومه که کمک جالبی خواهد بود برای ما. این برنامه کاملا اوپن سورس است (که امیدوارم باعث نشه مثل سایفون بپکه) و از لیب تورنت، وب کیت، اسکولایت و نود جی اس استفاده می کنه و حتی سیستم دی ان اس خودش رو هم خواهد داشت. چشم به راهیم استاد!

چین و سانسور وی-چت

دوست و همسایه و برادر و همکیش عزیز چین هم وی چت رو سانسور کرد. این برنامه در چین برای گردش اخبار و اطلاعات استفاده می شد. حداقل اینقدر شرف داشتن که اینو بگن «بعضی از مردم از این برنامه برای پخش اطلاعات مضر برای عامه و غیرقانونی استفاده می کردند و از این طریق به سیستم اینترنت و رضایت مردم اسیب می رساندند». خلاص (:

زبان‌شناس‌های کامپیوتری می گن زبان انسان به مثبت بودن گرایش داره

تحقیق ا ز۱۹۶۹ شروع شد. زمانی که دو روانشناس دانشگاه ایلینویز بعد از مطالعه فرهنگ های مختلف گفتن که انسان ها گرایش دارن به استفاده از کلمات مثبت و حالا کامپیوتر تونسته به کمکون بیاد تا در مقیاسی خیلی بزرگتر همین رو تکرار کنیم. یک برنامه، ۱۰۰ هزار کلمه در ۲۴ زبون از فرهنگ های مختلف رو بررسی کرده و به این نتیجه انسان ها مستقل از فرهنگشون گرایش دارن به مثبت بودن در استفاده از کلمات. به عبارت دقیق تر «کلمات زبان طبیعی انسان در تمام جهان بایاسی مثبت دارد». اونها اول ده هزار کلمه پر مصرف زبان هایی مثل چینی، روسی، انگلیسی، پرتغالی برزیلی، کره ای ، عربی و .. رو انتخاب کردن و بعد به کمک صحبت کنندگان این زبون ها اونها رو روی مقیاس خیلی منفی تا خیلی مثبت جا دادن ودر نهایت کافی بود به کتاب ها و شعرها و موسیقی و توییتر و .. نگاه بشه تا ببینیم مردم بیشتر کلمات منفی استفاده می کنن یا مثبت و نتیجه این بود: مثبت! یک دلیل دیگه برای مثبت و امیدوار بودن (:

شعرهای برای کرنل لینوکس

یک خانمی هم هست که وقتی تصمیم گرفت کرنل لینوکس رو درک کنه و شروع کرد به خوندن کتاب هایی مثل understanding the linux kernel، به جای نوت برداشتن شعر گفت! اگر برین به http://www.linux-poetry.com/ شعرهایی در وصف و توصیف و تشریح بخش های مختلفی از کد می بینین. مثلا الان بالاترین شعر اینه که : رشته بیکار. هیچ کاری نکردن پیچیده است – برای یک سیستم عامل. اجرای حلقه ای بی نهایت، پاسخ دادن به اینتراپت ها که در وصف فایل process.c است (: اگر هیچ آشنایی با کرنل ندارین و تا حالا نگاهش نکردین شاید نقطه شروع خوبی بشه (:

در اعماق

اثر انگشت کامپیوتر شما روی اینترنت مونده!

ترکیبی از محققین دانشگاه های پرینستون و Kuleuven بلژیک نشون دادن که از ۱۰هزار سایت اول اینترنت، ۵.۵٪ سایت ها اسکریپت هایی دارن که از کامپیوتر شما اثر انگشتی می گیرن و می تونن بعدا تو اینترنت تشخیصش بدن! من صد در صد موضوع رو نفهمیدم ولی ظاهرا یکسری دستور باعث می شه کامپیوتر عکسی بکشه که در هر کامپیوتر متفاوت از بقیه در می یاد و این رو استفاده می کنن برای تشخیص این که شما همون‌آدمی هستین که فلان جا هم بودین. چند وقت پیش اروپا تلاش کرد با محدود کردن cookie ها و اینجور چیزها کمی پرایوسی به وب بیاره ولی این روش که عملا هم نمی شه جلوش رو گرفت نشون می ده که پرایوسی کامل در وب تقریبا غیرممکن است.

شولدرپد کار پسورد دزدی رو برای شما راحت می کنه

دزدین پسورد یک کامپیوتر از روش های فنی کار راحتی نیست ولی دزدهایی که دنبال پسورد شما هستن معمولا دنبال راه حل های پیچیده فنی نمی رن – مهندسی اجتماعی -. یک محقق امنیتی در آفریقای جنوبی با کتابخونه آزاد تشخیص تصویر OpenCV یک برنامه نوشته که می تونه رو گوشی های آیفون و غیره ران بشه و پسورد هر کسی که در اطراف شما مشغول زدن پسوردش روی آی پد است رو بدزده. ماجرا اینه که با زدن هر کلید، یک لحظه مربعی آبی ظاهر می شه که می گه چه حرفی رو فشار دادین و اگر از دور گوشی رو به سمت کسی بگیرین که داره پسوردی رو وارد می کنه، برنامه صفحه رو می بینه و از مربع های آبی ای که ظاهر می شن حروف رو می خونه. به همین سادگی. انگار خودتون خیره شدین به صفحه و مربع ها رو مثل گرگ تند تند می خونین .. که برای یک برنامه کار راحتیه. حالا فرض کنین همین رو نصب کنیم روی عینک گوگل و فاتحه مع الصلوات!

سازمان های بیمه و اینترنت چیزها

توی اسلش دات که سایت خبری گیک ها است یک بحث جالب درگرفته: اینترنت چیزها و سازمان های بیمه [توضیحات خودم در مورد اینترنت چیزها، بیمه، وصل شدن دو تا به هم و بالا پایین رفتن هزینه ها و زیر نظر بودن همیشگی ]

ان اس ای و سایت لینوکس ژورنال

اگر به عنوان یک گیک خواننده بویینگ بویینگ یا لینوکس ژورنال دات کام باشین، از نظر ان اس ای لازمه بیشتر از بقیه زیر نظر باشین. مطلب رو اول یک سایت آلمانی نوشت و بعد بقیه. بحث سر برنامه ای است به اسم XKEYSCORE که با شنود بخشی از ترافیک اینترنت سعی می کنه حدس بزنه چه کسانی باید زیر نظر باشن و یکی از این فاکتورها جستجو به دنبال TOR و Tails است و طبق گفته اون سایت آلمانی، خود لینوکس ژورنال هم که در این موارد نوشته جزو «فروم تندروها» طبقه بندی شده! کسی هنوز نمی دونه چرا و این چه حماقتی است و برمیگردیم به داستان قدیمی که وقتی حکومت شروع کرد به زیر نظر گرفتن آدم ها کسی نمی تونه ماجرا رو به موقع متوقف کنه و اونها هم اینقدر داده جمع می کنن که توش گم میشن! خلاصه احتمالا من و شما هم از نظر ان اس ای اکستریمیست شدیم رفت (:

کریستوفر میمز، پسورد خبرنگار وال استریت ژورنال
password

کریستوفر میمز پسورد اکانت توییترش رو گذاشته کریستوفر میمز و اونو توی یک مقاله در وال استریت ژورنال منتشر کرده. این اکانت توییتر از ۲۰۰۷ فعاله و ۵۱هزار توییت داره ولی اون می گه اینکار خطری نداره. بحث اینه که دوران پسوردها داره به سر می رسه. گوگل الان روی یک پروتکل جدید کار می کنه که هنوز هم اسمی نداره. انتظار می ره این پروتکل به شما اجازه بده با داشتن گوشی موبایلتون، هر چیزی رو انلاک کنین یا وارد هر چیزی بشین (معلومه چیزهایی که مجوزش رو دارین). اول به نظر احمقانه می یاد که ما اینو جایگزین پسوردی بکنیم که تو ذهنمون است ولی فرقش اینه که پسورد توی ذهن رو می شه دزدید یا شنود کرد ولی تلفن قابل تکثیر نیست و اگر هم گم شد سریعا می شه غیرفعالش کرد. از اونطرف ما همیشه پسوردهای تکراری استفاده می کنیم و یک مشکل امنیتی در یکجا، بقیه جاها رو هم به خاطر می ندازه.

مرگ آخرین کد تاکر ناواجو ناواهو در ۹۲ سالگی
COLIN POWELL WITH NAVAJO CODE TALKERS.
چستر نز آخرین فرد زنده از ۲۹ سرخپوست ناواجویی ناواهویی بود که در جنگ جهانی دوم هنرنمایی ای کردن که از دست هیچ کدوم ز ریاضی دان های متفقین بر نیومده بود: ساختن رمزی برای مکالمه. افراد زیادی از جمله تورینگ افسانه ای تلاش کرده بودن شکلی از رمزنگاری رو درست کنن که .. [توضیحات خودم – علیه ژاپن – ۳۰ غیر ناواجو ناواهو فقط بلد بودن حرف بزننش و شکل نوشتاری هم نداشت – فیلم ویندتاکر – سرخپوست ها بلینکر (نوری) و مورس یاد گرفتن و کلمات نظامی رو جایگزین کردن (مثلا لاک پشت برای تانک و NEHEMAH که برابر مادر بود برای آمریکا و …۱۳ کشته دادن]

سوتی کاخ سفید و انتشار اسم رییس سی ای ای در افغانستان
Soldiers take photos as U.S. President Barack Obama shakes hands with troops after delivering remarks at Bagram Air Base in Kabul

قرار شد اوباما به شکل سرزده با سربازهای آمریکایی دیدار بکنه و بعدش فهرستی به رسانه ها داده شد از افرادی که در این دیدار حضور داشتن. در این فهرست یک اسم بود و یک لقب عجیب: رییس دایره جاسوسی آمریکا در افغانستان! اسمی که انتظار می ره هیچ کس ندونه (برای امنیت و دردسرهای بعدی). کاخ سفید سریعا اعلام کرد که اشتباه شده و این اسم نباید هیچ جا منتشر بشه و همینطور هم شد ولی این فهرست رو ۶۰۰۰ نفر دریافت کرده اند و مطمئنا دیگه چیز مخفی ای توش نیست. یکی می گه اگر اسنودن یک اسم رده بالا منتشر کرده بود الان با درون بهش حمله کرده بودیم و یکی دیگه می گه وقتی کاخ سفید چنین اسمی رو افشا می کنه فقط یک «اوپسسس» است ولی افراد رده پایین برای چیزهایی بسیار ساده تر تو زندان هستن. خلاصه منینگ چشمش رو باز کنه ببینه (:

تبریک‌ها، تقبیح‌هاَ و تعجب‌ها

تعجب ! تعجب می کنیم از نویسندگان راهنماهای زبون برنامه نویسی هسکل که توش گفتن «writing programs that do not require comments is the better choice» و حرفشون هم اینه که کد هسکل قراره تمیز، خوانا و خود معرف باشه و با انتخاب متغیرهای خوب و اسم های درست، برنامه نویس باید تلاش کنه نیاز به توضیح رو به صفر برسونه! ایده عجیبی است ولی در متن خودش، منطقی.

تبریک هم داریم از استاد دانشگاه آریزونا که گفته اگر دانشجوهای دختر موی زیربغل و پاشون رو برای ده هفته نزنن و از ماجرا یک ژورنال درست کنن بهشون نمره مثبت می ده (:‌ هاها.. در مورد دلایل و اینها شاید یک پادکست مستقل بدم یک روزی و مقایسه با دانشگاه ما هم باحاله که مثل مدرسه است و همه چیزش از قبل مشخص.

و تسلیتی مهم داریم به همه مسوولان و روسا و حکما و چرخانندگان و صلاح بینندگان و غیره کشور چون در مقیاس بهترین کشورهای جهان در بین ۱۲۵ کشور به مقام شامخ ۱۱۵ دست پیدا کرده یعنی فقط ده کشور در جهان برای زندگی از ما بدتر هستن. تعجب هم نکنین.. یک چیزهایی غیرقابل تحمل است ولی ما بهشون عادت کردیم (:

تبریک ملایم هم به برنامه نویس های شرکتی که Yo رو نوشتن [کمی توضیح] منتظر «هوی» وطنی هستیم (:

تبریک محکمی هم به گوگل به خاطر کمپین «چیزهایی که دوستشون دارین با کد درست شدن» تا بپردازه به خانمها، حضورشون در تکنولوژی و تکرار این مفهوم که ما خیلی از چیزهایی که می سازیم یا استفاده می کنیم با کد کار می کنن و اتفاقا خیلی ها با این کد نویسی هست که هویت خودشون رو شکل دادن. و تبریک مرکبی هم داریم به خانم های ایرانی که مطمئن هستم یکی از بالاترین سطوح فنی در تمام جهان رو دارن.. چه برنامه نویس چه طراح چه متخصص رادیو و چه هر تخصص فنی دیگه. باعث افتخارمه همیشه.

چه خبره این هفته.. با اینهمه تبریک به نظرم باید یک پارتی می افتادیم! ((: تبریک بعدی مال بیل گیتس که جایزه اش برای کشف یک کاندوم بهتر ظاهرا داره به نتیجه می رسه. گروهی یک ماده به اسم هیدروژل-قوی ساختن که می گن حس نزدیکتری به پوست داره ولی تا به بازار نیومده یادمون باشه که حس ایدز و هپاتیت و استرس بچه هی ناخواسته بسیار وحشتناک تر از حس کاندوم هستن (:

و البته بزرگترین تسلیت به به اصطلاح کشور اسراییل و هر کس دیگه که راه حلش در جهان، کشتن آدم ها است و هر ایده احمقی که فکر می کنه اگر آدم ها رو بکشه، مشکلات حل می شن.

نامه ها

از فاطمه هم تشکر می کنیم برای ایمیل خیلی طولانی ولی بسیار دقیقش در مورد کلی از شماره های رادیو گیک و بحث هاش در مورد رمزنگاری.

عجیبترین این هفته مال بهداد است:

کاوه عزیز هم دردنامه ای نوشته که در نهایت می رسه به اینکه نیاز به کمی نمره بیشتر در امتحان ورودی دانشگاهی داره که در یکی از کشورهای خارج داده و درخواست کرده من با هک کردن این مشکل رو حل کنم.. توضیحات خودم

جواد
سلام جادی عزیز
راستش مشکلی پیش اومده که امیدوارم بتونی کمکم کنی

همایون
جدیدا اپ پارس هاب رو نصب کرده بودم (مارکت ایرانیه اندرویده)

علی به دو نکته مهم اشاره کرده:
یه اتفاق برام این هفته افتاد گفتم بد نیست برات بگم .

بخش آخر

به افتخار شماره ۴۲ در موردش حرف می زنیم.. ۴۲ عدد بسیار مهمی در دنیای گیک ها است: مثلا شماره اسکی * است که وایلد کارته. دومین ورد ۱۶ بیتی هر فایل تیف همیشه ۴۲ است، توی فایل سیستم ریزر ۴، آی نود دایرکتوری روت ۴۲ است، توی لایبری سی گنو یک تابع داریم به اسم memfrob که هر چیزی بهش بدین رو با ۴۲ ایکس اور می کنه و حتی الان می تونین حدس بزنین تعداد روزهای دیفالت برای اکسپایری پسورد دامین توی مایکروسافت ویندوز چقدره: ۴۲ روز (: در نهایت Answer to The Ultimate Question of Life, the Universe, and Everything

۲۵ می روز حوله چون

A towel, it says, is about the most massively useful thing an interstellar hitchhiker can have. Partly it has great practical value. You can wrap it around you for warmth as you bound across the cold moons of Jaglan Beta; you can lie on it on the brilliant marble-sanded beaches of Santraginus V, inhaling the heady sea vapours; you can sleep under it beneath the stars which shine so redly on the desert world of Kakrafoon; use it to sail a miniraft down the slow heavy River Moth; wet it for use in hand-to-hand-combat; wrap it round your head to ward off noxious fumes or avoid the gaze of the Ravenous Bugblatter Beast of Traal (such a mind-bogglingly stupid animal, it assumes that if you can’t see it, it can’t see you); you can wave your towel in emergencies as a distress signal, and of course dry yourself off with it if it still seems to be clean enough.
More importantly, a towel has immense psychological value. For some reason, if a strag (strag: non-hitch hiker) discovers that a hitchhiker has his towel with him, he will automatically assume that he is also in possession of a toothbrush, face flannel, soap, tin of biscuits, flask, compass, map, ball of string, gnat spray, wet weather gear, space suit etc., etc. Furthermore, the strag will then happily lend the hitch hiker any of these or a dozen other items that the hitch hiker might accidentally have “lost.” What the strag will think is that any man who can hitch the length and breadth of the galaxy, rough it, slum it, struggle against terrible odds, win through, and still knows where his towel is, is clearly a man to be reckoned with.
Hence a phrase that has passed into hitchhiking slang, as in “Hey, you sass that hoopy Ford Prefect? There’s a frood who really knows where his towel is.” (Sass: know, be aware of, meet, have sex with; hoopy: really together guy; frood: really amazingly together guy.)[3]

موسیقی

محمد رضا باب دیلن رو پیشنهاد کرده بود و گوش کردم و عالیه ولی در این لحظه با توجه به حال و هوا از روزبه نعمت اللهی، د دیوونه رو می ذاریم برای اون بخشی که می گه با رد شدن تو از خیابون، تمام اونایی که عاشق بودن واسه چند لحظه مردد شدن و حتی از اینم سنگین تر اونجا که با دیدن زنی مو شرابی که موهاش از بالا روی صورتش ریخته می گه می گه «یه زن زیر یک ابشار شراب، یک کم کمترین صحنه رو فکر کن. ببین جای این صحنه تو شهر نیست… به من نه… به مردم یه کم فکر کن» به سلامتی همه اونهایی که می دونن هر روز که بدون عشق بگذره… شدیدا ضرره.

فیلم سینمایی خط ویژه؛ یک هک خوب

exclusive_path

هفته گذشته خط ویژه رو دیدم و مشعوف شدم! بالاخره یک فیلم که تونسته بود هک رو در حد قابل قبولی نشون بده که هم حرفه‌ها خوشحال باشن هم آماتورها.

توجه: اگر نگران لو رفتن داستان هستین یا اگر قراره فیلم رو ببینین بخش خاکستری زیر رو نخونین:

فیلم جاهایی بیش از حد کلیشه‌های لوس رایج رو تکرار می کرد؛ مثلا زنی که تنها زندگی می کرد و مردی بهش سر می‌زد، روسپی بود و جاهایی هم آدم رو غمگین می کرد چون می‌رفت سراغ فضای گداپرور کشور عزیزمون. مثلا قهرمان‌های داستان لیست درست می کردن که مشکل هر کس در زندگی چیه و بعد با ریختن یکی دو میلیون پول مشکلش رو حل می کردن و در نهایت با ریختن پول از بالای پل عابر پیاده کل شهر رو شاد کردن (: در حالی که نداشتن پول نمود یک مشکل بزرگه و قهرمان کسیه که با اون مشکل بجنگه (:

اما به نظر من امیدوار کننده ترین جای داستان، صحنه‌های خوب هک بود. اولا که هکر خیلی واقعی درست شده بود. نه لازم بود دوربین دورش بچرخه و نه حرفهای عجیب غریب بزنه. یک پسر دور از کلیشه‌های رایج هکرهای هالیوودی (موبلند و خیلی چاق یا خیلی لاغر) خیلی معقول و سربزیر هکش رو می کرد و می رفت پی کارش (: ابزارهای کارش هم خیلی واقعی و جذاب بودن: اوبونتو، دامپ کردن فایل‌هایی به اسم bnksniff و نگاه کردن بسته‌های کپچر شده با وایرشارک! این رو مقایسه کنین با حماقت اون دوستمون که توی سریال نمی دونم چی چی سعی می کرد با ساختن نیوفولدر ویندوز و عوض کردن تم قاچاقچی ردیابی کنه و خوشحال باشیم که کاگردان خط ویژه‌ مشاور خوبی در امور هک داشته. البته ظاهرا مشاور بانکی چندان جذاب نبوده یا من درک خوبی از سیستم بانکی ندارم؛ از نظر من چرخوندن یک پول در صد تا حساب اصلا نباید باعث بشه که پیدا کردن اون پول سخت بشه و منطقا اگر هکر از راه دور می تونه اینکار رو بکنه، نیازی نداره یکی از توی بانک بهش در مورد «پول تو حساب است، منتقلش کن» خبر بده. حالا یا من اشتباه می کنم یا مشاور هک بهتر از مشاور بانکی بوده.

در نهایت این فیلم به خاطر صحنه‌های هک قابل قبول، باعث خوشحالی است و به خاطر داستان نسبتا خوب، قابل پیشنهاد. امیدوارم ببینین و لذت ببرین و نظراتتون رو به منم بگین.

برای پیشگیری از باگ خونریزی قلبی، خودتون رو آپدیت کنین

همونطور که ایریکس هم در توییتش گفته، باگ جدیدی توی اوپن رمزنگاری اس اس ال کشف شده که اجازه می ده اطلاعات حفاظت شده در شرایط طبیعی هم دزدیده بشن. این باگ که به Heartbleed یا **خون‌ریزی قلبی** مشهور شده به هر کسی اجازه می ده اطلاعات حافظه حفاظت شده سیستم‌هایی که از این ورژن مشکل‌دار OpenSSL استفاده می‌کنن رو بخونن. آزمایشی که سایت کشف کننده این جریان انجام داده ادعا می‌کنه که تونسته بدون هیچ ردپایی سرتیفیکیت‌های X.509، کلمات عبور، پیام‌های مسنجر، ایمیل‌ها و داکیومنت‌های تجاری رو بخونن.

برای اطلاعات بیشتر به سایت خون ریزی قلبی مراجعه کنین و برای امن بودن سیستم‌هاتون رو سریعا آپدیت کنین:

sudo apt-get update && sudo apt-get upgrade #debian based
sudo yum update #fedora based
sudo pacman -Syu #arch based