امروز شاهد یک اتفاق عجیب بودم که البته بی سابقه نیست. یک نفر از یک بانک کاری شخصی با کسی داشته که توی اون بانک حساب داره و به سادگی به خودش اجازه داده اطلاعات حساب اون فرد رو چک کنه، تلفش رو برداره و بهش زنگ بزنه.
ظاهرا این بانک با اینهمه ادعا دو نکته بدیهی رو نمی دونه:
1. در یک سازمان باید سطح دسترسی به اطلاعات تعریف بشه. افراد مختلف باید به بخش های مختلف دسترسی داشته باشن و هر کس باید فقط به بخشی از اطلاعات دسترسی داشته باشه که بهش مربوطه. این مساله به طور خیلی خاص تر در مورد اطلاعات شخصی افراد هم معتبره. سازمان های مدرن تر شاید تصمیم بگیرن بخش عظیمی از اطلاعاتشون رو برای تمام کارمندان یا حتی عموم مردم باز کنن ولی بازم این باز کردن نباید باعث زیر سوال رفتن پرایوسی آدم ها بشه. مثلا ممکنه فیسبوک با ایده دسترسی مسطح به اطلاعات، به همه کارمندانش اجازه بده به میزان چت ها دسترسی داشته باشن ولی نباید اجازه بده هر کسی بتونه چت افرادی که می خواد رو بخونه.
2. اگر من اطلاعاتی به سازمانی می دم، فقط در محدوده های مرتبط اجازه استفاده از اونها وجود داره. اگر من تلفنم رو به بانک می دم برای اینه که در صورت مشکلی در حسابم بهم زنگ بزنه یا بتونه موقع برداشت و پرداخت بهم اسمس بده. تبلیغ کردن یک سرویس همون بانک شاید در محدوده خاکستری باشه ولی دادن شماره من به یکی دیگه برای تبلیغ یا قرارداد متقابل و تبلیغ کردن یک سرویس دیگه مطمئنا محدوده قرمز است و تماس تلفنی یکی از کارمندهاش برای کارهای شخصی شون مطمئنا منطقه بنفش.
درک این موضوعات و برخورد جدی با این موارد است که اعتبار یک موسسه و سازمان رو حفظ می کنه و ما هم باید در موردش هشیار باشیم. هم به عنوان تولید کننده و مشاور سرویس ها و هم به عنوان مصرف کننده و کاربر.
در شماره ۷۲ رادیوگیک هیچ برنامه ویژه ای نداریم. برنامه استاندارد خودمون رو پی می گیریم، به اخبار نگاه می کنیم، به اعماقشون می ریم و در بخش آخر برف ها رو به جلو پارو می کنیم. با هکرها هستیم، با اسپرم ها، از سکس حرف می زنیم و ربات ها و مثل همیشه ماشین های خود راننده ای که ما رو ول نمی کنن. با ما باشین چون خرس های کیوت قراره اطلاعات خصوصی ما رو لو بدن!
همیشه می گیم رادیو گیک چیزی مستقل از اخبار برندها و عددهاشون است ولی این فرق داره. نوکیا که بر می گرده دو نکته جالب داره. اولی ۳۳۱۰ که حتما شنیدین و بی مزه است و دومی نوکیا۶ که الان اهمیتش رو می گم ولی قبلش از کمپانی اچ ام دی بگیم که ظاهرا تلاش می کنه صدمه مایکروسافت به برند نوکیا رو جبران کنه و حالا با این برند گوشی های جدید می ده. جذابیت خاص گوشی نوکیا ۶ دو تا است: بدنه تمام فلزی و اندروید اصلا انگولک نشده! دقیقا دو تا چیزی که خیلی ها از سازنده های گوشی میخواستن و بهش نمی رسیدن. بخصوص با قیمت ۲۴۲ دلار! این کمپانی از چندین کارمند قدیمی نوکیا تشکیل شده و احتمالا گزینه جدیدی داده به آدم ها برای استفاده از نوکیا. امیدواریم خوب باشه و یک شرکت بالاخره گوشی ای که ما می خوایم رو بسازه. البته کنارش باید اشاره کنیم به ویلی فاکس هم اشاره کنیم که داره!
کلاودفلر یک سیستم دی ان اس است که کنار دی ان اس کلی سرویس دیگه هم می ده. مثل فشرده کننده صفحات، جلوگیری کننده از حملات، ریدایرکت اچ تی تی پی اس و خیلی چیزهای دیگه. در واقع کلاودفلر صفحه شما رو دریافت می کنه، به دلایل مختلف تغییرش می ده و اونو برای کاربر می فرسته. مثل یک کش خیلی خوب و کارا.
اما چند روز قبل کلاودفر یک خبر بزرگ منتشر کرد: باگ گزارش شده توسط تاویس اورماندی از پروژجت زیرو گوگل بهشون خبر داده که در بعضی صفحات اطلاعات غیر عادی وجود داره! خیلی غیرعادی؛ در حد توکن لاگین یوزرها، پسوردهاشون، ای پی آی کال ها و غیره و غیره. در واقع اطلاعاتی که باید بین هر یوزر کاملا مخفی باشه، حالا به عنوان بخشی از یک صفحه وب در گوشه ای از اینترنت قابل دیدن است!
اشتباه اول خیلی خبرگزاری ها این بود که فکر می کردن این اطلاعات یکجا نشست کرده و در دسترس است. اینطور نبود. مساله این بود که اطلاعات برخی سایت های خیلی بزرگ که از کلاودفلر استفاده می کردن در بعضی صفحات بی ربط پخش در اینترنت قابل دیدن بود و هنوزم هست. در واقع مثل این بود که زیر یکی از صفحات جادی.نت بتونین پسورد یک نفر رو ببینین (یا توکن لاگین کردنش رو) و با داشتن اون بتونین به جاش لاگین کنین.
این مساله به خاطر باگ موسوم به Buffer Overrun ایجاد شده بود. باگی که در زبان های سی و سی پلاس پلاس برنامه نویس موظف به مواظب بودن در موردش است و در نتیجه بارها و بارها اشتباها از زیر دست تست ها در می ره و باعث مشکلات امنیتی بزرگ می شه. این باگ اینطوری کار می کنه که یک متغیر از جای تعیین شده برای خودش بیرون می زنه و با بقیه حافظه قاطی می شه! کد زیر دقیقا خطی است که باعث شد کلاودفلر دچار مشکل بشه:
if ( ++p == pe )
goto _test_eof;
یک ابزار که قراره صفحه رو بهینه کنه، این رو صدا می زنه و تا وقتی که پوینتر به جای مورد نظر «برسه». حالا چی می شه اگر پوینتر در یک حالت خاص از اینجا بپره؟ تا مدت ها پیش می ره و بقیه اطلاعات حافظه رو توی متغیر مورد نظر می ریزه! همین می شه که سرور کلاود فلری که مثلا صفحه من رو بر می گردونه ممکنه بخشی از حافظه خودش که حاوی اطلاعات حساسه رو هم ته صفحه من برگردونه!
کلاود فلر می گه فقط در ۷ ساعت این مشکل رو حل کرد؛ از طریق درگیر کردن تیمهاش در تمام جهان. البته این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد ولی همین هم کافی بود که هنوزم اگر توی گوگل بگردین، ممکنه بتونین توکن های مشابهی رو پیدا کنین!
چه باید کرد
این هم یکی دیگه از اشتباههای بعضی منابع است؛ در واقع من و شما به عنوان یوزر کار چندانی نمی تونیم بکنیم. عوض کردن پسورد همیشه ایده خوبیه ولی در بسیاری از این موارد چیزی که لو می ره پسورد نیست (چون اون فقط یکبار رد و بدل می شه). اکثر سرورها برای نگهداری اطلاعات از توکن ها استفاده می کنن (مثلا قسمت هفتم بستون رو ببینین) و این توکن ها دائما دست به دست می شن. حتی اگر شما پسورد رو عوض کنین این توکن احتمالا کماکان در سرور فعال و معتبر است.
پیشنهاد اصلی در مورد وب مسترها و مدیر سیستم ها است و نه یوزرها. برای مقابله و امن شدن در مقابل این اتفاق امنیتی، لازمه مسوولین سایت ها توکن ها رو ریست کنن یا به یوزرها اجبار کنن که دوباره لاگین کنن و پسورد رو تغییر بدن تا حتی جلوی رو رفتگی های پسوردها هم گرفته بشه. شاید کار خیلی راحتی نباشه ولی چاره ای نیست. به احتمالا به همین دلیله که گوگل و چندین سرویس دیگه در طول دیروز از ما خواستن که دوباره وارد سیستمشون بشیم و توکن های قبلی رو غیر معتبر اعلام کردن.
ظاهرا یک بار دیگه ثابت شده که شغل ما خیلی خوبه (: منابع مختلفی دارن می گن برنامه نویسی عالیه و اینم یک تحقیق جدید در این مورد؛ البته برنامه نویسی، علوم پایه یا هر چیز دیگه که لازمه زنده موندن توش، چیز یاد گرفتنه. تحقیق مفصل جدیدی می گه هر جوری که این یادگیری اتفاق بیافته، چه موک ها (آموزش های آنلاین)، چه کتاب، چه یادگیری رسمی و غیره برای درآمد مفید هستن. که منطقی است. همچنین برای سلامت! مطالعه روزانه حتی اگر کوتاه باشه می تونه برای استرس بسیار مفید باشه. همچنین یادگیری مهارت های جدید حافظه رو بهتر می کنه و یادگیری آلات موسیقی می تونه علائم حتی آلزایمر رو کند کنه. اما مهمتر از همه برای ما شاید »تاثیر در زندگی اجتماعی» باشه. توانایی صحبت، کلمات وسیع، کنجکاوی، وسعت اطلاعات و … همه در زندگی اجتماعی سهیم هستن. همچنین در جذابیت از نظر دیگران!
البته به دور ماه! کمپانی عجیب اسپیس ایکس اعلام کرده که تا پایان ۲۰۱۸، دو نفر شهروند رو در یک سفر فضایی به اطراف ماه خواهد گردوند. الون ماسک عجیب گفته که این سفر تقریبا ۲ هفته طول خواهد کشید و مسافرها به تنهای سفر خواهند کرد، نه در کنار فضانوردهای حرفه ای و با کمک اونها. این خیلی هیجان انگیزتره! معلومه که ریسک چنین سفری، صفر نیست! ولی آیا این واقعی عملی است؟ اسپیس ایکس حرف های عجیب زیادی زده از جمله برنامه بلندپروازانه رفتن به مریخ و حالا هم از گشتن به دور ماه صحبت می کنه. یادمون باشه که این یه بیزنس است که باید درآمد زا بمونه پس اگر بتونه چنین کاری بکنه براش خیلی خوبه. ماسک گفته از طریق دو سفر در سال، تقریبا ۲۰٪ درآمد مورد نیاز شرکت تامین خواهد شد! البته بحث تکنولوژی هم هست. فالکون هوی هنوز آماده پرواز نیست و یکی از پیش نیازهای سفر به ماه خواهد بود. همچنین دراگون ۲ که قراره سوار فالکون هوی بشه هم آماده نشه و ناسا منتظر است که با این سفینه فضانورد به ایستگاه فضایی بفرسته. گفته می شه اوایل ۲۰۱۸ پرواز آزمایشی دراگون ۲ اتفاق خواهد افتاد. مدیریت پروازی آمریکا گفته برای پرواز به ماه باید از اون مجوز پرواز گرفته بشه و به گفته وکلا احتمالا کار خیلی راحتی هم نیست؛ به خاطر مسائل امنیتی پرواز برای شهروندان عادی. راستی.. با توجه به بحث های رفتن به مریخ، گروهی از وکلا مدعی هستن که باید وکلایی از مریخ دفاع کنن و حق مردم به یک سیاره جدید و این چیزها!
فایرفاکس جدید و کروم جدید (یعنی ۵۱ و ۵۶) در همراهی با فشار عمومی اینترنت به سمت اچ تی تی پی اس، شروع کردن به ناامن اعلام کردن بعضی صفحات اچ تی تی پی. آیکن ناامن (همون کلید با خط روش) در صفحاتی نشون داده خواهد شد که توشون دارین یک فرم رو روی اچ تی تی پی ارسال می کنین. این کلید حتی برای تریک قدیمی درست کردن فرم در صفحات اچ تی تی پی و فقط ارسال اون به مقصد امن هم ظاهر می شه چون اینکار چندان امن نیست (ممکنه کسی صفحه رو عوض کنه). البته روش کمی فرق می کنه. فایرفاکس همون قفل خط دار رو نشون می ده ولی کروم دقیقا می نویسه «ناامن» تا توسعه دهنده رو مجبور به اصلاح صفحاتشون کنه. گفته می شه فایرفاکس بعدی قراره کنار هر جایی که پسورد در اچ تی تی پی وارد شده یک علامت یا متن ناامن نشون بده! اینکار مطمئنا فشار رو برای حرکت به سمت اچ تی تی پی اس قویتر می کنه.
بازهم یک نفر از پروجکت زیروی گوگل مشکل امنیتی بزرگی رو توی آی ای نشون داده که توسط اون می شه کدهای مخرب رو توی بعضی از اینستنس ها ران کرد؛ یک مشکل واقعا حاد. این یک باگ type-confusion است که در ۲۵ نوامبر به مایکروسافت اعلام شده ولی حل نشده. گوگل در پروجکت زیرو می گه مشکلات رو به شرکت ها می گه ولی بعد از ۹۰ روز عمومی می کنه چون تا اون موقع احتمالا کلی آدم در موردش می دونن و ازش سوء استفاده می کنن. ظاهرا در این کد می شه با استفاده از شکل خاصی از سی اس اس کدهای مخرب اجرا کرد. البته من دقیق نگاهش نکردم. نکته جالب خبر این هم هست که چند روز قبل دوباره عینش تکرار شده بود و پروجکت زرو یه باگ دیگه از ویندوز منتشر کرده بود که توش می شد دسترسی داشت به اطلاعات مهم در حافظه. سخنگوی مایکروسافت گفته در هر دو مورد در حال کار روز مساله هستن و انتظار داشتن گوگل زمان اعلام عمومی رو به تاخیر بندازه ولی گوگل می گه نود روز کافی است. [بحث این کشمکش و بازم اشاره به ایران و نبودن مکانیزم]
شهردار قبلی نیویورک حالا شده مشاور امنیتی سایبری ترامپ. این انتخاب بعد از کلی انتخاب بد دیگه در حوزه اینترنت، کلی به آدم ها استرس داده. تیم انتقال قدرت ترامپ در متن انتخاب گفتن که «گیولیانی مهارت و دید عمیق خودش رو مثل یک دوست خوب نگران امنیت سایبری بخش خصوصی در اختیار ترامپ خواهد گذاشت و همچنین به راه حل های ارائه شده توسط بخش خصوصی خواهد پرداخت». بعد از این خبر هکرها سایت خود ایشون رو چک کردن؛ این سایت روی یک جوملای قدیمی پر از باگ ران می شه، سرتیفیکیت اس اس ال تاریخ گذشته داره، پی اچ پی آبسلیت استفاده می کنه و حداقل ده ساله که سرور بی اس دی اش آپدیت نشده. درسته که شاید مهم نباشه ولی کسی که گفته «قراره کمک کن همه ما امن تر باشیم» منطقا نباید خودش از چنین کسانی و وضعیتی استفاده کنه. از اونطرف گیولیانی خودش یک شرکت خصوصی امنیت سایبری داره.
در یک موفقیت بی نظیر تاریخی، بالاخره یک داروی پیشگیری از بارداری مردانه روی پرایمت ها کار کرده. توی این آزمایش۱۶ میمون نر رسوس بعد از یکسال فعالیت جنسی مستمر حتی یک مورد بارداری هم نشون ندادن. البته هنوز روش پیشگیری به خوبی روش های زنانه نیست. در واقع یک ژل به مجرایی که اسپرم ازش حرکت می کنه تزریق می شه که اجازه نمی ده اسپرم فعال به مایع منی برسه و برای معکوس کردنش فقط کافیه یک ژل دیگه تزریق بشه که اثر این رو خنثی کنه. کماکان عجیب ولی بسیار بهتر از وازکتومی های فعلی. مرحله بعدی آزمایش روی انسان است و امیدواریم خوب جواب بده ولی کماکان جا برای پیشرفت هست [کمی در مورد اسپرم توضیح بدم!]
اس اچ ای مخفف secure hash algorithm است.. و حالا دیگه سکیور نیست. [ کمی توضیح در مورد هش]. اس اچ ای در ۱۹۹۵ توسط ان اس ای درست شدو حالا که محققین گوگل و یک موسسه در آمستردام تونستن توش یک حمله کالیژن اتک نشون بدن، رسما تموم شده به حساب می یاد. این وضعیت وقتی پیش میاد که امضای دو چیز یکی باشه ولی اون دو چیز با هم فرق کنن. با این روش عملا ثابت شده که اون امضا دیگه اعتبار نداره. تقریبا از یک دهه پیش خطر این مساله خاطر نشان شده بود ولی حالا تونستن عملا نشونش بدن. روش جدید هزینه ایجاد یک هش مشابه برای یک فایل موجود رو بین ۷۵ تا ۱۲۰ هزار دلار تخمین می زنه. با کمک گرفتن از کامپیوترهای ای سی ۲. در این حمله محققین دو تا پی دی اف کاملا متفاوت درست کردن که هش یکسانی دارن. این حمله به تقریبا ۶۵۰۰ سال زمان روی یک سی پی یو و تقریبا ۱۱۰ سال زمان روی یک جی پی یو نیاز داشته. راه پیش رو؟ کمی گپ درمورد توروالدز و نیاز به حرکت به سمت ورژن ۲ یا ۳ همین الگوریتم. و ۹۰ روز دیگه گوگل کد خودش رو منتشر می کنه که عملا به هر کس اجازه می ده کار مشابهی بکنه.
جدی کی تسلا می خره وقتی این پسره با ۷۰۰ دلار و سخت افزارهایی که تو اینترنت می شه خرید و نرم افزارهای آزاد، تونسته ماشینش رو خود راننده کننده؟ هندا سیویک اون به شکل خودکار رانندگی می کنه و مامان بزرگش رو به یک گشت شبونه برده و سالم برگردونده (: البته خود یرگوسن پشت فرمون مواظب بوده که اشتباه نشه و می گه که دوست دخترش حاضر نشده به سیستم اون اعتماد کنه و سوار بشه و به همین خاطر سراغ مادربزرگش رفته (: یک نمایشگر که جای آینه عقب نصب شده می تونه به شکل خودکار گاز و فرمون و ترمز رو کنترل کنه . در حرکتی مشابه یک کمپانی سان فرانسیسکو ابزاری ۹۹۹ دلاری می فروشه که با وصل کردن به ماشین می شه دستور داد که خود به خود رانندگی کنه – حتی در ترافیکی که می ره و می ایسته. البته فروش این ابزار فعلا با دخالت سازمان ایمنی ترافیک کنسل شده! کل ابزار این دوستمون یک تلفن هوشمند بوده که به نرم افزار اوپن پایلوت متصل شده و وصله به سیستم های الکترونیک ماشین و یک جعبه ۳بعدی. این تنها سیستم نیست و جاهای مختلفی مشغول منتشر کردن کدها و سیستم های خود راننده شون هستن. از جمله سایت آموزشی یوداسیتی نرم افزار یکی از دوره هاش رو آزاد منتشر کرده و آدم ها در حال تست و بهتر کردن دائمی اش هستن. [نظرات خودم بخصوص در مورد همکاری با انسپ و بقیه در این ماجرا]. یک اشاره به مشکل دوچرخه هم داشته باشیم. و البته اهمیت اشاره به خبر اینکه پلیس کالیفرنیا می گه ۹ مورد از رد شدن از چراغ قرمز توسط ماشین های خودراننده اوبر رو ضبط کرده. اوبر می گه ماشین های مورد تست نیاز به مجوز تست ماشین خودکار ندارن چون اصولا ماشین های خودکار نیستن و فقط مجهز به یک سیستم پیشرفته کمک به راننده در رانندگی هستن. بحث خودم و بحث بیکار تر شدن راننده ها
قانون درستی توی فرانسه تصویب شده که احتمالا باید نمونه ای باشه برای دیگران. این قانون رو شاید تو فارسی / عربی بتونیم «انفصال از کار» بخونیم. منطقا من وقتی ساعت کاری ام تموم می شه دیگه موظف به پاسخگویی به کارفرما نیستم. چیزی که برای برنامه نویس ها و بخصوص سیستم ادمین ها تجربه همیشگی است [چند تجربه]. این قانون در فرانسه می گه که کارفرما باید از کارمند بپرسه که چطوری و به چه روشی می شه (و آیا اصلا اجازه دارن) که در خارج از ساعت کاری باهاش تماس بگیرن. طبق قانون مثلا کارمند حق داره موبایلش رو تو خونه خاموش کنه یا جواب نده. در محیط های کاری فعلی و بخصوص بودن لپ تاپ و موبایل شرکت، جدا شدن از محیط کار سخته، یا حتی تشخیص فضای کار و خونه. هنوز قانونی در مورد جریمه شدن شرکت ها نیست و فقط می گه باید توافق بشه اما در نهایت بحث در مورد «حق انفصال از کار» مهمه و چیزی مثل work/life balance موضوعی که باید حواسمون بهش باشه.
باگ ها و سو استفاده – مثلا عضو کردن شما در سرویسی که نمی خواین
بحث شکایت و پس دادن پول شما در صورت شکایت طبق یک کامنت که ما نمی دونیم
آخه با رباتم بله؟!
شرکتی هست به اسم ریل باتیکس که هدف عجیبی داره: مدعی است تا آخر امسال یک عروسک رباتیک مجهز به هوش مصنوعی مخصوص سکس به بازار عرضه می کنه! نظر شما چیه؟ حداقلش اینه که نظر دیگران رو پرسیده و نتیجه بسیار جالبه. ۷۸٪ گفتن که با ربات ها دیت می ذارن و مشکلی ندارن. از اونطرف ۲۳٪ گفتن که اگر ربات دارای هوش مصنوعی ای ساخته بشه که شبیه آدم مهشورها باشه حتما باهاش دیت می ذارن؛ بخصوص اسکارت جکسون و ریان رینولدز. در بین جواب دهنده ها (که البته خیلی هم علمی نبوده روش) فقط ۲۲٪ گفتن که فقط علاقمند به آدم واقعی هستن و دنبال ربات نخواهند رفت. بحث های خودم. [به عنوان رابط رابطه از راه دور]، [خیانت است؟]، [فتیش های خاص؟]، … اصلا شماره ویزه لازم داره!
یک شرکت سازنده یک خرس اسباب بازی از این قصه های جدید اینترنت چیزها، کل اطلاعات، پسوردها، پیام های صوتی و ایمیل های کسانی که خرس قابل برنامه ریزی اش رو خریده بودن بدون پسورد روی اینترنت نگه می داشت؛ و معلومه که لو رفته!
این خرس کیوت توسط اسپیرال تویز ساخته شده ومی تونه پیام های صوتی بچه ها و پدر و مادرها رو از طریق اینترنت دریافت و برای طرف مقابل پخش کنه. خرسی که پیام مامانتون رو به شما می ده و البته به هر کس دیگه که به دیتابیس وصل بشه (: مساله مشابهی چند وقت پیش بود که وی-تک هک شد و بازم اطلاعات ۵میلیون کاربر به سرقت رفت که بینشون ۲۰۰هزار کودک هم بودن. یک ماه بعدش یک باربی متصل به اینترنت هم مشکل امنیتی پیدا کرد و اجازه داد هکرها مکالمات توی خونه آدم ها رو گوش بدن. [توضیح در مورد اینترنت چیزها و اینکه هنوز در امنیت مشکلات بسیار زیاد داره چون بهش توجه کافی نمی شه].
توضیح بدهی فنی: اتفاق بدی که در کد افتاده و بعدا باید جبران بشه. مثال با نزول خورها یا بانک ها. پس دادن بدهی فنی زمان می خواد و باید بهش توجه بشه. مثلا با ریفکتور کردن. بدهی فنی چطوری پیش می یاد؟ فشار مدیر، بی سوادی اجرا کننده و … اجرای درست هر چیز به زمان بیشتری نیاز داره ولی اگر الان هی عجله کنیم در آینده زمان خیلی بیشتری خواهیم خواست. همینه که هی پروژه ها خرابتر می شن چون می خوایم نتیجه بگیریم. مدیرها باید برای پرداخت بدهی فنی وقت بذارن و ما نمی تونیم به جلو پارو کنیم چون هی سخت تر می شه.
تبریک و تقبیح
تسلیت برای شطرنج که اینقدر بد بود. همه حذف شدن. خیلی ها نیومدن و در نهایت گفته شد مربی بازیکن ما اطلاعات رو منتقل می کرده به بازیکن دیگه.
تبریکی هم داریم به کسانی که در کشورشون ازدواج افراد همجنس قانونی است چون طبق تحقیقات می گن در این جاها نرخ خودکشی جوان ها پایین می یاد.
تبریک به آدم ها که وقتی یک مهندس سابق اوبر گفت در این شرکت فرهنگ مزاحمت جنسی برای خانم ها وجود داره، شروع نکردن خندیدن و مسخره کردن و به جاش اوبر رو از گوشی ها پاک کردن و بالاخره اوبر مجبور به پاسخگویی و دقت در این مورد شد.
تبریک به فرهادی برای اسکار
تسلیتی هم می گیم به اون منظومه هفت سیاره ای مشابه منظومه خودمون که تازه کشف شده چون اگر واقعا شبیه ما باشن احتمالا جای چرتی هستن (:
و البته تبریک به نامزد مهتاب که ۱۲اسفند تولدشه.. و امیدوارم همیشه خوش باشه
نامه ها
موسیقی
آهنگ آخر به پیشنهاد یزدان، Nothing else – archive، از البوم Londinium و با صداي زيباي خانوم رويا عرب
شارومین – ساقی
Nettwerk Music Group – William Fitzsimmons – Fortune (Acoustic)
من آخر هفته خیلی شلوغی داشتم. درستتر بگم، هفته خیلی شلوغی و اگر دقیق تر بخوام حرف بزنم؛ ماه خیلی شلوغی! این وسط هم کلی خبر خوب داشتیم که خب نرسیدیم در موردشون حرف بزنیم. اما به نظرم یکی از جالبترینهاش که جاش اینجا بود، بحث مشکل امنیتی نشت اطلاعات کلاودفلر بود. توضیحات اشتباه هم در موردش خیلی زیاد داده شده، حتی سایت های معتبر خارجی.
کلاودفلر یک سیستم دی ان اس است که کنار دی ان اس کلی سرویس دیگه هم می ده. مثل فشرده کننده صفحات، جلوگیری کننده از حملات، ریدایرکت اچ تی تی پی اس و خیلی چیزهای دیگه. در واقع کلاودفلر صفحه شما رو دریافت می کنه، به دلایل مختلف تغییرش می ده و اونو برای کاربر می فرسته. مثل یک کش خیلی خوب و کارا.
اما چند روز قبل کلاودفر یک خبر بزرگ منتشر کرد: باگ گزارش شده توسط تاویس اورماندی از پروژجت زیرو گوگل بهشون خبر داده که در بعضی صفحات اطلاعات غیر عادی وجود داره! خیلی غیرعادی؛ در حد توکن لاگین یوزرها، پسوردهاشون، ای پی آی کال ها و غیره و غیره. در واقع اطلاعاتی که باید بین هر یوزر کاملا مخفی باشه، حالا به عنوان بخشی از یک صفحه وب در گوشه ای از اینترنت قابل دیدن است!
اشتباه اول خیلی خبرگزاری ها این بود که فکر می کردن این اطلاعات یکجا نشست کرده و در دسترس است. اینطور نبود. مساله این بود که اطلاعات برخی سایت های خیلی بزرگ که از کلاودفلر استفاده می کردن در بعضی صفحات بی ربط پخش در اینترنت قابل دیدن بود و هنوزم هست. در واقع مثل این بود که زیر یکی از صفحات جادی.نت بتونین پسورد یک نفر رو ببینین (یا توکن لاگین کردنش رو) و با داشتن اون بتونین به جاش لاگین کنین.
این مساله به خاطر باگ موسوم به Buffer Overrun ایجاد شده بود. باگی که در زبان های سی و سی پلاس پلاس برنامه نویس موظف به مواظب بودن در موردش است و در نتیجه بارها و بارها اشتباها از زیر دست تست ها در می ره و باعث مشکلات امنیتی بزرگ می شه. این باگ اینطوری کار می کنه که یک متغیر از جای تعیین شده برای خودش بیرون می زنه و با بقیه حافظه قاطی می شه! کد زیر دقیقا خطی است که باعث شد کلاودفلر دچار مشکل بشه:
if ( ++p == pe )
goto _test_eof;
یک ابزار که قراره صفحه رو بهینه کنه، این رو صدا می زنه و تا وقتی که پوینتر به جای مورد نظر «برسه». حالا چی می شه اگر پوینتر در یک حالت خاص از اینجا بپره؟ تا مدت ها پیش می ره و بقیه اطلاعات حافظه رو توی متغیر مورد نظر می ریزه! همین می شه که سرور کلاود فلری که مثلا صفحه من رو بر می گردونه ممکنه بخشی از حافظه خودش که حاوی اطلاعات حساسه رو هم ته صفحه من برگردونه!
کلاود فلر می گه فقط در ۷ ساعت این مشکل رو حل کرد؛ از طریق درگیر کردن تیمهاش در تمام جهان. البته این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد ولی همین هم کافی بود که هنوزم اگر توی گوگل بگردین، ممکنه بتونین توکن های مشابهی رو پیدا کنین!
چه باید کرد
این هم یکی دیگه از اشتباههای بعضی منابع است؛ در واقع من و شما به عنوان یوزر کار چندانی نمی تونیم بکنیم. عوض کردن پسورد همیشه ایده خوبیه ولی در بسیاری از این موارد چیزی که لو می ره پسورد نیست (چون اون فقط یکبار رد و بدل می شه). اکثر سرورها برای نگهداری اطلاعات از توکن ها استفاده می کنن (مثلا قسمت هفتم بستون رو ببینین) و این توکن ها دائما دست به دست می شن. حتی اگر شما پسورد رو عوض کنین این توکن احتمالا کماکان در سرور فعال و معتبر است.
پیشنهاد اصلی در مورد وب مسترها و مدیر سیستم ها است و نه یوزرها. برای مقابله و امن شدن در مقابل این اتفاق امنیتی، لازمه مسوولین سایت ها توکن ها رو ریست کنن یا به یوزرها اجبار کنن که دوباره لاگین کنن و پسورد رو تغییر بدن تا حتی جلوی رو رفتگی های پسوردها هم گرفته بشه. شاید کار خیلی راحتی نباشه ولی چاره ای نیست. به احتمالا به همین دلیله که گوگل و چندین سرویس دیگه در طول دیروز از ما خواستن که دوباره وارد سیستمشون بشیم و توکن های قبلی رو غیر معتبر اعلام کردن.
بهترین نکته؟ شفافیت کلاودفلر که حتی کدهای مشکل دار رو هم نشونمون داد (:
ضعیف بودن سرور دونالد ترامپ همیشه مورد بحث بوده؛ دقیق تر بگم عدم آگاهی کمپینش در مورد امنیت. این مساله با انتخاب هاش در مورد آدم های مورد اعتماد کابینه اش در موضوع امنیت بیشتر هم توی چشم خورد. حالا یک هکر که ادعا می کنه از عراق است هم صفحه secure2.donaldjtrump.com رو هک کرده که به گفته آرس تکنیکا متعلق به کمپین ریاست جمهوری اونه.
این هکر که خودش رو پرو مستر معرفی کرده، با پیام
Hacked by Pro_Mast3r ~
Attacker Gov
Nothing Is Impossible
Peace From Iraq
تونسته سرور ترامپ که پشت کلاودفلر هم بوده رو دیفیس کنه. بامزه اینه که سرور هنوز پایینه و تنها اثر از هکر، یک لینک است به یک جاوااسکرپیت که الان دیگه وجود نداره روی اکانتی به اسم masterendi روی گوگل کد.
در رادیوگیک شماره ۷۰ مثل همیشه اخبار رو داریم و در اعماق رو مثل بعضی وقت ها در بخشی طولانی تر به رمزنگاری کوانتومی مورد ادعای چینیها نگاه میکنیم. در همین شماره است که سوار کشتی دزدهای دریایی می شیم تا پارلمان تشکیل بدیم و جنگ هوش مصنوعی علیه ما هم اعلام میشه؛ یک کامپیوتر می خواد جایگزین مدیر بزرگترین هج فاند آمریکا بشه! با ما باشین که دنیا رو به حرکت در بیاریم.
در واقع هر سهم ۱۹۶ دلار. دقت کنین که خیلی دنبال اطالاعاتی است. اسکایپ رو داره و شبکه متخصصن جهان رو اگر اضافه کنه به آفیس ۳۶۵ و مایکروسافت دینامیکس…. در پی خبر سهام مایکروسافت ۳.۷ درصد پایین اومده و سهام لینکدین ۴۹درصد بالا رفته. البته وضعیت ایران رو هم داره دیگه (: اینم بگم که چهار سال پیش مدیر عامل فعلی لینکدین که قراره بعد از تصاحب مایکروسافت،بازم مدیر بمونه به ایده اینکه مایکروسافت شرکتش رو بخره خندیده بود اما حالا این خرید که به شکل بامزه ای ۱۹۶مین خرید مایکروسافت هم هست، گرونترین خریدش هم شده.
یکی از بحث های جالب رادیو گیک این بود که می گفتیم افراد زیادی از دانشمندها علاقمند نیستن به اپل برن چون اپل با مخفی کاری های کلاسیکش نمی گه کی دقیقا داره چیکار می کنه و در نتیجه شهرت آکادمیک…. [توضیحات خودم]. حالا اپل اولین تحقیق مرتبط با هوش مصنوعی خودش رو منتشر کرده – در حوزه دید ماشینی. مطلب هم جالبه و در این مورد که ماشین ها بتونن در روند یادگیری به جای استفاده از عکس های واقعی،از عکس های تولید شده توسط کامپیوترهای دیگه استفاده کنن. در واقع من پروسه یادگیری ام رو به جای اینکه وابسته به اطلاعات جهان واقعی بکنم، وابسته به جهان شبیه سازی شده بکنم. البته این الزاما به معنی باز شدن اپل نیست ولی انگار کمپانی در حال بعضی تغییر جهت ها است.
کشور دوست و برادر و همسایه چین، ظاهرا شکلی از بک دور رو روی یکسری از گوشی هاش داشته.. تقریبا ۷۰۰ میلیون گوشی که هر ۷۲ ساعت یک مسیج به چین می فرستادن… اطلاعاتی مثل تماس های تلفنی، مسیج ها، لوکیشن های رفته شده و … محققین کریپتو وایر این رو نشون دادن و می گن بیشتر روی گوشی های نسبتا ارزون قیمت چینی بوده که در بازار آمریکا فروش می رن. این در پشتی (نسبتا) توسط کمپانی AdUps نوشته شده که توی شانگهای است. همین کمپانی نرم افزارهایی روی گوشی های زد تی ای و هواووی هم عرضه می کنه. این برنامه در این گوشی ها روی فرم ور بوده (تلفظ صحیح!) و توسط کاربر قابل دیده شدن یا غیرفعال کردن نیست. ادعا شده کاربرد این برنامه آپدیت کردن گوشی ها است (: حالا اینکه چرا نیاز به اسمس های من داره که خودش رو آپدیت کنه حتما دوست و برادر بزرگترم اینطور صلاح دونسته و به مصلحت خودم است دیگه (: با این خبر، سخنگوی زد تی ای در آمریکا اعلام کرد که هیچ گوشی زد تی ای برنامه های اد آپز رو روش نداشته.
سیانوژن مد پروژه فوق العاده ای بود: مجموعه بزرگی از اندرویدهای تنیظم شده برای گوشی های مختلف. در واقع سیانوژن به من اجازه میداد که روی اکثر تلفنهای استاندارد، نسخه ای مستقل از اندروید نصب کنم و بتونم همیشه آپدیتش کنم و از شر نرمافزارهای مزخرفی که کسی مثل سامسونگ به اجبار نصب می کنه در امان باشم. سیانوژن روشی بود برای نصب اندروید استاندارد روی گستره وسیعی از گوشیها.
حالا پست کوتاهی روی وبلاگ سایانوژن میگه که دیگه بیلدهای شبانه ساخته نخواهند شد و پروژه اوپن سورس و کدها کماکان برای هر کسی که بخواد خودش سایانوژن رو بسازه موجود خواهد بود. و معلومه که تقریبا هیچ کدوم از ما نمیتونیم به این راحتی ها از سورسها به اندروید قابل نصب روی گوشی برسیم ): پروژه عملا متوقف شده مگر اینکه گروهی از دولوپرهای قبلی که اعلام کردن اونو به اسم «لاینایج (Lineage)» ادامه میدن واقعا جدی کار کنن.
نبودن سیانوژن اتفاق بدی است ولی خب موسس و نفر اصلیاش ظاهرا در یک گروه خصوصی گوگل پلاس گفته «کاری که سعی می کردم بکنم به پایان رسیده» و توی توییتر نوشته «وقت ماجراجویی بعدی است». امیدواریم حداقل کار پرهیجانی بکنه.
البته چندین پروژه دیگه هم سعی می کنن اندرویدهای آزاد یا استاندارد یا امن یا .. رو به گوشیهای ما برسونن ولی خب هیچکدوم به بزرگی سیانوژن نیستن. مثلا کربن، اسلیم، ای او اس بی یا رام پارانوید که تمرکزش روی امنیت است.
این خبر رو هم قبلا توی رادیو داشتیم و حالا عملیاتی شده. یک میخ دیگه روی تابوت یکی از ناامنی های وب. البته اگر هنوز فلش لازم داشته باشین می تونین بگین در فلان سایت قابل استفاده بمونه و این چیزها.
A sticker that reads “Bitcoin accepted here” is displayed at the entrance of the Stadthaus town hall in Zug, Switzerland, August 30, 2016. REUTERS/Arnd Wiegmann
با ۷۷۴دلار به ازای هر بیت کوین، حالا بیت کوین نشون داده که قوی است و قرار نیست حالا حالاها کنار بره. البته یک سقوط ناگهانی در نتیجه یک اتفاق غیرمحتمل نیست ولی در کل باید بیت کوین رو بسیار جدی گرفت. البته این بالا پایین رفتن های بسیار جدی، کمی کل ماجرای بیت کوین به عنوان یک پول جدی رو ناامن می کنن اما در نهایت ما که دوستش داریم. و البته خب دلار هم که در ایران رکورد تاریخش رو شکسته [بحث ریال است که پایین می یاد!]
شماره قبلی ما کامل در مورد گیت هاب بود [و شاید شماره بعدی در مورد گیت لب باشه که حسابی جالبه] ولی پیچیدگی های مالی هم هست. سکوییا کپیتال در ۲۰۱۵ دویست و پنجاه میلیون روی گیت هاب سرمایه گذاری کرد ولی ظاهرا پول خوب خرج نشده. فقط توی یک و نیم سال گذشته با این پول تعداد کارمندان تقریبا دو برابر شده یعنی از ۳۰۰ به ۶۰۰ رسیده و کلی سفر با جت در بخش های مختلف جهان ثبت شده. البته استخدام های اخیر (مثلا مدیر مالی تسلا) نوید بخش اینه که بحث پول در سال آینده جدی تر پگیری خواهد شد. همچنین درآمدها نسبت به سال گذشته بسیار بیشتر شده و در نهایت شرکت مدعی است که می تونه روی پاش بایسته.
در اعماق
بحث ترامپ رو هم داشتیم که خب خیلی عجیب و غریب شد ظاهرا. اما [بحث های خودم در مورد دموکراسی -> پایین اومدن و حقوق اقلیت، ری اکشن ها در مقابل وضعیت جهان، هماهنگ شدن سرمایه داری با هر وضعیت و .. اما بحث بن شدن هم جالب بود. [کمی بحث در مورد استفاده از سوشیال مدیا]. مثلا فیسبوک که این روزها خوشنام نیست در خیل یچیزها گفته که قواعد عمومی اش رو برای اکانت پرزیدنت ایالات متحده اپلای نمی کنه چون اون مخاطب های خیلی زیادی داره و احتمالا اجازه داره تا حدی از قواعد عمومی بازی خارج بشه و مدارای بیشتری با حرف هاش می شه. اما توییتر که اتفاقا در طول کمپین چندین اکانت شناخته شده سیاسی پرو راست رو ساسپند کرده بود توی جواب به این فرض احتمالی گفته که آدم ها روی توییتر فرقی با هم ندارن و هر کسی قواعد توییتر از جمله ممنوعیت نفرت پراکنی، چند اکانته بودن برای اذیت و آزار، تهدید خشونت و .. رو نقض کنه غیرفعال می شه و تفاوتی بین اکانت وریفاید رییس جمهور و یک اکانت ناشناس هم نیست.
هان؟! بله بله شروع شد ! شیپور جنگ است حتی برای مدیرهایی که نشسته بودن می خندیدن که «کارگرها با کامپیوتر جایگزین خواهند شد!» بریجزواتر اسوسیتد با یک تیم نرم افزاری داره روی نرم افزاری کار می کنه که به درخواست میلیاردی که مدیرش است ساخته شده: یک نرم فزار که حتی وقتی مدیر نباشه بتونه مطمئن باشه که شرکت طبق نظر اون اداره می شه. این نرم افزار کارهایی مدیریت روزمره، استخدام و اخراج رو به عهده خواهد داشت و کارمندها بیشتر به این سمت می رن که قواعد کار این برنامه رو تنظیم کنن. در حال حاضر هم این کمپانی شدیدا دیتا دریون است مثلا بعد از هر جلسه و هر روز کارمندها به همدیگه امتیاز می دن و رتبه بندی می شن. مدیر تحقیقات این هج فاند می گه این برنامه بلندپروازانه است ولی غیرمنطقی نیست. بخصوص با تمرکز روی این نقطه که تصمیم گیری نهایی در سازمان ها بسیار مهمه و خیلی وقت ها می بینیم که احساسات آدم ها و وضعیت های مختلفشون روی تصمیم هاشون تاثیر می ذاره. از نظر این محققین، شغل هایی مثل بانکداری به زودی منقرض می شه چون یک الگوریتم بهتر از هر کس دیگه می تونه در مورد وام و درصد و این چیزها تصمیم نهایی رو بگیره. در حال حاضر دیتای این برنامه از نتایج بررسی کار ۱۷۷۰ مدیر در ۱۴ کشور مختلف ایجاد شده و هزینه نهایی ران شدنش احتمالا بسیار پایینتر از مدیرهای انسانی خواهد بود. با کمی خباثت می تونیم بگیم «دیدین خودتون هم جایگزین شدین!»
در خبری مهم کارگروه رمزنگاری کنگره اعلام کردن که در مقابل بحث استفاده از در پشتی در دیواس ها نظرشون رو اعلام می کنن. این کارگروه بعد از این تشکیل شد که اپل و اف بی آی سر باز کردن یک آیفون به هم پریدن [؟ توضیح بدم]. نظر کارشناسی این کارگروه چهار جنبه رو اعلام می کنه. اولی اینکه هر عملی که رمزنگاری رو تضعیف کنه علیه امنیت ملی خواهد بود. این رو ما می دونستیم ولی معمولا آدم هایی که قراره تصمیم بگیرن درکش نمی کنن چون براشون سخته [حالا مال ما که کلا ..]. کارگروه بعد از اف بی آی می خواد هر درخواستی که باعث تضعیف رمزنگاری می شه رو متوقف کنه. در ادامه اومده که نیازهای دولتی برای باز شدن دستگاه ها قابل درک است و بهتره همکاری ادامه پیدا کنه ولی نه از طریق چیزی که بتونه رمزنگاری رو غیرکاربردی کنه. نهایت بحث اونها اینه که عملا امکان اینکه روی دستگاه ها دری فقط مخصوص حکومت گذاشته بشه غیر ممکنه و اگر قرار باشه دولت بتونه در زمان مناسب دسترسی به دیتا داشته باشه،عملا بهترین روش های رمزنگاری باید کنار گذاشته بشن که به صلاح امنیت کشور نیست.
بعله… نیروگاه خورشیدی رو که مستحضر هستین؟ بدون آلودگی و یکبار وصل کن بعدا استفاده کن (: این مزرعه خورشیدی ۲۵۰۰ هکتاری فقط و فقط در هشت ماه ساخته شده و ۶۴۸ مگاوات انرژی تولید می کنه… از نور آفتاب! تقریبا برابر نیروگاه اتمی بوشهر که از ۱۳۵۴ شروع شد و سال ۱۳۹۰ هفتصد مگاوات برق تولید کرد و جشن گرفتیم و پسماند اتمی اش رو هم… و البته سوختش رو هم … ولش کن بابا (: البته یک خبر دیگه هم از آزمایش های نیروگاه «star in a jar» داریم که از تخصص من کامله خارجه و نمی تونم بگم ولی ظاهرا تلاش هایی است برای تولید انرژی ای که ما می تونیم بهش بگیم بی نهایت (: ظاهرا در مرکزی به اسم w7x توی آلمان است و داره طبق برنامه پیش می ره و مربوط است به پلاسمای هیدروژن. واقعا چرا یه پادکست درست و حسابی علوم پایه نمی شناسم من؟
چند وقت پیش تو اخبار داشتیم که طبق نظر سنجیها، حزب دزدان دریایی شانس قابل قبولی برای پیروزی توی انتخابات ایسلند داره ولی این اتفاق عملی نشد. اما حالا خبرهای جالبی در راهه: بعد از اینکه دو برنده اول به خاطر فاصله جدی هم از نتونستن دولت تشکیل بدن، حالا حزب دزدان دریایی دعوت شده تا دولت جدید رو تشکیل بدن؛ اونهم بعد از مشورت با رهبران احزاب مختلف.
من بارها در مورد حزب دزدان دریایی نوشته ام و بارها باهاشون جشن گرفتیم (حتی تو رادیو) و الان این خبر به نظرم عالیه. دزدان دریایی حزبی است که با آراء نزدیک به سایت پایرت بی قدیم تاسیس شد (سایت بعدا به چند نفر بیزنس من فروخته شد) و تمرکزش روی آزادی های دیجیتال، شفافیت اقتصادی، دفاع از آزادی بیان، دفاع از حق خلوت شخصی، اینترنت آزاد و باز و مبارزه با فساد اقتصادی است. همچنین این حزب یک ایده هیجان انگیز هم داره: پذیرش قانون اساسی ایسلند که توسط شهروندانش نوشته شده. دیگر خوبی های ایسلند؟ تلاش برای دادن یک راه خروج امن به اسنودن و حتی اعطای شهروندی افتخاری بهش.
با توجه به سوم بودن حزب دزدان دریایی، تشکیل دولت می تونه براشون کار سختی باشه. این رو هم بگم که اصلی ترین مشکل حزب دزدان دریایی در بدو شروع درست همون مشکلی بود که احزاب سبز هم داشتن: داشتن ایده های پیشرو در بعضی زمینه ها و در مقابل نداشتن هیچ ایده ای در مقابل بعضی زمینه های دیگه. مثلا اگر الان من حزب دزدان دریایی ایران رو تشکیل بدم می تونم نظرات خیلی خوبی در مورد اینترنت و آزادی بیان و شهروندی و حقوق مرتبط با اون داشته باشم ولی مثلا در مورد شیوه بحث در اپک هیچ نظری ندارم و حزبام در مورد بخش هایی مهم نمی تونه اظهار نظر کنه در نتیجه باید در ائتلاف با حزبی با سیاستهای گسترده تر حرکت کنه.
به هرحال.. جشن می گیریم با دوستان ایسلندی مون.
بخش آخر
سمانه برام مطلبی رو ایمیل کرده که به نظرم خیلی خوبه خونده بشه. البته خودش هم می گه «من میخاستم به موضوعی اشاره کنم که فکرمیکنم مهم و لازم هست دررادیو گیک بهش اشاره بشه».
اول از همه باید بگم تمام اطلاعاتی که اینجا بیان میشه تماما قابل استنباط از منابعی هست که روی اینترنت دستیافتنی هستند و دوست دارم اگر این مطلب رو بیان میکنی، به جمله ی قبل اشاره کنی
چند وقت پیش چینی ها ماهواره ای رو به فضا فرستادند که گفته میشد از رمز نگاری کوآنتمی برای ایجاد یک ارتباط امن بین دو نقطه استفاده میکنه. البته اطلاعاتی که در مورد این ماهواره در خبرگزاری اعلام میشد اونقدر سلبریتی وار بود که معلوم نبود اصل داستان چیه. فکر میکنم اصل داستان برای شما جالب و در آینده بسیار مهم باشه.
اصل داستان اینه که محمولهی کوآنتومی ِ این ماهواره اصلاً ماهیت ارتباطی نداره و به یک روش خیلی خیلی ساده به برقراری یک ارتباط کاملاَ امن کمک میکنه. این ماهواره یک محمولهی «تولید زوج فوتونهای درهمتنیده» داره. این زوج فوتونها دو ویژهگی بسیار مهم دارند. اول اینکه پولاریتهی هریک از اونها کاملا تصادفی هست. یعنی اگر با عینک پولاریزه (که باهاش آشنائی دارید) به منشاء فوتون نگاه کنید، هر فوتون با احتمال پنجاه درصد رد میشه. دوم اینکه پولاریته ی هر فوتون عکس زوج ِ خودش هست! یعنی اگر یک عینک پولاریزه سر راه جفت فوتونها قرار بدیم فقط وفقط دقیقا یکیشون عبور میکنه. نکته ی جالب اینه که پدیده های کوآنتومی به نوعی «بر اساس تعریف ِ فرآیندهای تصادفی» هستند و در تصادفی بودن این فرآیندها هیچ شکی وجود نداره. حالا این خاصیت به چه درد میخوره؟
فایده ی نخست، تولید اعداد تصادفی/ پلاریته ی هر فوتون در هر راستایی که اندازه گیری بشه یا صفره یا یک و این عدد رندوم هست و اگر هزاران هزار فوتون پشت سر هم بررسی بشن یک رشته عدد رندوم ایجاد شده که امنیت رندومایزش از بهترین روشهای راهبردی هم بالاتره. فایده ی دوم اینکه ما دوگان (قرینه منفی یا هرچی شما تو کامپیوتر بهش میگید) این رشته ی رندوم رو با زوج-فوتون های این فوتون در جای دیگری از دنیا داریم. به شکلی که مطمعنیم هیچ کس سر راه ازش سر در نیاورده چون فقط و فقط دو عدد فوتون تولید شده که اگه کسی سر راه یکی ش رو دریافت کنه دیگه به ما نمیرسه که ازش استفاده کنیم و اگر کپی بشه اصلا با فوتون دیگه درهمتنیده نیست! بدین ترتیب با این زوج-فوتونها ما دو تا عدد رندوم دوآل همدیگه تولید کرده ایم که در اصل یکی هستند مثل 1110101100011 و 0001010011100 که دوآل هم هستند
حالا این چه کاربردی داره؟
امن ترین و در عین حال احمقانه ترین روش رمزنگاری چیست؟
one time pad
کلید یک بار مصرف! یک روش بسیار احمقانه ولی با امنیت قطعی و تنها روش با امنیت قطعی ست (احتمال پیدا کردن پیام با احتمال حدس زدن کل کاراکترهای پیام برابره) خب این جفت فوتون ها بدرد همین روش میخورند. شما یکی از جفت فوتون ها رو به فرستنده یکی رو به گیرنده میفرستید فرستنده پولاریته ی فوتون (که یا صفره یا یک) در یک جهت از قبل تعیین شده رو با پیام ایکس اور میکنه و از طریق غیر امن به همه جا مخابره میکنه، گیرنده نقیض پولاریته ی فوتون دریافتیش رو با سیگنال دریافتی ایکس اور میکنه و دیگه ایناش رو شما خودت استادی
حالا چرا این داستان انقدر مهمه؟
یکم، روش پد یک بار مصرف که شاید اسمش خشونت علیه زنان هم باشه، الان حتی به دانشجو ها یاد داده نمیشه، چون همه فرض میکردن این روش خیلی احمقانه س که کلیدش به بزرگی ه پیام ه و عملا کاربردی نداره؛ این داستان نشون داد نباید ساده از ایده ها عبور کرد
دوم، زمانی که مجلات زرد علمی برادر پدر همه رو برای ساخت رایانه های کوانتومی جلوی چشم حضار می اورند یک دفعه میفهمیم قابلیت های سیستمهای کوآنتومی خیلی راحتتر دارد در سیستمهای انتقال اطلاعات رشد میکند چیزهائی که دوست میدارند از دید همگان ناپیدا بماند
سوم، انتقال اطلاعات به روش کوانتمی به زودی و خیلی زودتر از محاسبات کوانتومی در حوزه های مختلف امنیت اطلاعات و رمزنگاری و هویت شناسی تحول های روولوشنری ایجاد میکند
در پایان، این خضعبلی که چینی ها فرستادند و فقط شبها کار میکنه تازه یک شروع آزمایشی و با احتمال قریب به یقین (غریب به یقین؟) موضوع در ایالات متحده جدی تر وساکت تر پیگیری میشه. اما همین برقراری ارتباط امن با سرعت سه مگابیت بر ثانیه، برای خیلی از سفارت خونه ها و … بسیار کاربردی ه اگر سوالی بود به عنوان یک فیزیک پیشه ی برنامه نبیس در ختمتم
در پسا پایان، تند نوشتم شاید واضح نباشه، ببخش. درضمن جوراب شلواری دو با اندکی اغماض خوب بود خوشحالمان میکنی بیست و پنج نوامبری
تبریک و تقبیح
به محققانی که تونستن به ضد ماده لیزر شلیک کنن تبریک می گیم ولی خب چون نمی فهمیم دقیقا چی می گن، بیشتر از این چیزی نداریم بگیم. همینطور به فرانسه تبریک می گیم که اولین درون پستی رو راه انداخته و بسته ها رو با درون تحویل می ده [اشاره به انفجار تهران]. تسلیتی داریم به اپل که کانیزیومر ریپورت برای اولین بار در طول عمر مک بوک ها ، این کامپیوتر رو به خریداران توصیه نکرده (به طور خاص برای مشکلات باتری) و تسلیتی هم داریم به تهرانی ها برای این هوای چرت و تقبیح از مسوولینش که برای تو سر و کله هم زدن دارن ما رو با این شرایط گند زنده نگه می دارن.
امسال شب یلدای دیجیتال جالبی داشتیم. مشکلات جدی سایت دیجیکالا و تلاش فروشگاهها برای راه انداختن چیزی مثل «جمعه سیاه» پر از خرید خارجی ها و پروموشنهای همزمان با الکامپ. تقریبا هر کدوم از اینها کلی داستان همراهش هست ولی در این مورد خاص میخوام با اشاره ای به سایت تبلیغات ای نتورک، در مورد این بگم که ما هنوز برامون جا نیافتاده که چطوری باید به خبرهایی که در مورد مشکلات امنتیی سایتمون میدن، عکس العمل نشون بدیم.
مساله اینه که بازی شب یلدای ای نتورک هم دقیقا اشتباه بازی سنگ کاغذ قیچی دلیون رو داره. این بازی هم کلاینت ساید است با متغیری به بامزگی winnings که مشخصه میکنه چند بار برنده شدین و ریکوئست هایی که بعد از یک تابع encrypt به سرور خبر میدن شما چی برنده شدین. این مساله رو سه چهار نفر از دوستان با ایمیل بهم گفتن و به شکلهای مختلفی هم تونسته بودن مساله رو حل کنن.
خب دفعه قبل که دقیقا روش رو نشون داده بودم و به نظرم اینبار کار جالبتر این بود سعی کنیم تماس بگیریم و مساله امنیتی رو توضیح بدیم. من شب به پشتیبانی ایمیل زدم و گفتم مشکل امنیتی هست و اگر خودشون خبر ندارن بگن که فردا صبح اطلاعات بیشتری بفرستم. امروز صبح ایمیلی داشتم که درخواست کرده بود اطلاعات بیشتر بدم. دو شیوه حمله به این اسکریپت رو نوشتم و اضافه کردم که برام جالبه که علاوه بر کاربر پشتیبانی، یکی از مدیرها هم به ایمیل اضافه بشه چون برام جالبه که بدونم آیا اگر کسی چنین مشکلاتی رو به ای.نتورک اطلاع بده می تونه انتظار مثلا یکی از جوایز همون بازی رو داشته باشه یا نه.
بعد از مدتی جواب ساده ای گرفتم که تشکر کرده بود از ایمیلم و می گفت «اگر در مسابقه شرکت کنید و برنده یکی از جوایز باشید خوشحال خواهیم شد». امیدوارم که حداقل در پشت صحنه به یک مدیر خبر داده باشن. در واقع اصلی ترین دلیل پیگیری من این بود که ببینم آیا پشتیبانی در یک مدیر رو به این رفت و آمد ایمیلی اضافه می کنه یا نه.
تجربه مشابه زیاد هست – بخصوص موارد حادتر. مثلا یکی از دوستان اخیرا یکی از این به اصطلاح فایروالهای وطنی رو هک کرده بود. این فایروالها معمولا یک کامپیوتر هستن که یک لینوکس دارن و کمی تنظیم شدن و توی یک جعبه گذاشته شدن و [معمولا] به زور به عنوان فایروال ساخت کشور به شرکت ها فروخته میشن. این دوستمون تونسته بود از راه دور با استفاده از یک حفره امنیتی شناخته شده از فایروال رد بشه و وقتی فیلم این کار رو به شکل خصوصی برای اون شرکت فرستاده بود تهدیدش کرده بودن به شکایت به جرم نفوذ غیرمجاز و آموزش هک و غیره و غیره.
شاید تنها تجربههای مثبت من در این موارد دوبار بوده. دفعه اول دلیون که اجازه داد فیلمش رو منتشر کنم و جایزه ها رو هم داد و دفعه دوم کسی که یک با هک یک دیتابیس قدیمی به ایمیل من رسیده بود و بهم خبر داد که اون سرویس که من نوشته ام هک شده (:
این در حالیه که توی دنیا شرکت های بزرگ برنامه هایی باگ باونتی برگزار می کنن که توش اگر بتونین به سیستمشون نفوذ کنین،جایزههای بزرگ میدن یا حتی اگر خارج از این مسابقات هم باگی رو پیدا و ریپورت کنین، جایزه دارین. امن بودن از طریق باز بودن نسبت به گزارش ها و علاقمندی به دیدن اشکالات پیش مییاد. سیستم های بگیر و ببند و «هیچ کس حرف نزنه تا کسی چیزی نفهمه» و … در نهایت با مشکلات بزرگ روبرو هستن و نتایج خوبی هم نمی دن.
اگر شرکت دارین خیلی خوبه اگر مکانیزمی برای دریافت مشکلات امنتیی داشته باشین و با دادن جایزه به هکرها، اونها رو از آدم های خطرناک پر دردسر به دوست های باحالی که بی دردسر مشکلات شما رو کشف و حل می کنن، تبدیل کنین. امنیت از طریق باسوادی عمومی ارزشمنده و ماندگار وگرنه اگر هر تلاشی برای هر کاری مجازات مرگ و تهدید و دستگیری داشته باشه که نمی شه مدعی امنیت بود (:
محققین امنیتی تکنیکی رو نشون دادن که حمله کننده میتونه کد مخربش رو در ویندوزهای مختلف (حتی ده آپدیت آخر) تزریق کنه بدون اینکه ابزارهای معمول آنتی ویروس بتونن چیزی تشخیص بدن. مشکل اصلی اینجاست که این مساله مربوط به یک باگ خاص نیست که بشه حلش کرد بلکه ظاهرا معماری اشتباه باعث این مساله شده.
حمله از طریق جدولهای اتم (Atom Tables) اتفاق میافته؛ قابلیتی که ویندوز به برنامهها میده تا اطلاعات مربوط به رشتههای کاراکتری، آبجکتها و بقیه انواع داده رو ذخیره کنن و بهشون دسترسی داشته باشن. این جدولها مشترک هستن و همه برنامهها بهشون دسترسی پیدا میکنن (برای اطلاعات بیشتر وبلاگ مایکروسافت رو بخونین).
محققین شرکت امنیتی ان سیلو حالا روشی نشون دادن که به خاطر اشتباه طراحی این جداول، اجازه میده کد مخرب بتونه این جدولها رو تغییر بده و باعث بشه برنامههای معتبر بتونن کدهای مخرب رو به جای اون اجرا کنن. این مساله باعث می شه عملا آنتی ویروس ها و غیره با روش های فعلی شون نتونن جلوی اجرای این کدها رو بگیرن.
چنین حملهای می تونه در شکل های دیگه باعث حملات مرد میانی، اسکرین شات گرفتن از صفحه دسکتاپ یوزر و دسترسی به پسوردهای ذخیره شده توی براوزر بشه.
در حال حاضر همه نسخههای ویندوز نسبت به این مساله آسیب پذیر هستن و به گفته لیبرمن
متاسفانه این مساله قابل پچ نیست چون مشکل در یک باگ نرم افزار یا کد اشتباه نیست – این مساله به خاطر شیوه طراحی سیستم عامل پیش اومده.
که البته امیدوارم مایکروسافت سریعا راه حلی براش پیدا کنه.
آیا نگران باشیم؟
بله ولی در عمل نمیتونیم کاری بکنیم. مطمئنا کسی به شما پیشنهاد نمی ده در این لحظه به لینوکس سوییچ کنین ولی خب در نهایت .. چه می دونم. راستش توصیه من به یک آدم معمول در جهان اینه که «نگران نباشین، زندگی همینه». اگر یک آدم مرسوم در دنیا هستین، منتظر بشین ببینین شرکت های بزرگ چه می کنن به زودی.
خلاصه مدیریتی: بازم من چند ساعتی از کامپیوترم فاصله گرفتم و جهان به دست نااهلان افتاد! یک مشکل امنیتی توی لینوکس نشون داده شده که میتونه باید ارتقای دسترسی افرادی بشه که روی یک سرور اکانت دارن، به اسم مشکل امنیتی میگن «گاو کثیف» یا درستتر از اون Dirty Cow. راه حل؟ آپدیت کردن لینوکستون به طور صد در صد این مشکل رو حل میکنه.
اسم از کجا اومده و این باگ چه میکنه
اسم رسمی این مشکل امنیتی هست CVE-2016-5195 ولی از اونجایی که ماجرا مرتبط میشه به یک وضعیت رقابتی در شیوه هندل شدن copy on write (یا همون COW) در کرنل لینوکس، بهش گاو کثیف میگیم. این شرایط رقابتی باعث میشه یک کاربر معمولی بتونه به بخشهایی از حافظه که قرار بود غیرقابل نوشتن باشه دسترسی رایت پیدا کنه و در نتیجه بتونه دسترسی خودش رو افزایش بده باگ رو در باگزیلای ردهت ببینین.
آیا لینوکس من هم این مشکل رو داره
بله. تمام لینوکسهایی که آپدیت نشده باشن این مشکل رو دارن. هر لینوکسی باید به شکل مطلق و به سرعت آپدیت بشه. در صورتی که کرنلهای شما قدیمیتر از این کرنلها هستن، شما هم این باگ رو دارین:
3.16.36-1+deb8u2 for Debian 8
3.2.82-1 for Debian 7
4.7.8-1 for Debian unstable
4.8.0-26.28 for Ubuntu 16.10
4.4.0-45.66 for Ubuntu 16.04 LTS
3.13.0-100.147 for Ubuntu 14.04 LTS
3.2.0-113.155 for Ubuntu 12.04 LTS
چجوری حلش کنم؟
به سادگی. در هر توزیع مرسوم لینوکس که هستین، یک آپدیت و بعد لود کردن کرنل جدید (ریبوت) میتونه شما رو در مقابل این باگ حفاظت کنه.
کی این رو کشف کرده و آیا لینوکس ناامنه؟
این باگ توسط فیل اوستر کشف و گزارش شده. لینوکس در این لحظه از این نظر ناامن نیست چون یک آپدیت مشکل رو حل میکنه. لینوکس قبل از این آپدیت از این نظر ناامن بوده. هر سیستم عاملی در هر لحظه به دلایل مختلف ناامن است و فقط نکته اینه که این ناامنیها در چه لحظه ای گزارش میشن و در چه لحظه ای حل میشن. خوبی لینوکس اینه که این چنین مشکلاتی رو تقریبا در زمان گزارش حل میکنن و با یک آپدیت همه در مقابلش مصون میشن ولی تا وقتی از نرم افزار استفاده میکنیم، شاهد چنین چیزهایی در تمام سیستم عاملها خواهیم بود.
