برچسب: امنیت

رادیو گیک شماره ۲۰ – تا قبر آ آ آ آ

مهمون ویژه این شماره: ۱پزشک مشهور به علیرضا مجیدی.

رادیویی برای کسانی که تکنولوژی براشون فقط تلاش دائمی برای خوندن و حفظ اینکه فلان مدل فلان چیز فرقش با فلان مدل بهمان چیز چیه و تو بازار چنده و شایعه اینکه قراره کی مدل فلانترش بیاد نیست و ترجیح می‌دن یک پله عمیق تر بشن و تو تقاطع تکنولوژی و جامعه، دغدغه‌های انسانی‌شون رو مطرح کنن. رادیو گیک برای گیک های سرگردان در تقاطع جامعه و تکنولوژی.

[audio:http://jadi.net/audio/jadi-net_radio-geek_020_ta_ghabr_a_a_a_a.mp3]

یا از اینجا دانلود کنید یا به احترام آزادی نسخه OGG اون رو دریافت کنین


آرس اس اس رادیو گیک
رادیو گیک در آیتونز

اخبار

کمپین ضایع مایکروسافت علیه اندروید

مایکروسافت شرکت بدی نیست ولی گاهی طرح‌های عجیب داره.. یکبار در یک ایده مسخره مراسم ترحیم آیفون رو برگزار کرد و حالا یک کمپین به اسم DroidRage! ایده محوری این کمپین این بود که آدم‌ها ناراحتی‌هاشون از اندروید رو توییت کنن و تگ دروید ریج بهش بزن. اما عملا این باعث یک مجموعه خیلی بامزه و خلاق از شوخی‌های مختلف شد. توییت اصلی از طرف اکانت رسمی «ویندوز فون‌» بود که از مردم می‌خواست تجربیات بدشون از اندروید رو با تگ دروید ریج بنویسن ولی جواب‌ها چیزهایی مثل این بودن:

سیف: من سعی کردم یک نکسوس چهار بخرم ولی این تلفن اینقدر طرفدار داره که دستم بهش نرسید. آرزو دارم کاش اونم مثل تلفن‌های ویندوز تو بازار باد کرده بود تا یکی می خریدم.

محمد تراکی‌ای: من یکبار خواستم یک بدافزار برای ویندوز فون بنویسم ولی بعد دیدم چه فایده داره وقتی خودش اینقدر بدبختی داره؟

فورتی‌ سون: کدوم دروید ریج ؟ من الان سه ساله اندروید دارم و راضی بودم و کسی رو هم نمی‌شناسم با بدافزار مشکلی داشته باشه. این که ویندوز نیست!

و البته اکانت رسمی اندروید سنترال هم دو تا توییت بامزه کرده:

ببخشید که چند لحظه نبودیم. برگشتیم! باید ویندوز رو ریبوت می کردیم!

اوه… می‌بخشید. یک میلیون دستگاه دیگه رو رجیستر کردیم… ببخشید ویندوز فون.

شکی نیست که توی اندروید بد افزار هم هست و عقل نصب کننده است که تصمیم می‌گیره چی نصب کنه ولی این کمپین ویندوز واقعا کمپین خزی بوده. بر خلاف اون یکی کمپینش که در مورد آی ای جدید است و تمرکز داره روی اینکه «ما می دونیم که آی ای بد بوده ولی حالا از اول نوشتیمش و خوب شده». پیشنهاد می‌کنم به سایت http://thebrowseryoulovetohate.com/ برین و نگاهی به تبلیغات خوب مایکروسافت هم بندازین. کلا تمرکزشون روی اینه که همه کسانی که قبلا می گفتن آی ای مزخرفه و چرنده و فقط به درد دانلود کردن فایرفاکس می خوره،‌ با دیدن آی ای جدید قبول می کنن که بسیار بهتر شده.

مشکل امنیتی توی برنامه اینستاگرام برای آی او اس
طرفدارهای اپل همیشه یکی از دفاعیاتشون در مورد سیستم بسته و محدود کننده اپل اینه که این قفس طلایی باعث امنیت کسی می شه که توی قفس انداخته شده. این بحث در مقایسه با جنگلی مثل اندروید که شما حق دارین با تلفنتون هر کاری بکنین درسته و دقیقا بحث اینه که شما می خواین توی یک خونه حبس بشین و با صرفنظر از آزادیتون، از خطر تصادف با ماشین و در امان بمونین یا می خواین پا به جنگل اسفالت بذارین و امنیتتون رو وابسه به تصمیم‌های عقلانی‌تون بکنین.

اما حالا کمی معادله عوض شده چون حفره امنیتی جدید اپلیکیشن اینستاگرام نشون می ده که قفس طلایی ظاهرا یک سوراخ‌هایی هم داره. این حفره به حمله کننده اجازه می‌ده کنترل کامل اکانت شما رو در دستش بگیره و احمقانه‌ترین حفره امنیتی جهانه: اطلاعات اکانت شما و همینطور کوکی لاگین شما بدون هیچ رمزگذاری برای سرورهای اینستاگرام فرستاده می‌شه و این یعنی هر آماتوری می‌تونه با نگاه کردن به اون با شناسه شما وارد سایت بشه.

مثل بسیاری موارد دیگه، کسی که مشکل رو کشف کرده سعی کرده به اینستاگرام نشونش بده ولی در یک ماه گذشته که کسی به حرفش گوش نکرده.

نوکیا و فروش دفترهای مرکزی برای به دست آوردن کمی پول

نوکیا با رهبری آقای الوپ که از مایکروسافت اومده ظاهرا وضعش خیلی خرابه. در جدیدترین حرکت برای بالا بردن سطح پول توی شرکت، نوکیا تصمیم گرفته دفتر مرکزی اش توی شهر اسپو فنلاند (که رسما یک شهر است فقط برای نوکیا) رو بفروشه! اونم فقط به ۱۷۰ میلیون یورو و بعد با بخشی از این پول همون ساختمون‌ها رو رهن کنه تا کمی پول به دست بیاره! این شرکت از سال ۱۹۹۷ توی این دفتر فلز و شیشه بوده که بهش نوکیا هاوس می‌گن و حالا به خاطر مشکلات مالی و تلاش برای کم کردن هزینه‌ها، این هنر رو زده. نوکیا که در شش فصل گذشته (دقیقا از وقتی اعلام کرده به ویندوز فون سوییچ می کنه) دائما ضرر داده، علاوه بر این تصمیم گفته که ۱۰هزار شغل رو حذف می کنه و داره تلاش می کنه که تا آخر ۲۰۱۳، ۱.۶ بیلیون یورو صرفه جویی کنه. همزمان شرکت نوکیا زیمنس که ترکیب بخشی از نوکیا و بخشی از زیمنسه هم اعلام کرده از طریق فروختن بخش‌های مختلفش به شرکت های دیگه (از جمله فروختن بخش اپتیک به یک شرکت آمریکایی)‌ داره تلاش می کنه هزینه‌هاش رو پایین بیاره تا شاید به سود دهی برسه. وضع نوکیا خرابه رفقا…

مارس وان و بیشتر از هزار داوطلب برای ماموریت مرگ مریخ

مارس وان یک پروژه خصوصی است که حالا در هلند به عنوان یک سازمان غیرانتفاعی (واقعی! نه مثل چیزهای غیرانتفاعی که در سرزمین پر از دروغ ما، تمام هدفشون سوده) ثبت شده که هدفش بسیار ساده است: رسوندن انسان به کره مریخ! هیجان انگیزه ولی توجه کنین که هدف «رسوندن» است نه برگردوندن! من تخصص هوافضا و غیره ندارم ولی شکی ندارم که اینکه یک چیزی بسازیم که از اینجا پرتش کنیم به سمت مریخ و برسه به نزدیک مریخ و یک کپسول ازش جدا بشه و یک نفر رو در مریخ پیاده کنه بسیار بسیار بسیار ساده تر از اینه که ازش بخوایم تو مدار مریخ یا سطح مریخ منتظر بمونه، مسافرش رو سوار کنه و بعد برگرده زمین. این دو تا اصلا قابل مقایسه با هم نیستن.

پروژه مارس وان، یک پروژه یک طرفه از زمین به سمت مریخ است و حالا بیشتر از هزار نفر داوطلب شدن که فضانورد این پروژه باشن. در نیمه اول ۲۰۱۳، از بین داوطلب‌ها کسانی که قراره به مریخ بره انتخاب می‌شن. برنامه بلندپروازانه اینه که در ۲۰۲۳ (فقط یازده سال دیگه!) چهار نفر اول به مریخ فرستاده بشن و بعد چهار نفر دیگه هر دو سال یکبار به اونها بپوندن! به قول خارجی‌ها .. هولی شت!

لپ تاپ قدرتمند و لینوکسی دل

دل دوباره یک لپ تاپ خوب با اوبونتو داده. اونها مدتی قبل خبر از پروژه ای به اسم اسپوتنیک داده بودن که توش قرار بود سری‌های اولترابوک محبوب XPS13 رو با لینوکس بدن و حالا که اجرای آزمایشی اون موفق پیش رفته اعلام کردن که اون رو همگانی می کنن: لپ تاپ دل ایکس پی اس ۱۳ دولوپر ادیشن. این لپ تاپ ظریف و زیبا، اینتل i7 یا i5 داره، ۸ گیگ رم و ۲۵۶ گیگ اس اس دی ساتا ۳. قیمت برای دلار ۳۰۰۰ تومنی و حقوق سیصد دلاری بالاست : ۱۵۴۹ دلار. لپ تاپ با اوبونتوی ۱۲.۰۴ ال تی اس داده می‌شه و کنونیکال تلاش کرده تا این نسخه رو کاملا با این سخت افزار سازگار کنه و یک ppa مستقل هم هست که درایورهای صد در صد سازگار با این لپ تاپ توش قرار گرفتن.

در اعماق

نفس‌هاتون در سینه حبس کنین: زیرو دی برای اس اس اچ تک‌تیا

مقاله پر هیجانی در اینترنت می‌چرخه با این عنوان هوشمندانه که «ترینیتی با زیرو دی اس اس اچ کینگ کوپ چه می کرد؟» مقاله به ساکنین ماتریس هشدار می ده که اگر از اس اس اچ تک تیا استفاده می کنن باید بدونن که هکری به اسم کینگ کوپ (که حدس زده می شه اسمش اقای توماس اندرسون باشه) یک زیرو دی معرفی کرده که توش هر یوزر ریموتی می تونه با فرستادن یک ریکوئست USERAUTH CHANGE قبل از پسوردش، دسترسی روت بگیره. تک تیکا هنوز پچی نداده و فقط در سایتش یعنی ssh.com یک راه حل موقت ارائه کرده.

در چین هستین؟ لپ تاپتون رو تنها نذارین

رفتین چین ؟ تاجر هستین؟ تو هتل از کارهای تجاری با لپ تاپ خسته شدین و هوس سر زدن به بار می کنین؟ لپ تاپ روی میزه و شما در رو قفل می کنین و می رین بار؟ خب اشتباه می کنین! درسته که نیم ساعت دیگه که بر می گردین همه چیز ظاهرا عین قبله و به کار ادامه می دین و روزهای بعدی هم خوش و خرم به کارهای تجاریتون می‌رسین ولی واقعیت اینه که شما که توی بار داشتین بییییییییببببببببببببببببب یک کارمند هتل اومده تو، محتویات لپ تاپ شما رو چک کرده و بعد یک جاسوس افزار روش نصب کرده و شما هم هیچ چیزی نفهمیدین. نتیجه؟ حالا چین به تمام اطلاعات تجاری شما، مشخصات مخصولاتتون، قیمت‌هایی که به مشتری‌ها دادین، ارتباطاتتون ، ایمیل‌هاتون و حتی اگر خوش شانس باشه به اطلاعات دولتی‌تون دسترسی داره. حتی اگر هدف بزرگتری باشین ممکنه بعدا که به کشورتون بر می گردین بد افزار رو توی کل شرکت هم پخش کنین و تا ماه‌ها یا سال‌ها کل اطلاعات محرمانه تجاری‌تون رو دو دستی تقدیم دوست و برادر کمونیستتون بکنین. حداقل این ادعایی است که مجله اینفوورد با اشاره به گفته‌های جری ایروین می کنه که عضو پارتنرشیپ امنیت ملی سایبری آمریکاست. اون می گه این اتفاقات در هر کشوری ممکنه بیافته ولی فرقش در چین و روسیه و کشورهای مشابه اینه که توی این کشورها احتمال داره دولت هم از این شکل از دزدی حمایت کنه. ای شایعه سازهای دروغگو! (:

اتاق های عمومی یاهو مسنجر بسته می شه

خبر کوتاه بود و دلشکن: اتاق های عمومی یاهو مسنجر بسته می شن. یاهو مسنجر برای منحرف‌های قدیمی‌ اینترنت و بعضی از منحرف‌های فعلی آشناست: یکسری اتاق که توش ایرانی‌های عزیز تلاش می کنن به غرایزشون پاسخ بدن.. دقیقا هم کسانی که نمی دونن تو اینترنت یکسری منتظر نیستن که با وقیح‌ترین مسیج‌ها، باهاشون دوست بشن. یاهو اعلام کرده این اتاق‌ها رو می‌بنده و احتمالا تنها کسانی که اصولا می‌دونستن که این اتاق‌ها هنوز هم وجود دارن جامعه‌شناس‌های سایبری بودن و یکسری سرگردان (: احتمال داده می شه که دلیل بستن این اتاق‌ها شهرت بدشون باشه که باعث می‌شد خریدار احتمالی مسنجر یاهو (شاید ام اس ان) تو سر مال بزنه! خلاصه اسکرین‌شات‌ها رو بگیرین و مکالمات رو برای تاریخچه اینترنت ایران سیو کنین چون اتاق‌ها از جمعه هفته بعد – چهاردهم دسامبر – به تاریخ می پیوندن.

قاطرهای پول – اینبار تبلیغ رسمی برای قاطرهای آگاه از کارشون

قاطر پول یا money mule یک اصطلاح در دنیای دیجیتاله. اینها کسایی هستن که پول رو جابجا می کنن. البته الزاما هم دیجیتال نیست. فرض کنین شما کلی پول دارین که می خواین وارد آمریکا کنین.. چیکار می کنین؟ تقسیمش می کنین بین یکسری آدم .. اونها از مرز ردش می کنن و توی آمریکا به شما تحویلش می دن. اینجوری پلیس حساس نمی شه، اگر هم یکی گیر بیافته فقط بخشی از پول از دست رفته.. به اینها می گن قاطرهای پول. در دنیای دیجیتال، قاطر پول کسیه که پول رو از کشورش منتقل می کنه به یک کشور دیگه. فرض کنین من با هر شکلی از دزدی، یک میلیون دلار در آمریکا به دست آوردم. این پول لازمه برسه به من که توی مثلا نیجریه یک حساب دارم. اگر خودم پول رو بریزم حتما بلاک می شه و هویت من هم معلوم. پس یک تبلیغ «کار در خانه» می زنم که در ساده ترین حالت می گه «کار شما اینه که هزار دلار به حسابتون می ریزم، بعد شما نهصد و نود دلارش رو به یک حساب که من می گم منتقل می کنین و ده دلار برای خودتون نگه می دارین». کافیه هزار نفر این کار رو با هیجان قبول کنن و توی کمتر از پنج دقیقه، ده دلار کاسب بشن و منم با دادن ده هزار دلار از پولم، نهصد و نود هزار تاش رو بدون دردسر منتقل کنم به کشورم.

حالا این هفته اتفاق جالب این بود که یک شرکت روسی، تبلیغی توی فروم‌های هک زده بود که ارتشی داره از آمریکایی‌هایی که آگاهانه دارن این کار رو می کنن – به عنوان شغل و به بقیه هکرها گفته بود هر کس می خواد پولش رو منتقل کنه، کافیه از این آدم ها استفاده کنه. این آدم ها می دونن دارن چیکار می کنن پس به خاطر مشکوک شدن به شما پیش پلیس نمی رن و کارشون هم به معنی کلی غیرقانونی نیست و پلیس به سختی می تونه جلوشون رو بگیره. تا حالا در دنیای هکرها این شغل معمولا مربوط بوده به دانشجوهای خارجی یا کارگران موقت خارجی که توی آمریکا هستن و این اولین باره که به شکل رسمی یک گروه اعلام کرده ارتشی از قاطرهای پول داره که می تونه اونها رو اجاره بده. قابل توجهه که اصطلاح قاطر پول در ویکپیدیا فقط به سه زبون موجوده: انگلیسی، فنلاندی و فارسی (: احتمالا هموطنان به موضوع علاقمند هستن (:

تبریک ها و تقبیح ها

تبریک می گیم به نسرین ستوده زن ستودنی ایران و تسلیتی بزرگ به همه هموطنانی که در آتشسوزی و زلزله می میرن و تسلیتی به بت سازها که دکونشون پر رونقه ولی پر از دروغ. تسلیت به دولت چین که در ماه گذشته صد نفر تبتی مجبور شدن خودشون رو آتیش بزنن تا شاید جهان دردشون رو ببینه . جا داره به طرفداران کاست هم تسلیت بگیم! سونی در یک خبر جالب اعلام کرد که دیگه کاست پلیر نمی سازه. به عبارت دیگه سونی تا همین الان داشت کاست پلیر می‌ساخت و یکسری می خریدن (: و البته تبریکی هم می گیم به دانشجوهایی که زنده هستن حتی اگر هر سال روزشون به خاطر آلودگی هوا تعطیل باشه. به افتخارشون به افتخار اون دو دانشجوی توده ای و اون یک دانشجوی حزب ملی که در اعتراض به دیدار نیکسون و رابطه با بریتانیا چهار ماه بعد از کودتای ننگین بیست و هشت مرداد علیه دولت ملی مصدق، در دانشگاه کشته شدن. به افتخارشون سه دقیقه سرود روز دانشجو رو گوش می دیم:

بخش آخر

توی بخش آخر یک مهمون عالی داریم (: یکی از مشهورترین و بهترین وبلاگنویس‌های ایران. یک پزشک! مشهور به علیرضا مجیدی – یا برعکس! – در مورد متا دیتا و دستگیری مک آفی برامون توضیحات مفیدی می ده. توضیح لازم اینه که این مطلب چند روز قبل ضبط شده و این روزها ماجرا کمی پیشتر هم رفته. مک آفی الان دستگیر شده و احتمالا با ۶۸ سال سن، حین بازداشت سکته کرده و به بیمارستان برده شده و بعد از ترخیص به کشورش برگردونده می شه تا در ارتباط با قتل همسایه‌اش، محاکمه بشه. من که می گم ادعای تغییر متادیتا الکی بوده و واقعا آقای آنتی ویروس، سوتی داده… به هرحال.. گوش می دیم به علیرضا مجیدی و توضیحات عالیش که به درد مشق‌های ما هم می خوره.

نامه ها

موسیقی

آهنگ hey you از پینک فلوید به پیشنهاد شنونده خوبمون صابر (: شما هم نظرات و آهنگ هاتون رو برای jadijadi@gmail.com بفرستین و شاد و خرم زندگی کنین (:

رادیو گیک شماره ۱۹ – شما امنیت ندارید

شماره نوزدهم – شماره ای پر از رمز و راز و تقریبا همه خبرها مربوط به امنیت. از رازهای جنگ جهانی و فراماسونری قرن هجده تا زیر نظر گرفتن دانش آموزها و زنان عربستان. با رادیو گیک باشیم چون می خوایم به همه نیوزلندی ها اینترنت پر سرعت رایگان بدیم.

رادیویی برای کسانی که تکنولوژی براشون فقط تلاش دائمی برای خوندن و حفظ اینکه فلان مدل فلان چیز فرقش با فلان مدل بهمان چیز چیه و تو بازار چنده و شایعه اینکه قراره کی مدل فلانترش بیاد نیست و ترجیح می‌دن یک پله عمیق تر بشن و تو تقاطع تکنولوژی و جامعه، دغدغه‌های انسانی‌شون رو مطرح کنن. رادیو گیک برای گیک های سرگردان در تقاطع جامعه و تکنولوژی.

[audio:http://jadi.net/audio/jadi-net_radio-geek_019_you-are-not-safe.mp3]

یا از اینجا دانلود کنید یا به احترام آزادی نسخه OGG اون رو دریافت کنین


آرس اس اس رادیو گیک
رادیو گیک در آیتونز

اخبار

شکستن رمز قرن هجدهم و افشای رازهای فراماسونری و اندیشه آزاد

نواه شاخمن مطلب جالبی رو برای وایرد نوشته در مورد شکستن یک رمز ۲۵۰ ساله. این مجموعه نوشته‌های رمزی که به اسم Copiale شناخته می‌شن تقریبا ۷۵۰۰۰ علامت رمزی هستن که روی ۱۰۵ برگ کاغذ نوشته شدن و تخمین زده می شه بین سال‌های ۱۷۶۰ تا ۱۷۸۰ نوشته شده باشن. اولین بار در دهه ۱۹۷۰ آکادمی علوم آلمان روی این رمز کار کرد ولی به نتیجه مهمی نرسید و حالا با همکاری دانشگاه کالیفرنیای جنوبی و کامپیوترهاشون، این رمز که از یک سیستم پیچیده جایگزاری متون آلمانی ایجاد شده بود شکسته شده.

در فرن هجدم چند صد هزار اروپایی عضو انجمن‌های مخفی و اخوت بودن و حدس زده می‌شد این متن یا مربوط به یک سیستم جاسوسی اندیشه آزاد باشه یا توسط گروهی از اعضای انجمن نوشته باشه تا بشه افکار آزاد رو بعد از سرکوب کلیسا حفظ کرد. دلیل وجودی اکثر اینها این بود که کلیسا ازاداندیشی رو محکوم می کرد و مثلا پاپ کلمنت سوم اعلام کرده که هیچ کاتولیکی اجازه نداره عضو انجمن‌های ماسون بشه و تبلیغ می‌شد که انجمن‌ها همجنسگرا هستن یا شیطان رو می‌پرستن.

متن رمزگشایی شده به یک سازمان تندروتر تعلق داشته که علاوه بر ضدیت با کلیسا،‌ تبلیغ می‌کرده که شیطان سه سر باید کشته بشه. شیطانی که انسان رو از آزادی‌های طبیعی‌اش محروم کرده. این نوشته تقریبا سی سال قبل از اعلامیه استقلال آمریکا نوشته شده و احتمالا بر اون زمان یک شورش انقلابی عمده به حساب می‌اومده.

ولی کسی نتونسته کد کبوتر نامه بر جنگ جهانی دوم رو بشکنه

روز جمعه سرویس اطلاعاتی بریتانیا اعلام کرد که احتمالا کسی نخواهد تونست کدی که به پای یک کبوتر نامه‌بر که هفتاد ساله توی بخاری یک خونه مرده رو بشکنه.

کبوتر توسط یک مرد در یک شهر جنوبی انگلیس پید شده که داشت شومینه خونه‌اش رو تعمیر می‌کرد. رمز مجموعه‌ای از ۲۷ گروه پنج حرفی است که به پای یک کبوتر بسته شده بوده و فعلا که رمزشکن‌های بریتانیا نتونستن بازش کنن. سخنگوی سازمان اطلاعات اعلام کرده که بدون داشتن کتابچه کشف رمز و دسترسی به جزییات رمزنگاری، شکستن این رمز غیرممکن خواهد بود. رمز از طرف Sjt W Stot به X02 فرستاده شده و علیرغم اینکه دفترچه‌های رمز باید تا الان نابود شده باشد، دفتر مرکزی ارتباطات دولتی انگلستان امیدواره کشوری یا فردی پا پیش بذاره و اگر با این دو نشونه می‌تونه بگه رمز چی بوده و نسخه‌ای از کتابچه رو هنوز داره، در رمزگشایی این پیام کمک کنه. دفتر مرکزی ارتباطات دولتی که اصلی‌ترین شکستن رمزها در انگلستانه، اعلام کرده که این ناتوانی در باز کردن رمز ادای احترامی است به دانشمندان رمزنگاری که در فشار زمان جنگ، رمزی رو ساختن که برای اون موقع و الان غیرقابل شکستن بوده و هست.

در زمان جنگ دوم کبوترها به کرات برای رسوندن پیام به انگلستان از اروپای مرکزی مورد استفاده بودن چون هم سرعت پروازی برابر ۸۰ کیلومتر بر ساعت داشتن و هم می‌تونستن هزار کیلومتر مسافرت کنن اما خطر اصلی که اونها رو تهدید می‌کرد بازهای گرسنه و سربازهای حوصله سررفته‌ای بودن که هدفشون می‌گرفتن.

توضیح در مورد کد بوک و اینکه چرا شکستنش اینقدر سخته و مثال شایعه الودگی آب در یک شهر برای مطمئن شدن از اینکه اون عبارت یعنی همین شهر.

اگر یونانی هستین احتمالا یکی الان هویتتون رو دزدیده

شما که نیستین ولی من یک دوست یونانی دارم که احتمالا الان هویتش دزدیده شده. ماجرا اینه که یک هکر اطلاعات فردی نه میلیون نفر شهروند یونان رو دزدیده در حالی که کل شهروندان ثبت شده در بانک‌های اطلاعاتی یونان، نه و نه دهم میلیون نفر تخمین زده می‌شن. این هکر احتمالا اطلاعات رو از یک کامپیوتر دولتی برداشته و حالا توسط دولت دستگیر شده. برنامه نویس ۳۵ ساله تلاش می‌کرده اطلاعات حاوی شماره شناسایی، آدرس، شماره مالیاتی و شماره پلاک خودروی نه میلیون نفر رو به فروش برسونه که به دام پلیس افاده. پلیس می گه این احتمال وجود دارد که این فایل پیش از اینهم به افراد دیگه فروخته شده باشه.

شکست باربی در چین

احتمالا اکثر شما یادتون نمی یاد ولی من که بچه بودم جنس ژاپنی به معنی جنس داغون بود. آلمانی و آمریکایی و اینها خوب بودن ولی وقتی یک چیزی ژاپنی بود یعنی «ترانزیستوری» بود و این یعنی داغون بود و یک چیز ارزون بود که چند وقتی کار می کرد و بعد خراب می شد و قابل تعمیر هم نبود. بعله تعجب کنین ولی شما هم چند سال دیگه به جوون ها در مورد چین همین‌ها رو خواهید گفت که یک چیز چینی یعنی داغون بود و یک آدم چینی یعنی فقیر بود. حالا وضع در حال عوض شدنه. چین داره به یک کشور سرمایه‌داری تبدیل می‌شه و مردمش دارن پولدارتر می‌شن و دیگه اصلا عجیب نیست وقتی توی مراکز خرید بزرگ دنیا، چینی‌ها رو می بینین که دارن برای بچه‌هاشون کالسکه‌های گرون می‌خرن یا اگر برین به چین، اصلا عجیب نیست اگر مظاهر سرمایه‌داری غربی مثلا برندهای بزرگ رو ببینین.

در اصل این برندهای در حال رقابت هستن برای گرفتن بازار در یک کشور یک میلیارد و دویست میلیون و خورده‌ای که اون خورده‌ای برابر کل جمعیت ایرانه.

ماتل هم که سازنده باربی است دو سال قبل میلیون‌ها خرج کرد تا یک مغازه شش طبقه در تجاری‌ترین و لوکس‌ترین منطقه شانگهای باز کنه و اگر یکسال پیش به اونجا می‌رفتین می‌تونستین با یک مشاور مد برای باربی‌تون مشورت کنین و براش از خونه تا لباس تا محل کار تا دوست پسر بخرین اما امروز اگر سراغ همون مغازه برین با درهای بسته‌ای مواجه می‌شین که نشان از عدم اقبال چینی‌ها به باربی داره. به گفته کارل گرت نویسنده کتاب «هر جا چین بره، جهان هم می‌ره»، مصرف کننده‌های چینی در حال تغییر همه چیز هستن.

اگر علاقند به مقاله طولانی برسی این جریان هستین لینک مقاله رو – مثل همه مقاله‌های دیگه – می ذارم و بخونینیش ولی خلاصه‌اش اینه که ظاهرا بچه‌های چینی دوست نداشتن مثل باربی سکسی باشن بلکه ترجیح می‌دن کیوت باشن و همینه که چیزی مثل هلو کیتی ژاپنی فروش بسیار بهتری از باربی غربی داره. در ضمن چین یک مصرف کننده صرف نیست و خودش رو باور کرده و علاقمنده که بازار دنیا این رو درک کنه. بر خلاف کشور ما که موقع مصرف با افتخار دوست داریم مثل غربی‌ها بشیم، ظاهرا چینی‌ها دوست دارن چینی بمونن و حرفشون اینه که اگر کسی بازار ۶۶۰ میلیون نفری طبقه متوسط اونها رو می‌خواد، باید خودش رو با اون وفق بده. نمونه خوب استارباکس است که نه فقط قهوه‌هاش رو با سلیقه چین هماهنگ کرده بلکه سعی کرده با فرهنگ محلی هم نزدیک بشه و مثلا برای فستیوال‌های محلی محصولات مرتبط ارائه کنه.

کرمی که ایران رو هدف قرارداده، اینبار به اسم w32.narilam

سیمانتک بازم یک خبر مخصوص ایران داره: دوباره یک ویروس ویندوزی که عملا فقط توی ایران پخش شده. این نسخه جدید ظاهرا امکان بررسی و تغییر بانک‌های اطلاعاتی تجاری و شرکت‌ها رو داره و تقریبا در تنها جایی که پخش شده آمریکا و ایران است و در ایران ده برابر آمریکا. مثل بقیه حمله‌ها، برنامه خودش رو کپی می کنه و بعد رجیستری‌هاش رو اضافه می کنه و از طریق درایوهای بیرونی یا شبکه منتقل می‌شه. زبان هم دلفی است. تا اینجا اتفاقات نسبتا عادی است ولی وقتی شرایط غیرطبیعی می‌شه که این ویروس فقط به دیتابیس‌های مایکروسافت حمله می‌کنه که اسمشون alim، maliran و shahd باشه و دنبال جدول‌هایی مثل «حسابداری، اسناد، ترنس سنج، پس انداز، بانک چک، اند حساب، کالا بای، کالا سیلز و وام قسط می‌گرده. جنبه خرابکاری‌اش هم اینه که در کدش می‌شه دید که مثلا شماره سند رو با یک عدد اتفاقی جایگزین می کنه و بعد عدد اصلی رو پاک می‌کنه. این ویروس هیچ چیز رو نمی‌دزده ولی کار تخریبی انجام می‌ده. سیمانتک می‌گه نود و هفت درصد آلوده شده ها به این ویروس کاربران تجاری هستن و سیمانتک ادعا می کنه که آخرین نسخه آنتی ویروسش این کرم رو تشخیص می ده و پاک می کنه. اگر آلوده شدین امیدوارم بک آپ داشته باشین (:‌ و این ویندوز رو هم همیشه به دیده شک نگاه کنین (: راستی… الزاما این ربطی به جنگ سایبری و غیره نداره و حتی ممکنه ویروس توسط یک ایرانی و توی خود ایران نوشته شده باشه.

کیم دات کام و اینترنت مجانی برای همه نیوزلند

کیم دات کام به خودش می‌گه پادشاه اینترنت. اون سال‌ها سایت مگا‌آپلود رو داشت که بهشت اشتراک گذاری بود تا اینکه یک روز پلیس ضربت با هلیکوپتر و تیم‌های عملیاتی سوات به قصرش توی نیوزلند حمله کردن و نه فقط خودش که تقریبا تمام وسایلش رو هم با خودشون بردن و سایت مگاآپلود هم تعطیل شد. از اون زمان کیم دات کام (که قانونا این اسم رو روی خودش گذاشته) همیشه تیتر اخبار بوده. چه وقتی که یکسری کاربر رندم رو از توی توییتر به پول پارتی‌اش دعوت کرد و چه وقتی که گفت سیاستمدارها فاسد هستن و چه وقتی که گفت مگاآپلود رو با اسم جدیدی راه خواهد انداخت.

اما حرکت جدید حتی از مگاآپلود رمزگذاری شده هم بزرگتره: اینترنت پرسرعت رایگان برای همه نیوزلندی‌ها – و وقتی میگم پرسرعت منظورم اسم‌های بی‌مسما و مهمل اطرافمون نیست بلکه واقعا اینترنت سریع است. اون گفته که پروژه فیبر پاسیفیک رو احیا خواهد و کرد و به همه ساکنان نیوزلند اینترنت مجان یخواهد داد. در ضمن اگر نمی‌دونین نیوزلند کجاست بگم که یک کشور کوچیک کنار استرالیا است و به دو تا چیز مشهور:‌لرد آو د رینگز و بالاترین سرانه گوسفند به آدم در جهان (البته منظور دقیقا حیوون گوسفنده وگرنه کشورهای دیگه هستن که سرانه خیلی خیلی بالاتری دارن).

مشکل این کشور جزیره‌ای اینه که عملا فقط یک کابل اینترنت بهش کشیده شده و نه رقابتی هست و نه اطمینانی به اینکه با قطع یک کابل کل کشور از اینترنت قطع خواهد شد (اونجا اینها مهمه و به همین دلیل هنوز لنگری به کابلشون گیر نکرده). پروژه فیبر پاسیفیک اینه که از دریای پاسیفیک یک کابل ۱۲هزار و ۷۵۰ کیلومتری به کشور بکشن و آلترناتیوی برای کابل قبلی ایجاد کنن. متاسفانه به خاطر کمبود منابع، کشیدن کابل جدید فعلا متوقف شده هرچند که دولت تعهد داره که تا سال ۲۰۱۹ به ۷۵٪ جمعیت اینترنت رایگان ۱۰۰ مگ خواهد داد.

برنامه دات کام اینه که با سرمایه خودش کابل رو بکشه، به نیوزلندی‌ها اینترنت رایگانی که دولت موظفه بده رو بده و بعد پولش رو از دولت بگیره. دات کام حسابی پولداره و معتقده که به زودی در دادگاه می‌تونه به خاطر بسته شدن سایتش – که چهل میلیون دلار پول پهنای باند مصرفی اش بوده و روزی ۲ ترابایت پهنای باند مصرف می کرده – از دولت آمریکا و هالیوود غرامت بسیار سنگینی بگیره. در ضمن توییت دات کام در این مورد با بازخورد بسیار خوبی مواجه شده و یکسری از اعراب پولدار هم گفتن که توی سرمایه‌گذاری شرکت می‌کنن. این سرمایه‌گذاری مشخصا برگشت خیلی خوبی خواهد داشت چون به دلایل مختلف (از هوای خوب که نه طوفانی داره نه چیزی تا انرژی های سبز و پایدار و از همه مهمتر قوانین غیرمحدود کننده) این کشور فقط از راه دیتا سنتر بودن می‌تونه جهش خوبی در اقتصادش ایجاد کنه.

حمله انانیموس به بیش از ۶۵۰ سایت اصطلاحا اسراییلی و پاک کردن دیتابیس‌ها و منتشر کردن ایمیل و پسوردها

این هفته به اصطلاح اسراییل و فلسطین با هم درگیر شدن و همزمان انانیموس یا همون ناشناس اعلام شروع عملیات اسراییل یا همون OpIsrael رو کرد. ابعاد عملیات فقط از روی ادعاهای دو طرف قابل حدسه ولی به هرحال انانیموس می گه که از نیروی دفاع تا سایت رسمی تل آویو رو پایین آورده (با دی داس) و فایل‌هایی رو هم توی اینترنت منتشر کرده که حاوی ایمیل و پسورد کاربران سایت‌های اسراییلی است. البته بگم که اصلا احساس نکنین اسراییل این وسط مظلوم واقع شده یا ضربه سختی خورده. اینطرف دارن آدم می میرن و اونطرف روی سایت‌هاشون نوشته می شه فلان. اسراییل با اختلاف خیلی زیاد غاصبه و شیوه‌اش سرکوب آدم‌ها و از زندگی محروم کردنشون برای بر حق جلوه دادن خودش و راستش رو بخواین چنین خبرهایی اصلا دل من رو خنک نمی کنه بلکه فکر می کنم یکسری آدم نشستن جای امنشون و فکر می کنن در حال مبارزه هستن و نمی فهمن که اگر برن به کسانی که در درگیری ها بیخونه و کشته شدن بگن که «ما کنارتون بودیم و سایت دیفیس می کردیم» احتمالا فقط فحش می شنون که شما غلط می کردین و اگر واقعا می خواین دفاع کنین چرا بدون اسم و یواشکی فحش می نویسین؟ اطلاع رسانی خوبه ولی فرق هست بین کسی که می ره در دل خطر و از حق دفاع می کنه و کسی که ناشناس می شینه از یک جای خیلی امن فحش می ده.

و به عنوان آخرین خبر هم ایده خوب داوود مظفری طراح وب رو داشتیم که عملی‌اش هم کرد: یک نقشه گوگل که توش جاهایی که نذری می‌دن رو تگ کنیم و بگیم چه غذایی می دن که خیل مشتاقان بتونن باهاش به نزدیکترین یا همه قیمه‌ها برسن (: nazri.mozafari.in

در اعماق

هایلایت اخبار: کناره گیری رییس سی.آی.ای

این خبر نسبتا پر سر و صدا شد ولی کسی از جنبه‌های تکنولوژیکش حرف نزد. به هر حال برای آدم های معمولی (با دوستان هکر نیستم!) سکس همیشه جذاب‌تر ازتکنولوژی است و گفتن اینکه رییس ناسا چون معلوم شد با یک زن رابطه داشته استعفا کرده هیجان انگیزتر از ماجرای ایمیلش بود. البته خیلی‌ها می‌پرسیدن «خب داشته که داشته! مگه اونجا جرمه؟»

خب همیشه سعی کردن به ما بگن اونجا همه با همه می خوابن و این خیلی بده در حالی که در واقعیت اینطوری نیست و یک آدم متشخص و معقول که خانواده داره بسیار بده با کسی بخوابه و اینکار به اندازه کافی رسوا کننده هست که طرف از شغلش استعفا بده. درسته که دولت دنبال این نیست که آدم های معمولی با کی رابطه دارن ولی رسانه‌ها هستن که حق دارن آبروی یک آدم بی آبرو رو ببرن.

اما بحث جالب تکنولوژیک چی بود؟ این رییس سیا که داشت با نویسنده زندگی‌نامه‌اش تیک می‌زد (تیک که چه عرض کنم ولی حالا همین رو می‌گیم) به این نتیجه رسیده بود که برای امنیتش کافیه که یک اکانت مشترک با خانمه باز کنن و توش ایمیل‌های قرار رو بنویسن و توی درفت سیوش کنن و بعد نفر بعدی لاگین کنه و از توی درفت اونو بخونه و اینجوری چون ایمیلی فرستاده نمی‌شه، احتمالا کسی هم نمی تونه چیزی رو شنود کنه! این یکی از خنده‌دارترین نظرات ممکن است (: اون ایمیل رو شما خوندین یعنی از گوگل تا کامپیوتر شما اومده. طرف خونده یعنی از گوگل تا کامپیوتر طرف هم رفته و خودش هم روی سرورهای گوگل است! چی امنه این وسط؟!

در ضمن … گفتن اینکه همه خنگن و من خوبم همیشه مسخره است به جز این یک مورد: یعنی تو رییس سیا هستی و نمی دونی وقتی یک خانم ایمیلت رو می خونه سازمان می فهمه؟! فکر می کنی فقط خانمت ممکنه ایمیل‌هات رو بررسی کنه؟ اف بی آی برای خنده است؟

اما جریان چطوری لو رفته. خانم برادول که معشوقه هه بوده، چند نامه تهدید آمیز به یک خانم دیگه فرستاده که اصلا ربطی به این جریان هم نداشته. اون خانم ایمیل‌ها رو برای شکایت به اف بی آی داده و اف بی آی از روی آی پی شروع کرده به زیرنظر گرفتن و تلاش برای پیدا کردن فرستنده. فرستنده از هتل‌های مختلف ایمیل‌ها رو زده بوده و وقتی اف بی آی فهرست مهمان‌های هتل‌ها رو چک می کنه با هم به یک اسم مشترک می‌رسد: خانم برادول. بعد ارتباطات اینترنتی خانم برادول رو زیر نظر می‌گیرن و به این نتیجه می‌رسن که نه فقط فرستنده اون تهدیدهای ایمیلی است بلکه کلی اکانت دیگه هم داره از جمله یک اکانت مشترک با رییس سیا! اون رو زیر نظر می‌گیرن و همه چیز لو می‌ره.

دقت کنین که خوندن ارتباطات اینترنتی شما اصلا کار سختی نیست. از همکار بغل دستی تا کسی که روی همون وایرلس شما لاگین کرده تا مسوول آی تی شرکت تا دولت اگر اخلاق نداشته باشن می تونن نه فقط ایمیل که کلی چیز دیگه شما رو هم بخونن. اینو انگلیسی هم می گم که که رییس سیا هم بشنوه یاد بگیره:
being immoral enough; everyone can read your email if they want (had technical skills or have money to buy technocal skilz). dont trust whatever digital unless you understand it.

عربستان سعودی و اسمس اطلاع به شوهر که زنش داره از کشور خارج می شه

هاها تکنولوژی! زن‌های عربستان سعودی که حق ندارن بدون اجازه شوهر یا پدر سفر کنن و حق رانندگی هم ندارن حالا با سیستم دیگه‌ای هم تحت نظر هستن که در صورت رد شدن از مرز، به شوهرهاشون اسمس می‌زنه! از هفته قبل مردهای سعودی گزارش کردن که اسمس‌هایی می‌گیرن مبنی بر اینکه زن‌های تحت سرپرستی‌شون دارن از مرز رد می‌شن، حتی اگر این دو نفر با همدیگه در حال رد شدن از مرز باشن.

بدریه البشار توی مقاله‌اش ب همردی اشاره می‌کنه که داشته با زنش سفر می‌کرده و توی فرودگاه از اداره مهاجرت اسمسی گرفته که می‌گفته زنش الان فرودگاه بین المللی ریاض رو ترک کرده. البته ظاهرا همزمان در ایران هم قراره زن‌های ۴۰ سال به پایین برای گرفتن پاسپورت نیازمند مجوز قیمشون باشن که ممکنه شوهر، پدر یا اگر اینها نبود، حاکم شرع یا چنین چیزی باشه. سعودی تنها کشوری در جهانه که زن‌ها توش اجازه رانندگی ندارن (اگر براتون جالبه بگم که ما هم تنها کشوری در جهان هستیم که توش حجاب اجباریه (: )). مهرنوش بخون براشون…

خجالت بکشین

ابزار دزدی ایمیل‌های یاهو به قیمت ۷۰۰ دلار

یک هکر مصری ادعا می‌کنه که با بهره گرفتن از یک اکسپلویت زیرو دی (یعنی تازه کشف شده که هنوز کسی ازش خبری نداره) که با کراس سایت اسکریپتینگ می‌تونه کوکی‌های ایمیل یاهو رو بدزده ابزاری نوشته و روی خود یاهو هاست کرده که می‌تونه ایمیل‌های دیگران رو بدزده. اون توی یک فروم مخصوص جرایم سایبری، این ابزارش رو توی یک ویدئو نمایش داده و به قیمت ۷۰۰ دلار می‌فروشه.

حمله مرسوم ایکس اس اس یا همون کراس سایت اسکرپپت این شکلی کار می کنه که حمله کننده یک لینک ظاهرا معمولی برای قربانی می فرسته و وقتی قربانی روش کلیک می کنه به سایتی هدایت می شه که اسکریپتی رو اجرا می کنه که کوکی‌ها یا سشن توکن‌ها یا چیزهای حساس دیگه کاربر رو می خونه و برای حمله کننده می فرسته.

این هکر که اسمش TheHell است، می‌گه چنین ابزاری که اون ساخته و روی همه براوزرها کار می کنه در دنیای هکرها هزار تا هزار و پونصد دلار قیمت داره ولی اون فقط هفتصد دلار برای این برنامه می خواد و اونو فقط هم به کسان مطمئن می‌فروشه تا یاهو بهش دسترسی پیدا نکنه و مشکل امنیتی رو برطرف نکنه. مدیر امنیت یاهو گفته که رفع کردن چنین مشکلاتی ساده است و اگر یاهو متوجه بشه که مشکل از کدوم یو آر ال می‌یاد، در چند ساعت خواهد تونست اونو برطرف کنه.

بنا به گفته پروژه متن باز امنیت برنامه‌های وب حملات ایکس اس اس می‌تونن دو شکل داشته باشن، حمله‌های ذخیره شده (stored) و حمله‌های reflected. حمله‌های ذخیره شده خطرناکتر هستن چون کد حمله کننده روی سایت میزان موندگاره مثلا روی دیتابیس‌ها، فرم‌ها و چنین چیزهایی. کد مورد بحث در این خبر از همین نوع است.

چنین حمله‌هایی یادآور این هستن که ما نباید روی هیچ لینکی که منتظرش نیستیم کلیک کنیم .

دانش‌آموزی که به خاطر نپوشیدن ردیاب RFID از مدرسه محروم شد

یک دانش‌آموز در تگزاش به این خاطر که حاضر نشده بود چیپ آر اف آی دی ردیاب مدرسه رو به خودش وصل کنه، از مدرسه محروم شد. البته طبق آخرین خبر، قاضی محلی این محرومیت رو فعلا لغو کرده و گفته تا هفته بعد که دقیقتر به مساله رسیدگی می‌شه، این دانش‌آموز حق داره به سر کلاسش بره.

این مدرسه از اولین سال تحصیلی جدید، کارت‌هایی رو به دانش‌اموزها داده بود که روشون یک بار کد و یک چیپ قابل خوندن رادیویی نصب شده بود که به شماره دانش‌اموزی و شماره تامین اجتماعی هر فرد متصل بود و می‌تونست حرکت دانش‌اموزها از لحظه ورود به محوطه مدرسه تا خروج اونها رو زیر نظر بگیره.

این دانش آموز دختر به اسم آندره‌آ هرناندز از طرف مدرسه اخطاری دریافت می کنه که اگر کارت رو به دور گردنش نندازه حق نداره وارد مدرسه بشه و اونهم می گه حاضر به اینکار نیست. اون گفته که اینکار با پرایوسی / حق خلوت و همینطور عقاید دینی‌اش تضاد داره.

خانواده دانش آموز می‌گن که دختر مسیحی‌شون حاضر نیست این تگ رو داشته باشن و استناد می کنن به کتاب مکاشفه یوحنا آیه‌های ۱۶ و ۱۷ که می‌گه «به تمام مردم – بزرگ و کوچک، پولدار و فقیر، آزاد و برنده – اجبار خواهد شد که علامتی بر دست راست یا پیشانی داشته باشند. آن‌ها بدون این علامت نخواهند توانست چیزی بخرند یا بفروشند. این علامت نام شیطان یا عدد نامش است». فکر نمی کردین ها (: در ضمن این همون عدد ۶۶۶ مشهوره (:

و در اعماق رو تموم می کنیم با یک مطلب جالب که از نظر فنی و غیره در اعماق نیست ولی یک هک است از دنیا و من دوسش داشتم. چیزی که بهش می گیم Speed Show. یک جور نمایشگاه شخصی سریع. همه هنرمندها دوست دارن یک نمایشگاه بذارن ولی امکانش معمولا نیست. حالا با اسپید شو، همه می تونن حداقل آثار دیجیتالیشون رو در یک نمایشگاه نشون بدن. برای اسپید شو شما به یک اینترنت کافه می‌رین، کل کامپیوترها رو برای مثلا دو یا چهار ساعت اجاره می کنین و بعد به دوستان و جامعه هنری می‌گین تو آدرس اینترنت کافه نمایشگاهتون برقراره. این یک اسپید شو است چون کافیه نیم ساعت قبل از شروع برنامه به اونجا برین و در عرض چند دقیقه همه هوم پیج‌ها رو به وبسایتی تنظیم کنین که آثارتون اونجاست (ممکنه ویدئو یا تصویر یا هر شکل دیگه از آثار هنری دیجیتالی باشه) و بعد درست مثل یک نمایشگاه آدم ها بیان و بتونن مانیتورها رو نگاه کنن یا باهاشون اینترکت داشته باشن. این یک هک است چون چیزی در دنیا رو گرفتین و کاربرد جدیدی براشون درست کردین که اتفاقا خیلی هم به نظر بقیه جالب بوده و کارش گرفته. در ضمن یک جور متانمایشگاه هم هست چون آدم‌ها رو دعوت کردین به فضایی که دیگه با بودن انواع تلفن هوشمند و لپ تاپ و وایرلس در همه جا، در حال مردن است و احتمالا فقط چند توریست سرگردون یا گیمرهای خیلی جدی بهش سر می زنن. خلاصه اگر اسپید شو برگزار کردین، ما رو هم دعوت کنین (:

بخش آخر

اینگرس

تبریک ها و تقبیح ها

تبریک می گیم به علیرضا بابایی که تونسته عنوان Xda Recognized Developer رو به دست بیاره. این عنوان یعنی یک نفر مدت ها در جاهایی مثل xda developers کارهای مفید و لبه تکنولوژی انجام داده و به مجوزهای اوپن سورس و قوانین حقوقی وفادار بوده و دائما هم داره خودش رو پیشرفت می ده. ایول به علیرضا بابایی که حالا این عنوان رو داره.

و پا می شیم به افتخار زنانی که توی زندان اوین انسانانه ایستادن و به نسرین ستوده و بهمن امویی که انسانن.

و مثل هیشه تقبیح برای به اصطلاح اسراییل و هر کشور دیگه که شیوه اش برای باقی موندن قتل عام انسان‌هاست.

تشکری هم داریم از امیر.اچ که روی OpenNIC برامون یک آدرس باحال ساخته: http://ra.dio.geek که می ره به فهرست پادکست ها (:

و یاد آوری می کنیم که روز ضبط این برنامه، ۲۵ نوامبر روز جهانی مبارزه علیه خشونت علیه زنانه. خشونت فقط این نیست که کتک بزنن. خشونت متلکه. خشونت نگاه استرس زا است خشونت تحقیره و خشونت .. متاسفم.. خشونت من و توایم که فکر می کنیم چون مردیم و کسی زنه حق داریم به خاطر جنسیتش رفتار خاصی رو باهاش بکنیم. یادتون باشه کسی از تحقیر خوشش نمی یاد. ۲۵ نوامبر روزیه که یادمون بزنیم انسان، انسانه.

نامه ها

محمد برامون نوشته:

سلام جادی عزیز؛ امیدوارم حالت خوب باشه و ایام به کامت؛
متنی که پایین نوشتم برام امروز اتفاق افتاد. ممنون میشم در وبلاگت بذاری تا بقیه دوستان هم استفاده بکنند.
امروز واسه یه سری کارها رفته بودم بیرون. خواستم برم رمز اینترنت بانکم رو که فراموش کرده بودم رو ریست کنم، که دیدم با خودم کارت شناسایی ندارم. این بانکی که من توش حساب دارم لینکی نداره که در صورت فراموش کردن رمز بشه از طریق اینترنتی رمز رو به آدم بگه(احتمالا به دلایل امنیتی!).
احتمال نمیدادم بدون کارت شناسایی بهم رمز رو بگن.ولی گفتم یه امتحانی بکنم. خلاصه رفتم بانک و از کارمند بانک رمزم رو خواستم.( این رو هم بگم که این بانک یه باجه و یه کارمند مخصوص برای اینترنت بانک و اس ام اس بانک و افتتاح حساب و از این جور کارها داره). بهم یه فرم داد و گفت پرش کن. فرم رو پر کردم و تحویلش دادم. ازم شماره مشتری که یکی از فیلدهای فرم بود رو پرسید. گفتم شماره مشتری رودقیقا نمیدونم، ولی فکر کنم از شماره فلان تا یکی مونده به آخره کارته و کارت رو نشونش دادم. گفت آره شماره XXXX هست. بدون اینکه ازم کارت شناسایی بخواد رمز جدید رو چاپ کرد و بعد از چاپ کردن ازم کارت شناسایی خواست. بهش گفتم کارت شناسایی همرام نیست، ولی میتونم کد ملی‌م رو بهتون بگم. جالبه حتی کد ملی رو هم نخواست و رمز رو بهم تحویل داد!
نتیجه اینکه اگه شما کارت بانکیتون رو گم کنید و یکی دیگه پیداش کنه و … باقی داستان رو بهتر از من میدونید!

موسیقی

آهنگ آمستردام از فرجام

قطع دسترسی اپلیکیشن‌های ناشناسی به اکانت توییتر

گاهی پیش می یاد که می بینیم یکسری پست غیرعادی که ما ننوشتیم (معمولا هم تبلیغاتی) از طرف ما توی توییتر یا فیسبوک یا غیره پست می شن. کاملا درسته. کاملا ممکنه که چیزی که من ننوشتم روی فید من بیاد اما دلیلش اینه که قبلا به یکی دیگه اجازه دادم از طرف من چیز پست کنه. مثلا توی توییتر ممکنه من اجازه داده باشم که یک برنامه، سایت، اپلیکیشن یا هر چی به شناسه من دسترسی داشته باشه. اینکار بخصوص وقتی اتفاق می افته که من بدون اینکه پیام ها رو بخونم یا بفهمم، روی همه چیز اوکی می کنم تا به چیزی که دوست دارم برسم.

مثلا برام هیجان داره که یک عکس اتفاقی بهم نشون داده بشه که زیرش نوشته باشه «عکس بچه تو این شکلی است» یا «دوست پسر آینده ات این شکلی است» یا «به فلان دلیل خواهی مرد» و دیگه نگاه نمی کنم که اون برنامه «بامزه» می تونه از طرف من برای دوستام پیام بفرسته، عکس های من رو کپی کنه برای یک نفر دیگه و فلان و فلان.

همیشه خوبه ما نگاهی بندازیم به برنامه هایی که احتمالا بدون اینکه متوجه بشیم بهشون دسترسی پست کردن توی جاهای مختلف دادیم و حذفشون کنیم. مثلا توی توییتر باید اول بریم در بخش تنظیمات:

و اونجا از سمت چپ بریم در بخش Applicationsها و فهرست رو بررسی کنیم:

اینها برنامه هایی هستن که از طرف من اجازه پیدا کردن به اکانت توییتر من دسترسی داشته باشن. هر کدوم رو که نشناسم یا حتی بشناسم ولی حس کنم که نیازی نیست از طرف من توییت کنه (مثلا فیسبوک و در نتیجه هر چیزی که اونجا دسترسی داره) رو با فشار دادن revoke access حذف می کنم و حالا دیگه چیزهای بی ربط حق ندارن روی توییتر من چیزی پست کنن (:

یک فرصت خوب: سایت درس نامه

سایت درسنامه رو از خیلی وقت پیش می شناختم و توی اخبار هم زیاد می دیدمش ولی هیچ وقت چیزی اش رو تست نکرده بودم تا عنوان جذاب «امنیت در وبلاگنویسی» که به نظرم به اندازه کافی برای تست کردن سیستمشون جذاب بود. به سادگی با فرستادن یک ایمیل عضو شدم و بنا به یک برنامه زمانی مشخص برام درس ها رو ایمیل می کرد، می خوندم، تست هاش رو می زدم و اگر قبول می شدم می رفتم درس بعدی و در نهایت هم به مدرک قبولی داد.

به نظرم هم ایده اش عالیه و هم اجراش عالی. شما به سادگی با یک ایمیل در یکی از کلاس های گسترده اش ثبت نام می کنین و بعد توی یک برنامه زمانی که از نظر من خیلی جذاب و خوب بود درس ها و حتی تست ها رو به شکل ایمیل دریافت می کنین و کلاس به کلاس پیش می رین تا یک مدرک قشنگ بگیرین.

من دوره های مختلفش رو نگذروندم ولی دوره تستی که گذروندم بسیار با کیفیت و خوب بود. شدیدا پیشنهادش می کنم به هر کس که دوست داره در حوزه های جدید چیز یاد بگیره و خیلی خوشحالم که قرص و محکم و شاد داره کار می کنه.

یک توصیه جدی ام هم اینه که دوستان دوره جدید تک شو حتما نگاهش کنن. توی این برنامه بعد از اینکه چند دقیقه توضیح می ده که چطوری باید سایت درست کرد و تشریح می کنه که فایلی که در صفحه می بینین رو باید با یک برنامه ادیت متن مثلا ورد آفیس ادیت کنین، می گه از تمپلیت های رایگان استفاده نکنین چون حاوی ویروس هستن (: .

دقیق ترین و کامل ترین آموزش هک کلاه سیاه: نفوذ به سرورها

اگر مطلب اخیر من در نارنجی در مورد هکرها و کلاه هاشون رو خونده باشین می دونین که ما اقسام و انواع هکر داریم. اصولا که هکر معنی ای بسیار فراتر از کامپیوتر داره ولی در بحث امنیت کامپیوتر هم اطلاق «هکر» فقط به کسی که پسورد می دزده و به سرورها نفوذ می کنه اشتباه اما به هرحال.. خیلی ها هستن که دوست دارن «هکر» بشن و به سرورهای بقیه نفوذ کنن و من اینجا هستم که این رو به شما آموزش بدم. شاید براتون جالب باشه ولی کل این آموزش یک خطه:

بهترین و تنها روش نفوذ به سرور:
یک مشکل امنیتی پیدا کنین و از اون طریق داخل بشین

خسته نباشین مطلب تموم شد (:

البته اگر بازم سوال دارین در خدمتتون هستم.

مشکل امنیتی رو از کجا پیدا کنیم؟

اول بگم که مشکلات امنیتی رو توی کتاب ها ننوشتن و توی کلاس ها هم درس نمی دن. اگر واقعا هدفتون نفوذ به یک سرور است باید باهوش تر / با تجربه تر از این باشین که فکر کنین واقعا یک راهی برای نفوذ به سرورها هست که قبلا استفاده شده و توی یک کتاب هم نوشتنش و بعد هیچ کس هم به نویسنده اون برنامه نگفته و حالا یکی تو کلاسی توی ایران از شما پول می گیره که اونو به شما یاد بده یا مثلا یک نفر دیگه اونو توی یک کتاب نوشته (و شاید یکی دیگه اون کتاب رو ترجمه کرده)‌ و شما شانس آوردین که قبل از صاحب سرور/برنامه این کتاب رو خوندین و می تونین از طریقش به جایی نفوذ کنین.

شما یا باید به اندازه کافی حرفه ای / باهوش / پر تلاش باشین تا خودتون مشکلی رو کشف کنین که قبلا هیچ کس کشف نکرده و در نتیجه حل هم نشده و از طریقش می شه به یک سرور نفوذ کرد. در صورتی که واقعا چنین کشفی کردین پیشنهادم اینه که اونو به شکل یک مقاله معتبر توی یک کنفرانس معتبر ارائه بدین و تا آخر عمر به عنوان یک متخصص امنیت و هکر معتبر شناخته بشین و نه یک نفر که گوشه خونه اش نشسته دلش خوشه که به یک سرور نفوذ کرده یا یک نفر که گوشه زندان داره عمرش رو تلف می کنه.

یک راه میانه هم هست: مشکلات قدیمی که حالا حل شدن رو یاد بگیرین و دنبال سایت هایی بگردین که مدیر سیستم های تنبلی دارن که این مشکلات رو حل نکردن یا برنامه نویس های بی سواد، سمبل کن و تنبلی که اون مشکلات رو توی برنامه هاشون تکرار کردن و بعد اگر به چنین مواردی برخوردین اون سایت رو هک کنین. با اینکار تبدیل می شین به یک بچه اسکریپتی که کارش استفاده از نتیجه کار بقیه است و اجرای برنامه های «هک» (: اوه.. در این موارد معمولا خودتون قربانی کسی هستین که برنامه هک کننده ای که شما باهاش سایت های آپدیت نشده و قدیمی رو «هک» می کنید رو نوشته.

توش پول هست؟

نه. توی نفوذ به سرور پول چندانی نیست. حتی شغل «متخصص امنیت / تست نفوذ / ….» هم پول خیلی زیادی نداره در مقابل زحمت و بازار سختش. قصه هایی مثل اینکه فلان شهر همه از دزدی کارت اعتباری پولدار شدن و فلانی کارش نفوذ به سرور و فروش اطلاعات است و فلان فروم مخفی که توش اکانت بانک مردم معامله می شه رو جدی نگیرین. چنین اطلاعاتی لو می رن و فروش هم می رن اما سود نهایی بسیار کمه چون مقدار پول در جهان ثابته و انواع و اقسام سیستم ها هستن برای پیگیری چنین موضوعاتی. اگر کسی پول زیادی به دست بیاره معنی اش اینه که کسی پول زیادی از دست داده (یا کسان زیادی هر کدوم پول کمی از دست دادن) و سیستم های کامپیوتری دائما مشغول بررسی این موارد هستن و تشخیصشون می دن و از روی لاگ ها به راحتی قابل ردیابی است.

چجوری گوگل / یاهو / … رو هک کنم؟

اینکار در عمل غیر ممکنه. این سیستم ها بسیار پیشرفته هستن با کلی کارمند برای مقابله با هک شدن. کاری که می تونین بکنین اینه که یک صفحه شبیه صفحه گوگل درست کنین و برای دوستاتون لینکش رو بفرستین تا توشون لاگین کنه و شما پسوردش رو بدزدین. یا اینکه ازشون بخواین رو کامپیوتر شما لاگین کنن و پسوردشون رو ذخیره کنین و اینجور کارهای غیرشرافتمندانه اما اگر بحث کار فنی است، روی اینجور سایت ها حساب باز نکنین (:

پس من چیکار کنم؟

قدم به قدم جلو برین و چیز یاد بگیرین. آدم معتبری بشین و کارهای خوب بکنین. ادعای «من هکرم» برای دوستانی که از این چیزها سر در نمی یارن ممکنه شما رو باحال جلوه بده ولی در طولانی مدت دچار پدیده ای می شین که من بهش می گم «از خود جلو افتادن». همون مشکل کلاسیکی که توش شما تظاهر می کنین به کردن کارهایی که از سطح خودتون بالاتره و این باعث می شه هیچ وقت جرات نکنین یکبار دیگه از پایه شروع کنین و پیش برین. مجبورین دائما بگین «اینو بلدم» و این خطرناک ترین چیز برای چیز یاد گرفتن است. از کاری که می کنین لذت ببرین و قدم به قدم توش پیش برین (: بقیه رو هم کپی نکنین چون به اندازه کافی «بقیه» داریم (:

بسیار مرتبط: مقاله چگونه هکر شویم یک هکر واقعی (اریک ریموند) رو بخونین

اگر سوال دیگه ای هست که جا افتاده تو کامنت ها بگین که جواب بدم (:

نقدی بر برنامه بی بی سی در مورد جریان انتشار پسورد سه میلیون کارت

این مطلب ، یکطرفه و نسبتا تند است. یک مطلب عادلانه نیست. من اینجا قاضی نیستم و نمی خواهم هم باشم. برای نقد موضع مخالف را گرفته ام و نقد کرده ام. گفتن اشکالات در کامنت ها برای متعادل شدن بحث خوب است ولی در کل این مطلب قرار نبوده قضاوت کند بلکه تلاشی است برای دیدن موضع مخالفی که در برنامه بی بی سی غایب بود

دیشب برنامه شصت دقیقه بی بی سی فارسی به سراغ آقای خسرو زارع پر سر و صدا رفت و چند دقیقه ای باهاش حرف زد. اینکه به سرعت طرف رو پیدا کردن و آوردن برنامه به عنوان یک کار خبری خوب بوده ولی از بی بی سی انتظاری خیلی بیشتر می‌رفت.

آقای زارع با افتخار توی برنامه نشست و صحبت کرد بدون اینکه از سابقه کارش حرفی زده بشه یا بعدش یک کارشناس امنیت نظر بده در مورد حرف هاش. بذارین قبل از بررسی کار بی بی سی خود جریان رو مرور کنیم:

  • آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است. درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.
  • آقای زارع توی وبلاگش می گه که با این اطلاعات به سراغ مسوولین بانک ها رفته و درخواست کرده که به ازای هر پسورد که بهشون بده بهش پول بدن. اونها گفتن که اینکار رو قبول ندارن ولی حاضرن در مقابل نشون دادن محل نشت اطلاعات هزینه کنن. معامله صورت نگرفته و آقای زارع چاره رو در این دیده که از کشور خارج بشه و اطلاعات رو منتشر کنه. آیا اگر بهش پول می دادن الان با همون دسترسی که داشت بر اساس نیاز مالی هر روزش یکسری پسورد می داد و پولشون رو می گرفت و زندگی ادامه پیدا می کرد؟
  • چیزی که من از صحبت ها و شنیده ها درک کردم این بود که پسوردها از از یک بانک اطلاعاتی که افراد مختلفی بهش دسترسی دارن درز می کنه. قبول نکردن پیشنهاد نفوذ اخلاقی به بانک و نشون دادن محل نشت پسوردها و در مقابل درخواست پول در مقابل پسوردهای کارت ها این حدس رو تقویت می کنه. به هرحال این حدس ممکنه درست نباشه ولی اگر درست باشه معنی اش اینه که شرکت مورد نظر کاملا مبتنی بر اعتماد به افراد و مشاوران کار می کنه. این کاملا اشتباهه ولی کسانی که به این بانک اطلاعاتی دسترسی دارن و اطلاعاتش رو کپی می کنن هم کارشون شدیدا غیراخلاقی است، بخصوص اگر شروع کنن به خاطر داشتنش درخواست پول بدن
  • آقای زارع می گه پسورد رو بین ده رقم دیگه مخفی کرده و در پسورد قابل استفاده نیست. این کاملا اشتباهه. پایینتر در این مورد حرف می زنم. به نظر من اینکار شدیدا تجاوز است به حریم خصوصی افراد.
  • ایشون بعد از اینکه با مدیر شرکت به مشکل برخورده و نتونسته از بانک ها هم به خاطر هر پسوردی که داره پول بگیره به خارج رفته و پسوردها رو لو داد و مدعی شده که باید مجامع جهانی ازش حمایت کنن یا مردم بهش کمک مالی کنن؟!! حمایت از کی؟ کسی که پسوردهایی که بهشون دسترسی داشته رو یکضرب منتشر کرده روی وب ؟ اینکار در قانون ایران و هر جایی از دنیا که قانونی مربوط به حفاظت اطلاعات، حریم خصوصی، نفوذ به اطلاعات غیر مجاز، انتشار اطلاعات محرمانه و … داشته باشه جرمه و جرم سنگینی هم هست. نظر شخصی ام اینه که هر قاضی ای حکم خواهد داد که این آدم رو به ایران پس بدن. از این جریان ناراحت می شم چون می دونم تو ایران عادلانه باهاش رفتار نمی شه.
  • حرکت بی بی سی در بعد از مصاحبه با آقای زارع بسیار ضعیف بود. کسی که به وضوح مجرم است نباید بیاد توی تلویزیوین یک خبرگزاری و یکطرفه حرف بزنه و بعدش هم یک نفر در این مورد صحبت کنه که چقدر مهم است که پسوردها رو عوض کنیم هر چند وقت یکبار و توصیه های عمومی امنیتی بکنه – این توصیه ها بسیار لازمن و خوب بود همراه این خبر می بودن ولی به شرطی که یک منتقد یا متخصص هم در بعد از توضیحات یکطرفه و گمراه کننده آقای زارع، صحبت می کرد. من از رسانه و قواعد آوردن آدم ها توش سر در نمی یارم ولی به سادگی می فهمم که اگر به خاطر ابعاد خبر و نزدیکی اش به تک تک ما ایرانی ها این آدم لازم بود بیاد تو تلویزیون، بعدش باید یک متخصص امنیت یا یک نفر که حقوق سایبری بدونه میومد و صحبت می کرد و نظرات مخالف رو هم می گفت. الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست. پایینتر حرف می زنم.
  • آقای زارع خودش مسوول این برنامه بوده! اگر هم مشکلی هست مستقیم باید به خودش برگرده! این رو چرا کسی نمی گه؟ درسته که توی شرکت مدعی مشکلات متنوع و عدم همکاری و فساد و غیره است ولی مثل اینه که من کلیدساز باشم و بعد که کل کلیدهای شهر رو نصب کردم بگم «این قفل ها به یک روشی که من می دونم قابل باز شدن هست دوستان» و ادعا کنم که همه باید با من مهربون باشن و بهم باج بدن تا نرم از خونه شون دزدی و در ضمن رییس قبلی من هم خیلی آدم بدیه

اما گفته بودم یکی دو تا از نکات رو کاملتر توضیح می دم… اول اینکه آیا این آدم حریم خصوصی افراد رو نقض کرده و‌آیا این اطلاعات منتشر شده قابل استفاده و دوم صحبت در مورد خیرخواه بودن این آدم.

حریم خصوصی آدم ها توسط این آدم نقض شده

پسوردها قابل پیدا کردن هستن. این «متخصص آی تی» باید قبل از انجام چنین کار بزرگی به این فکر می کرد که داره یک پسورد چهار رقمی رو بدون فاصله انداختن بین عددهاش «لای» یک عدد ده رقمی «مخفی» می کنه. یعنی چی؟ یعنی مثلا اگر پسورد من باشه 1111 اون به شکلی مخفی نوشته 5555511115555. درسته که الان من و شما راحت می بینیمش ولی اگر کسی ندونه چی؟ خب اگر کسی پسورد دقیق رو ندونه به راحتی می دونه که پسورد من هست 5555 یا 5551 یا 5511 یا 5111 یا 1111 یا 1115 یا 1155 یا … و ده حالت بیشتر نداره! یعنی احتمال درست بودن اولین حدس ۱۰٪ است و چون طرف سه تا حدس می تونه بزنه احتمال درست بودن یکی از حدس ها (با ضریب اشتباهی کوچیک) ۳۰٪ است. به عبارت دیگه یک دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره. دقت کنین که دزد روی شما تمرکز نکرده که حتما از کارت شما پول برداره بلکه کارت های مختلف رو امتحان می کنه و طبق محاسبات بالا از نظر آماری می تونه از یک سوم این کارت ها (سی درصدشون) یعنی تقریبا از یک میلیون کارت پول برداره.

این محاسبه فقط جنبه آماری داره. مطمئنا جلوی اینکار همین الان گرفته شده. شماره کارت من بین این کارت ها نبود ولی اگر هم بود امکان عوض کردن پسورد رو الان نداشتم و به هیچ وجه هم نگرانش نبودم چون می دونستم در عمل اتفاقی نمی افته. این بحث فقط به این سمته که این روش «مخفی کردن رمز چهار رقمی در یک عدد چهارده رقمی» بسیار بچه گونه است. قول هم می دم اگر این بخش رو یک متخصص آمار بازنویسی کنه فقط با داشتن چند پارامتر کوچیک مثل احتمال استفاده بیشتر از یک رقم خاص در پسورد (پسورد شما توش شش یا دو داره؟ (; )) می تونست احتمال حدس درست عدد پسورد در یک عدد چهارده رقمی رو بالاتر هم ببره.

در ضمن ! بحث فقط بانک نیست. آدم ها معمولا پسوردهای ثابت دارن. الان شماره گاوصندوق اتاق هتل من با شماره کارت بانکی ام یکیه و این آدم ممکن بود شماره گاوصندوق بانک من رو هم منتشر کرده باشه. همینطور رمز ورودم به داخل ساختمون شرکت رو. این آدم بدون شک حریم خصوصی آدم های زیادی رو نقض کرده. من کماکان برای کارش خطر اقتصادی فیزیکی قایل نیستم (سلب امنیت روانی و ایجاد استرس و احساس عدم امنیت و غیره به کنار.. منظورم اینه که حس نمی کنم الان ممکنه کسی که قبلا اینکار رو نمی کرده از حساب کسی پول برداره با این اطلاعات) ولی معتقدم این آدم با اینکار حریم خصوصی انسان ها رو نقض کرده

این آٔدم خیرخواه نیست – هکر هم نیست

هکر برای ما واژه مهمیه. رسانه ها به کسی می گن هکر که وارد سیستم های مردم بشه ولی ما به کسی می گیم هکر که دنیا و چیزهای توش رو عمیق تر از بقیه ببینه – مثل ماتریکس. این آدم هکر نیست و چیزی هم این وسط هک نشد. این آدم مسوول نوشتن یک نرم افزار بوده و الان می گه که اون نرم افزار مشکل امنیتی داره و من پسوردهای شما رو کپی کردم بردم پیش بانک ها و گفتم به ازای هر دونه اش باید بهم پول بدن و اونها گفتن نه و حالا من رفتم خارج و اینها رو منتشر کردم.

اینکار برای من شبیه انتقام گیریه و بدون شک جرم. درخواست هایی مثل «درخواست از سازمان های جهانی و حقوق بشر برای حفاظت از من» یا حتی درخواست مسخره تر از مردم برای کمک مالی فقط و فقط معنی همون توهمی رو می دم که وقتی کسی یک قاضی رو ترور کرد فکر کرد بعدش باید بره خارج خودش رو به سفارت آمریکا معرفی کنه تا اونها بهش پناهندگی سیاسی بدن. قتل جرمه و مجرم به کشوری که توش جرم انجام داده تحویل می شه. اینکار هم جرمه و هیچ ربطی به حقوق بشر نداره. به اون سناریو فکر کنین که بانک ها به اون پیشنهاد آقای زارع مبنی بر اینکه در مقابل هر پسوردی که نشون بده بهش پول بدن عمل می کردن تا بدونین چقدر خیرخواهی توی اینکار هست.

از طرفی حتی اگر ایشون می خواست اینکار اشتباه رو بکنه می تونست بسیار با احتیاط تر و اخلاقی تر و کم ضربه زننده تر ثابت کنه که این اطلاعات رو داره. مثلا می تونست به جای اون روش بچگونه مخفی کردن یک عدد چهار رقمی لای ده رقم اضافی که ۳۰٪ احتمال حدس درست رو به هر کسی می ده (که روی سه میلیون شماره می شه حدس درست پسورد یک میلیون کارت) اینکار رو بکنه که هر کارت رو فقط با دو رقم اول پسوردش منتشر کنه. اینطوری دارنده کارت و مسوول بانک مطمئن می شدن که طرف پسورد رو داره (چون مثلا می دونه کارت من به شماره X پسوردش با 84 شروع می شه) و احتمال حدس صمیم توسط یک هکر رو هم ده برابر کمتر می کرد (در حد سه درصد بعد از سه تلاش). در عین حال این آدم اگر نیازمند توجه بود می تونست هر جمعه، مثلا صد هزار کارت رو منتشر کنه (با گفتن تنها دو رقم اول پین کد) و اینجوری هر هفته کلی آدم رو بکشه به وبسایتش و هر لحظه که توجه کافی بهش شد و به نتیجه دلخواهش (مثلا رفتن آبروی فلان شرکت یا اومدن مسوولین به میز مذاکره یا حمایت سازمان های حقوق بشری ازش یا هر چی) رسید کار رو متوقف کنه.

پس این آدم از نظر من به هیچ وجه خیرخواه نیست. بنا به گفته های خودش بعد از اینکه با شرکتش به مشکل برخورده ، اول سعی کرده از شرکت صاحبکارش که دسترسی به این اطلاعات رو از اون طریق داشته و بعد بانک ها که می تونستن متضرر بشن پول بگیره و وقتی پول ندادن با نقض حریم خصوصی دارنده سه میلیون کارت و افشای اطلاعات محرمانه سعی کرده ضربه محکمی بزنه.

جمع بندی

این رو نوشتم که بگم کار بی بی سی به نظرم حرفه ای نبود. باید از دیدگاه مقابل هم کسی می بود برای حرف زدن و باید به گذشته و پروسه رسیدن این جریان به اینجا هم توجه می کردن. به نظر من این آدم آدمی می یاد که به خاطر شغلش به اطلاعات مهمی دسترسی داشته – که دیگران هم داشتن و اون از این ناراحت بوده – و در لحظه ای فکر کرده می تونه پولدار بشه ولی بانک فقط قبول کرده در مقال نشون دادن دقیق محل مشکل پول بده و نه به ازای هر پسورد هر کارت و این معامله سر نگرفته. بعد این آدم سعی کرده ضربه ای کاری بزنه و به اشتباه ترین وجه ممکن حریم خصصوی یکسری آدم رو نقض کرده بدون اینکه واقعا بهش نیازی باشه. دیشب هم بی بی سی به خاطر خبر بزرگ و هیجان مصاحبه مستقیم با کسی که همه ایران دارن بهش نگاه می کنن به سراغش رفته بدون اینکه دقت کنه باید نظر مقابل و انگیزه طرف رو هم در این جریان لحاظ کنه. درسته که زارع توی برنامه کراوات زده بود و سنش بالا بود و سعی کرد از کسی اسم نبره و خودش رو خیرخواه مردم نشون بده ولی با استدلال های بالا این حداقل برای من شدیدا مورد شکه و خیلی خوب بود اگر بی بی سی بعدش به جای صحبت در مورد اینکه پوز چیه و چقدر عوض کردن پسورد کارت مهمه به سراغ این می رفت که یک نفر این جریان رو نقد کنه تا اعتبار خبری حرفه ای اش برای من حفظ بشه.

البته چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود و بعدش هم گفته شد که تلاش کردن با اون شرکت تماس بگیرن که جواب نگرفتن. مشخصه. اون شرکت فعلا گیجه و تحت فشار. احتمالا کاملا مقصره در این جریان ولی این دلیل کافی نیست برای صحبت های یکطرفه و حق به جانب یک مجرم احتمالی توی بی بی سی.

این دو تا نکته رو هم نگم ممکنه خفه بشم:

  • بی بی سی تنها رسانه ای است که من اگر بخوام اخبار فارسی رو دنبال کنم می خونم. اینها رو نوشتم که بهتر بشه. کلا قابل قیاس با بقیه رسانه های فارسی نیست ولی باید شدیدا مواظب باشه که نیافته توی تله VoA شدن . بی بی سی مین استریم مدیا است و مال و غیره و غیره ولی بین چیزهایی که من بهش دسترسی دارم اولویت اول رو داره برای گرفتن اخبار منطبق بر واقعیت.
  • این اطلاعات روی سرورهای گوگل و بلاگ اسپات فرانسه منتشر شدن. احتمالا یک تذکر پلیس بین الملل می تونه این اطلاعات رو از این سایت حذف کنه و پروسه های قضایی مختلفی رو به جریان بندازه ولی ظاهرا ما واقعا آماده مقابله با تهدیدات سایبری نیستیم و جنگ سایبری رو کلا با دیفیس کردن سایت ها و کامنت گذاشتن تو وب اشتباه گرفتیم. احتمالا تو خیلی کشورها اینکه یک روز خودپردازها تعطیل بشن ضربه عظیمیه چه برسه به اینهمه ماجرای مرتبط با این اتفاق.

واقعا نمی دونم چند نفر ممکنه تا اینجا رو بخونن (((: به هرحال اگر تا اینجا رو خوندین یک مدال tl;dr بهتون تقدیم می شه با احترام

هک فروشگاه مایکروسافت در هند و لو رفتن پسوردها

نگین من ضد مایکروسافت هستم ها (: من ازش تعریف هم کردم. خودش هی سوتی پشت سر هم می ده (: جدیدترینش هم این که هفته قبل هکرها با ماسک ناشناس تونستن به یک فروشگاه آنلاینش نفوذ کنن و این عکس رو بذارن سردرش:

تا اینجا چیزی خیلی عجیب نیست. دیفیس (Deface) کردن یک سایت اصلا کار عجیبی نیست اما جریان از جایی حساس شد که مشخص شد هکرها به بانک اطلاعاتی پسوردهای کاربران سایت هم دسترسی پیدا کنن: یک مجموعه پسورد متنی رمزگذاری نشده!

هدف اصلی هکرها مشخص نیست. روی صفحه نوشتن که «سیستم ناامن، غسل تعمید داده خواد شد» و فروشگاه چند روزی تعطیل شده. فایل منتشر شده از پسوردها این شکلی است:

هک شدن یک سایت اصلا غیرطبیعی نیست و پیش می یاد ولی این خیلی غیرطبیعی است که یک فروشگاه آنلاین – اونم متعلق به یک شرکت عظیم به اسم مایکروسافت – اطلاعات کاربرانش رو توی یک فایل متنی به شکل متنی و سر راست و قابل دسترس از طریق وب سروری هک شده، نگهداری کنه.

منبع

دستگیری ۲۵ نفر به اتهام همکاری با هکرهای انانیموس

با کمک پلیس بین المللی، بیست و پنج نفر به اتهام همکاری با گروه هکرهای ناشناس در اسپانیا و سه کشور آمریکای جنوبی دستگیر شده‌اند. اتهام این آدم ها دیفیس کردن سایت‌های دولتی و شرکت‌ها اعلام شده. به نقل از رویترز:

پلیس اسپانیا همچنین یکی از چهار مظنون دستگیر شده در شهرهای مادرید و مالاگا متهم کرده است به افشار اطلاعات شخصی افسران پلیس و محافظانی که از خانواده سلطنتی اسپانیا و نخست وزیر حفاظت می‌کنند.

دستگیری‌های دیگر در آرژانتین، شیلی و کلمبیا بوده‌اند که در کل از پانزده شهر، بیست و یک نفر دستگیر و تقریبا ۲۵۰ ابزار دیجیتال ضبط شده است.

و خب همزمان هم صفحه صفحه پلیس بین المللی، پایینه:

هکرهای انانیموس یا ناشناس یک مفهوم عمومیه که این روزها برای مجموعه ای از عملیات استفاده می شه. در اصل یک جور امضای جمعی است که زیر یک شکل از عقیده و عمل گذاشته می شه. این هکرها اکثرا دارن از DDOS برای پایین آوردن سایت های مهم استفاده می کنن و در مواردی هم اطلاعات بسیار عظیم یا حساسی رو به رایگان با همه به اشتراک می ذارن. اولی واقعا نیاز به سطح سواد فنی بالا نداره و دومی احتمالا فقط یک امضای مشابه است پشت یک عقیده عمومی یعنی الزاما همون هایی که دی.داس می کنن، نفوذ و افشا هم نمی کنن ولی چون تیپ ایده‌هاشون شبیه است، با هم از یک امضا استفاده می کنن.