برچسب: ایمنی

به نقل از اسلش دات

مدرک های مقدماتی شرکت هایی مثل سیسکو (مدرک CCNA) این روزها مثل نقل و نبات در دست همه هستند و حتی آدم های دارای «مدرکی» که هیچ درکی از شبکه و کامپیوتر ندارند ولی با افتخار مدرکشان را به رخ این و آن می کشند، مایه خنده هستند. این جریان با مجموعه کتاب های آمادگی امتحان سیسکو بدتر هم شده است. به عبارت دیگر شما می توانید بدون دیدن حتی یکبار روتر سیسکو و بدون زدن حتی یک دستور،‌ یک سری کتاب آمادگی کنکور سیسکو بخرید و بعد از دو ماه در امتحان قبول شوید و «مدرک» بگیرید.

کتاب «جنگجوی شبکه» یا Network Warrior درست نقطه مقابل این سیستم است. عنوان فرعی این کتاب می گوید «هر چیزی که لازم دارید بدانید ولی در امتحان سیسکو از شما پرسیده نمی شود».

این کتاب خیلی چیزها را پوشش می دهد. از معماری ۶۵۰۰ گرفته تا لایه های ۸ و ۹ OSI (که عبارت هستند از سیاست و پول)، این کتاب کتاب خوبی است.

نویسنده	Gary A. Donahue
تعداد صفحه	۵۹۸
ناشر	O’Reilly
ISBN	9780596101510
خلاصه	همه چیزهایی که لازم است برای گرداندن یک شبکه سیسکو بدانید

کتاب،‌ حوزه هایی را پوشش می دهد که سیسکو دقیق شرحشان نداده، مثلا QoS و به روز رسانی بعضی ماجول ها در خانواده ۶۵۰۰. را. در عین حال بحث هایی هم در این مورد دارد که مقاهیم قدیمی شبکه چه کمبودهایی در کارهای شبکه های امروزی به وجود می آورند.

روتینگ و سوییچینگ حدود یک سوم اول کتاب را تشکیل می دهند. بخش عمده دیگر کتاب مربوط به Etherchannel و STP است. همچنین این کتاب به شیوه های فنی پیدا کردن لوپ های لایه ۲ می پردازد.

آخرین بخش مرتبط با امتحان های سیسکو، بخشی است که دستورات CatOS را موضوع قرار داده (در مقابل اینکه سیسکو فقط از IOS حرف می زند).

بخش سوم کتاب، درباره سوییچینگ چند لایه است که روی ۶۵۰۰ و ۳۷۵۰ عمل می کند.

احتمالا جذاب ترین بخش، بخش ۴ است که درباره مخابرات صحبت می کند. این بخش در این باره صحبت می کند که صنعت مخابرات چگونه کار می کند، افراد حاضر در آن باید چکار کنند و حتی چگونه با زبان فنی صحبت کنند. این بخش به شما می گوید که عملا کارهای شبکه چطور می گذرد و چگونه باید قطعات مورد نظر را سفارش دهید و عیب یابی کنید.

این کتاب، کتابی عالی است برای کسانی که می خواهند وارد این صنعت شوند، چه CCNA داشته باشند و چه نداشته باشند. این کتاب بحث عملی می کند و یک کتاب درسی درباره مفاهیم نیست. حتی کسانی که چند سالی در این بخش کار کرده اند نیز از خواندن این کتاب لذت خواهند برد.

توضیح واضحات: منظور این نیست که CCNA بد است یا هر کس CCNA دارد بی سواد است (: من همون رو هم ندارم. منظور معرفی یک کتاب جدید است که خلاء های CCNA را پر می کند

من از علاقمندان ایمنی کامپیوتر هستم و معمولا به بقیه در مورد حداقل طول پسورد تذکر می دهم (حداقل ۸ حرف متشکل از حروف بزرگ و کوچیک و عدد!). مایکروسافت هم انگار از دیروز طرفدار ایمنی شده و توصیه خاص خودش رو داره. نگاهی به صفحه دانش نامه مایکروسافت نشون می ده که حداقل طول پسوردش برای MIT Realm، ۱۸۷۷۰ حرف است و علاوه بر این،‌ شما اجازه ندارید از ۳۰۶۸۹ پسورد آخر خود استفاده کنید و باید یک پسورد جدید به سیستم بدهید!.

این اشتباه بامزه تا از این لحظه که اصلاح نشده ولی محض احتیاط فعلا یک اسکرین شات از این سوتی عظیم می ذارم این پایین تا اگر‌ اصلاح شد، اصل جریان باقی بمونه.

نکته : عبارت عبور، مثل مسواک است: فقط متعلق به شما است و نباید آن را به کس دیگری بدهید و هر دو شش ماه یکبار هم حتما باید عوضش کنید.

علی رغم مخالفت‌های گسترده، از امروز قانون ضد «ابزار هکری» در آلمان به اجرا در می آید. شماره رسمی این قانون 202C است و می‌گوید که داشتن، ساختن و پخش ابزار هکری (hacker tool) غیرقانونی است.

در عکس گروهی از افرادی را می بینید که اطلاعاتی درباره کامپیوتر دارند و می فهند که این قانون باعث می شود پلیس بتواند تقریبا به در خانه هر کسی بیاید و او را دستگیر کند. هکرها برای یک سال علیه این قانون نوشتند و دربرابر آن مقاومت کردند و امروز با تصویب آن،‌ شگفت زده اند.

عبارت «ابزار هکری» بسیار ناواضح است و باعث شده طیف وسیعی از ابزارهای مربوط به شبکه و کامپیوتر جزو ابزار مجرمانه به حساب بیایند. مثلا ابزاری مثل nmap که کاربرد وسیعی در بررسی شبکه دارد بنا به این تعریف یک «ابزار هکری» است و داشتن و توزیع آن جرم محسوب می شود (یعنی هر سی دی حاوی لینوکس می تواند شما را به زندان بیاندازد!).

در پی این قانون نرم افزاری مثل Kismac که برای یافتن شبکه های بی سیم بکار می رود سایت خود در آلمان را تعطیل کرده اند و گروه هکری فنوالیت هم با تعطیل کردن فروشگاه شان گفته اند که از آلمان بیرون خواهند رفت.

با گسترش مفاهیم کامپیوتر،‌ ایمنی و خلوت سخت تر و سخت تر می شود. فکر می کنم رسما کتاب هری پاتر ۷ قرار است فردا به کتابفروشی ها برسد اما یک نفر سه روز قبل یک نسخه غیرقانونی پیدا می کند، از همه صفحاتش عکس می گیرد و روی اینترنت منتشر می کند. جمعی از [طرفدار]های هری پاتر هم صفحه به صفحه کتاب را تایپ می کنند و حالا کل کتاب روی اینترنت است.

اما امروز یک نفر روی یکی از عکس های منتشر شده را انتخاب کرد و در یک برنامه کاملا معمولی نمایش عکس، اطلاعات EXIF را مشاهده کرد. اطلاعات EXIF اطلاعاتی هستند که روی هر عکس دیجیتال توسط دوربین نوشته می شوند (در بخشی جدا از عکس) و در بسیاری از برنامه ها یا روی Properties عکس قابل مشاهده هستند.

این اطلاعات می گویند، عکس در چه تاریخی، با چه دوربینی و چه دیافراگمی گرفته شده اند. همینطور خیلی اطلاعات دیگر از جمله شماره سریال دوربینی که عکس ها با آن گرفته شده.

برای حذف این اطلاعات باید از نرم افزارهایی مثل گیمپ یا فوتوشاپ استفاده کنید. البته به گفته کسوف خود فوتوشاپ، شماره سریال اش را روی عکس می اندازد. حالا سوتی این آقای پخش کننده غیرقانونی کتاب هری پاتر هم این بود که شماره سریال دوربین اش را از EXIF عکس پاک نکرده و ممکن است شرکت Canon بتواند دربیاورد که فلان شماره سریال دوربین را به کدام مغازه فروخته است و …

مرجع اینجا است که به خاطر فیلتر بودن فلیکر مجبور شدم عکس رو کپی کنم روی سرور خودم.

کپچا اون کاراکترهای نسبتا ناواضحی است که گاهی سایت ها از شما می خواهند تایپشون کنید تا مطمئن بشن که شما آدم هستید و یک ماشین اسپم فرست نیستید.

مثلا من یک سایت دارم که توش شما می تونین کامنت بذارین. یک کپچا به من کمک می کنه که از طرف بخوام قبل از کامنت گذاشتن، یکسری حروف و اعداد کچ و کوله رو تایپ بکنه (مثل ) تا مطمئن بشم که یک آدم واقعی است.

حالا یک دانشمند کامپیوتر از کارنگی ملون یک ایده جدید و جالب داره! ایده طرف اینه که به جای تولید اتفاقی این حروف و اعداد، از کلماتی استفاده کنیم که از کتاب های قدیمی اسکن شده اند.

به عبارت دیگه، دفعه بعدی که می خواهید با تایپ کردن یک متن غیرقابل خوندن توسط کامپیوتر به اون ثابت کنید که یک آدم واقعی هستید و نه یک ماشین، عملا دارید به تایپ یک کتاب قدیمی که از طریق OCR (بازشناسی حروف توسط کامپیوتر) قابل تبدیل شدن به متن نیست همکاری می کنید. ایده بسیار جالبی است. از اون ایده ها که من دوست دارم: همکاری تعداد زیادی آدم برای اضافه کردن چیزی به دارایی های بشری (:

سوال فنی اینه: خب وقتی کامپیوتر هم نمی تونه اون متن رو بخونه (که این خاصیت اصلی کپچا است) چجوری می فهمه درست تایپ کردیم؟ سوال خوبیه. روشش اینه که عبارت مورد نظر که نمی تونه بخونه رو کنار یک عبارت می ذاره که می تونه بخونه و بعد اگر نصفه قابل خوندن رو درست تایپ کرده بودید، منطقا تصور می کنه که نصفه دوم رو هم درست تایپ کرده اید.

بعضی از ما از بلاگر و وبلاگ‌های خصوصی اش به عنوان مکانی برای ارتباط خصوصی با گروهی از دوستان استفاده می کنیم. کاربرد خوبیه و مشکلی هم نداره (: عملا مثل یک گروه ایمیلی می مونه که هر کس هر چیزی می نویسه بقیه می تونن بخونن.

اینها یک جور جمع های خصوصی هستند که منطقا نمی خواهیم بقیه مطالبش رو ببینند. درست مثل پرده‌ای که پشت پنجره می کشیم تا هر کسی از توی کوچه رد می شد، توی خونه رو نگاه نکنه.

حالا مشکل کجا است ؟ من یک وبلاگ شخصی دارم و یک وبلاگ خصوصی و دو سه وبلاگ خصوصی دیگه هم عضو هستم و در یک وبلاگ گروهی هم می نویسم. اگر کسی روی صفحه پروفایل بلاگر من بره، چیزی شبیه به این می بینه (عکس رو خودم ساختم تا از پروفایل کسی برنداشته باشم – اسم وبلاگ ها و افراد تخیلی هستند):

و همونطور که می بینید اولا کاملا نشون می ده که این فرد عضو کدام وبلاگ ها است (مثلا وبلاگ بربری رو کسی قبلا نمی دونسته اما حالا می دونن که این آقا به همراه جادی و سحر و مینا و مانی و علیبیگی عضو گروهی هستند که به بربری ربطی داره!

همچنین دیده می شه که سینا و جادی و لیلا و علی و مراد و حسن و جولاندن (بازیگر فیلم پزشک دهکده) هم یک وبلاگ غیرقابل خوندن برای بقیه دارند.

اینها اطلاعات مخفی نیستند ولی شاید من و شما دوست نداشته باشیم کسی ببینه با چه کسانی و چند تا وبلاگ خصوصی داریم. در صورتی که علاقمند هستید وبلاگی به این شکل باشه و جایی دیده نشه، کافیه به بخش تنظیمات (settings) بروید و گزینه Add your blog to our listing رو برای وبلاگ مورد نظر No انتخاب کنید:

حالا همه چیز حل است و اگر کسی به پروفایل کسی که عضو این وبلاگ است نگاه کنه،‌ نام این وبلاگ و اعضای اون رو نمی بینه.

با استفاده از cross scripting دزدی فهرست دوستان هر کسی در جیمیل ممکن و بسیار ساده شده است. فقط کافی است در GMail لاگین کرده باشید و بعد به هر وب سایتی که به دنبال دزدی این اطلاعات باشد سر بزنید. کلیه فهرست دوستان شما در اختیار صاحب آن سایت قرار خواهد گرفت. این مشکل به این خاطر بروز می کند که GMail این اطلاعات را توسط جاوااسکریپت نگهداری می کند.

این اشکال روی فایرفاکس، IE و اپرا آزمایش شده و کار می کند. برای دیدن نمونه آن کافی است به اینجا بروید و بعد از لاگین فهرست دوستان خود را خواهید دید (یا به هر طریق دیگر در گوگل لاگین کنید). حالا کافی است برای مثال به این سایت بروید و فهرست دوستان خود را ببینید (ریسک اش با خودتان).

برای جلوگیری از لو رفتن فهرست دوستان، علی الحساب در حینی که در گوگل لاگین کرده اید وارد هیچ سایت دیگری نشوید تا مسوولین گوگل در این مورد فکری بکنند.