برچسب: ایمنی

با استفاده از cross scripting دزدی فهرست دوستان هر کسی در جیمیل ممکن و بسیار ساده شده است. فقط کافی است در GMail لاگین کرده باشید و بعد به هر وب سایتی که به دنبال دزدی این اطلاعات باشد سر بزنید. کلیه فهرست دوستان شما در اختیار صاحب آن سایت قرار خواهد گرفت. این مشکل به این خاطر بروز می کند که GMail این اطلاعات را توسط جاوااسکریپت نگهداری می کند.

این اشکال روی فایرفاکس، IE و اپرا آزمایش شده و کار می کند. برای دیدن نمونه آن کافی است به اینجا بروید و بعد از لاگین فهرست دوستان خود را خواهید دید (یا به هر طریق دیگر در گوگل لاگین کنید). حالا کافی است برای مثال به این سایت بروید و فهرست دوستان خود را ببینید (ریسک اش با خودتان).

برای جلوگیری از لو رفتن فهرست دوستان، علی الحساب در حینی که در گوگل لاگین کرده اید وارد هیچ سایت دیگری نشوید تا مسوولین گوگل در این مورد فکری بکنند.

امروز یک مشکل امنیتی حاد جدید در برنامه مایکروسافت Word کشف شده که می تواند از طریق باز کردن یک فایل doc آلوده، کدهایی را روی کامپیوتر شما اجرا کند. استفاده از این مشکل امنیتی جدید به گستردگی در حال افزایش است پس مواظب باشید این یکی دو هفته (و تا وقتی از word استفاده می کنید) هیچ فایل docی که خودتان درخواست دریافتش را نداده اید را باز نکنید.

اگر حتی به انجام کاری در زمینه مهندسی امنیت فکر کرده اید، لازم است این کتاب را بخوانید (بروس اشنایدر).

حتی بعد از دو سال که «مهندسی ایمنی» روی قفسه ها است، این کتاب مهمترین کتاب مرجع ایمنی است که در چند سال اخیر منتشر شده. (مجله ایمنی اطلاعات).

مقدمه این کتاب که توسط Ross Anderson نوشته شده و عنوان فرعی آن «راهنمایی برای ساخت سیستم های توزیع شده قابل اتکا» است را یکی از آدم هایی نوشته که من دوستشان دارم: بروس اشنایدر. بروس اشنایدر یک متخصص ایمنی کامپیوتر و اطلاعات است که البته وبلاگش بنا به دستور مقامات قضایی سانسور است.

او امروز در وبلاگش درباره این کتاب نوشته بود و خبر خوشی داده بود: به شکل قانونی و رسمی و رایگان روی اینترنت قرار گرفته است. به لطف نویسنده و انتشارات Wiley.

پ.ن. من داونلود کرده ام ولی هنوز شروع نکرده ام خواندن. فعلا دارم Snow Crash نوشته استنفنسن را می خوانم. فوق العاده است و اولین کتابی که کلمه Avatar را جا انداخت. داستانی از هکرها،‌ جامعه فاسد سرمایه داری آمریکای آینده، شمشیربازی و فضاهای مجازی.

من و شما به عنوان یک انسان حق داریم حریم خصوصی و خلوت خود را داشته باشیم و هیچ کس حق ندارد در کارهای ما سرک بکشد و نگاه کند که ما مشغول چه کاری هستم. کارهای هر فرد تا فقط به دیگران صدمه نزده فقط و فقط به خودش مربوط است. کسانی که زور و قانون را دارند گاهی ادعا می کنند که باید کارهای همه را زیر نظر بگیرند تا کسی کار بدی نکند ولی همیشه این سوال بی جواب باقی می ماند که چطور هیچ کس حق ندارند کارهای خودشان را زیر نظر بگیرد ؟

اخیرا در یک اقدام عجیب / اشتباه شرکت AOL حجم زیادی از جستجوهای کاربرانش را افشا کرد. در پی این جریان یک برنامه نویس خوش فکر به این فکر افتاد تا برنامه ای بنویسد که خلوت جستجوهای شما را تضمین کند. این extenstion فایرفاکس نه جستجوهای شما را رمزگذاری می کند و نه آن ها را از کانالی مخفی عبور می دهد، تنها کار ساده ای که این برنامه برای مخفی کردن جستجوهای شما می کند این است که وقتی کامپیوتر و اینترنت بیکار است، شروع به جستجوهای کلی مطالب بیربط در موتورهای مشهوری مثل گوگل و MSN و AOL و Yahoo می کند ! حالا اگر کسی بخواهد جستجوهای شما را زیر نظر بگیرد باید کلی تلاش کند تا بتواند جستجوهای واقعی که توسط شما انجام شده است را از جستجوهای بیخودی که این برنامه کرده است جدا کند. در صورتی که احساس می کنید باید جستجوهای خود را زیر انبوهی از جستجوهای اتفاقی دفن کنید، این اکستنشن مفید فایرفاکس را از اینجا دریافت کنید.

شرکت کلاه سیاه، شرکتی است متخصص در ایمنی کامپیوتر. این شرکت که در ۱۹۹۷ تاسیس شده به متخصصین ایمنی این امکان را می دهد که همیشه خود را به روز نگاه دارند. این شرکت سیستم های کامپیوتری شرکت ها و سازمان های دولتی مختلفی در آمریکا، اروپا و آسیا را یمن کرده است.

برای کسب اطلاعات بیشتر درباره آن می توانید به وب سایتش در Black Hat مراجعه کنید ولی قصد من از در اینجا معرفی کنفرانس های سالانه کلاه سیاه است. این کنفرانس ها که در سنگاپور، توکیو، آمستردام و لاس وگاس اجرا می شوند امسال هم در جریان هستند. سعی می کنم در این باره دو سه مطلب بفرستم.

عنوان کمی پیچیده شد. سرووموتور نوعی موتور دقیق است که می توانیم مثلا به آن فرمان بدهیم که یک درجه به راست بچرخد (من از سه واحد کنترل حداکثر همین را فهمیده ام ! اگر کسی دقیق تر می داند بنویسد تا اینجا اضافه کنم). یک سرووموتور به علاوه یک کامپیوتر می شود دستگاهی که می توان با یک برنامه به راحتی به آن فرمان داد که چقدر به چپ یا راست بچرخد.

قفل های مسترلاک هم نوع مشهوری از قفل های رمزی هستند که با چرخاندن رمز آن ها و تغییر جهت دادن حرکت چرخش بعد از رسیدن به رمزهای تنظیم شده و سه بار تکرار این کار، باز می شوند.

بروتفورس (BruteForce) یا تلاش کور(؟) هم شکلی از رمزشکنی است که در آن برای کشف یک رمز، همه حالت های ممکن امتحان می شود. مثلا یک نفر که هکر نیست، برای پیدا کردن رمز یاهوی شما اول اسم شما با پسورد aaa را انتخاب می کند،‌ بعد پسورد aab را می زند بعد aac را تا aba و بعد از ده ساعت به zzz می رسد و تازه باید برود سراغ aaaa و بعد aaab و هیچ وقت موفق نمی شود چون شما از اعداد هم در کلمه عبور خود استفاده کرده اید. این شیوه کور و احمقانه، بروتفورس است.

حالا دوباره به تصویر نگاه کنید و عنوان را بخوانید: سرووموتور کامپیوتری برای بروتفورس قفل های مسترلاک.

جالب است نه ؟ نکته مثبت این است که بر خلاف کلمه عبور ۹ حرفی شما که چندین روز بروتفورس کردن آن طول می کشد، این دستگاه هر قفل مسترلاک را حداکثر در 30 دقیقه باز می کند ! چگونه ؟‌ به خاطر اشتباه رمزنگاری مسترلاک ها که از طریق محاسبات ریاضی می توان نشان داد که چهل به توان سه حالت ممکن،‌ در عمل قابل تقلیل به ۱۲۱ حالت است !

منبع :وبلاگ بروس اشتاینر

خلوت انسان ها محترم است و مستقل از اینکه شما – به عنوان یک شهروند معمولی – چه چیزی می گویید و با چه کسی حرف می زنید، هیچ کس حق ندارد صحبت های شما را شنود کند یا آن ها را ضبط کند. این حق هیچ ربطی به کار خلاف یا جرم ندارد و ناشی از حق امنیت انسان ها است.

اسکترچت اسلحه جدید هکتیویست ها برای دفاع از این حق است. این برنامه به مدافعان غیرفنی حقوق بشر و فعالان تحت ریسک جامعه مدنی و همچنین شرکت هایی که خلوت (Privacy) برای آن ها حیاتی است و هر کس دیگر که دوست دارد خلوت اش محفوظ بماند اجازه می دهد به شکلی ایمن چت کن و فایل بفرستد.

این برنامه پیام رسان ایمن (که بر اساس Gaim طراحی شده) ‌با استفاده از مسیریاب پیازی تور (TOR) و رمزگذاری انتقال ایمن فایل و از همه مهمتر راهنماهای ساده و قابل فهم برای همگان می تواند جایگزین ایمنی برای صحبت افراد با یکدیگر باشد.

برای دریافت آن می توانید به صفحه چت ایمن اسکترچت مراجعه کنید.