هفته گذشته یک خبر عجیب داشت. گروه دی شدو بروکرز اعلام کردن که بخشی از «تسلیحات سایبری» سازمان سازمان امنیت ملی آمریکا رو به دست آوردن که بخشی از اونها هنوز هم روی زیرساختهای مهم اینترنت کار می کنن و اونها رو به خریداری که تا فلان تاریخ بشیترین بیتکوین رو براشون بفرسته میفروشن یا در اقدامی عجیبتر اگر ۱ میلیون بیتکوین بگیرن، اطلاعات رو عمومی منتشر خواهند کرد.
این شیوه عجیب اعلام و فروش و انگلیسی دست و پا شکسته اطلاعیه اصلی، شکهای زیادی درست کرد. در واقع اگر شما ۱۰۰۰ بیت کوین به این گروه هکری میدادین و یکی دیگه ۱۵۰۰ تا، دومی برنده میشد و فایلها رو میگرفت و شما کل پول رو از دست میدادین! از اونطرف ۱ میلیون بیتکوین درخواست شده، یعنی تقریبا ۶ درصد کل بیتکوینهای در حال گردش در کل جهان. بررسی حسابهای اعلام شده نشون میده که تا به حال رقم واریزی بیشتر از ۲۰ بیتکوین هم نبوده. اما وضع احتمالا تغییر خواهد کرد.
اینترسپت جمعه مطلبی رو منتشر کرده که طبق اسناد اسنودن تایید میکنه که ابزارهای نشون داده شده به احتمال خیلی زیاد واقعا بخشی از ابزارها و تسلیحات سایبری ان اس ای هستن. حداقل اسامی ابزارهایی مثل اکسترابیکن، اپیک بنانا و جت پیلو چیزهایی هستن که قبلا ازشون حرف زده شده و امکان حملههای موفق به برخی ابزارهای سیسکو رو دارن. همچنین در همین هفته سیسکو هم اشکال رو پذیرفته و تقریبا همه میتونیم مطمئن باشیم که ابزارها واقعا مربوط به ان اس ای هستن.
برای خوندن اینکه دقیقا اکسپلویت کشف شده چیه دنبال CVE-2016-6366 بگردین ولی نکته اصلی اینه که این زیرو دی خطرناک دست ان اس ای بوده بدون اینکه در موردش به سیسکو اطلاع داده بشه. همین اتفاق از طرف فایروال فورتینت که ایرانیها هم ازش زیاد استفاده میکنن افتاده. فورتینت اعلام کرده یک مشکل امنیتی با درجه خطر بالا نسخههای قدیمیتر فایروالهاش رو تهدید میکنه. این باگ در بافر پارسر کوکیای است که روی برد قرار گرفته و اجازه میده یک حمله کننده بتونه با فرستادن یک درخواست HTTP دستکاری شده، کنترل دستگاه رو در دست بگیره. به احتمال زیاد در زمانی خیلی کوتاه اخبار مشابهی از جونیپر هم خواهیم شنید.
فعلا اینکه این گروه هکری به کجا وابسته است مشخص نیست اما چیزی که بسیار جالب شده، افشای دسترسیهای گسترده ان اس ای به تجهیزات زیرساخت اینترنت و داشتن تسلیحات مبتنی بر زیرودیهایی است که نه فقط برای همگان اعلام نمیشن، که حتی به کارخونه سازنده هم خبر داده نشدن.
توی این جادی.تی وی یک هک می کنیم (: دوستان خوب دلیون اجازه دادن که با تمرکز روی بازی کلاینت سایدی که طراحی کرده بودن، یک شکل از هک رو آموزش بدم: شنود ارتباطات با ابزارهای مرد میانی و دستکاری اونها به شکلی که لازم داریم تا بتونیم صبحانه مجانی بخوریم (:
از دیروز که رویترز خبری با عنوان دسترسی هکرها به اکانتهای تلگرام داخل ایران منتشر کرده و به عبارت «مشخص شدن شماره تلفن ۱۵ میلیون ایرانی» اشاره کرده، کلی جا هیجان زده هستن و خبرهایی با عنوان «هک پونزده میلیون اکانت تلگرام» میزنن اما در واقع اتفاق خاص یا جدیدی در جریان نیست.
خبر رویترز به دو مساله اشاره میکنه:
اکانت چند نفر خاص «هک» شده. احتمالا با تکنیکی که اصولا در کشورهایی مثل ما برای حکومت کاملا راحت و شدنی است. فرض کنین شما یک گوشی جدید خریدین و میخواین تلگرام رو روش فعال کنین. در این حالت درخواست می دین به تلگرام و یک اسمس برای شما مییاد که یک کد توشه که اگر اونو وارد کنین، تلگرام جدید فعال می شه و کپی همه مسیج های شما می ره توش. حالا فرض کنین من به شرکت مخابرات بگم اگر فلان اسمس برای فلانی اومد اسمس رو بهش نرسون و متنش رو بده به من (: به همین سادگی می تونم یک تلگرام که نصب کردم رو متصل کنم به اکانت شما. این مساله در مورد هر روش لاگین مبتنی بر اسمس صادقه و عجیب هم نیست. در واقع اونهایی که اینها رو درست می کنن ایده شون اینه که کسانی که دنبال سرقت هویت افراد هستن، به کل سیستم اینترنت و سیستم مخابراتی و اسمسهای مردم دسترسی ندارن.
در قسمت دیگه مقاله اشاره شده که شماره تلفن و آی دی حدود ۱۵ میلیون ایرانی کشف شده. روشش بازم ساده است: یک شماره تلفن اتفاقی به کانتکت های خودتون اضافه کنین و بعد نگاه کنین تو لیست دوستان شما در تلگرام اسم و عکس اون آدم چیه و چه شکلیه. حالا فرض کنین یک کامپیوتر همینجوری پشت هم شماره تلفن اضافه کنه و چک کنه که آیا در کانتکتهای تلگرام تغییری حاصل شده یا نه یا یک مرحله کارش رو راحتتر کنه و بررسی کنه که فلان شماره آیا در تلگرام اکانتی برمیگردونه یا نه و از این طریق فهرست تلفن (و در نتیجه اسم آدم) و اکانتهای تلگرام رو به دست بیارن.
به همین سادگی و سر راستی. بخش بسیار عظیمی از اینترنت و پروتکلهاش با این فرض طراحی شدن که گردانندگان اینترنت آدم های صادقی هستن. این هک تلگرام درست مثل وضعیتی است که کشوری اعلام کنه تنها یک مرجع دولتی برای خرید قفل وجود داره و بعد خبر ببینین که «نفوذکنندگان تونستن وارد خونه فلانی بشن» (:
درسته که این خبرهای «هک» هیچ ربطی به پروتکل امنیت تلگرام نداره و چتهای امن و غیره در این مورد افشا نشده ولی در کل برای افرادی مثل ما بهتره ایده شون این باشه که اگر توی یک کشور فقط اجازه دارین از دولت قفل بخرین، بهتره اصولا در این مورد که خونه تون امن است و قفلتون محکمه و اینها اصولا اعتقادی نداشته باشین و راحت زندگی کنین با این ایده که هر کس هر وقت خواست تو خونه سرک می کشه دیگه. البته در حالتی که نخواین کلا در خونه رو جوش بدین و راحت بشین (:
در شماره ۶۵ رادیوگیک، به یکی از مباحث روز تکنولوژی میرسیم: Internet of Things یا همون اینترنت چیزها که البته کسانی که از «چیز» می ترسیدن بهش گفتن «اینترنت اشیاء» و ما هم به این اصطلاح اشتباه عادت کردیم. اینترنت چیزها از ارتباط دائمی همه چیز با یک شبکه، از سنسورها و از توان پردازش ابری حرف می زنه. تاریخچه و ایده مثل همیشه هیجان انگیزه ولی توهم جاروبرقی ای که به فرمان ما خونه رو جارو می زنه همه ماجرا نیست. اینترنت چیزها مسواکی است که به شرکت بیمه خبر می ده شما باید پول بیشتری بدین چون خوب مسواک نمی زنین! با ما باشین تا در یک ساعت چیز چیز کنیم و گاهی هم اشتباهی مثل باکلاس ها اشتباهی بهش بگیم «اشیاء». شماره شصت و پنج رادیو در یک ساعت نگاهی داره به IoT!
توجه: نوشته های زیر یادداشت های غیر دقیق شخصی هستن. شاید انسجام نداشته باشن. من اینها رو جلوم داشتم که تو رادیو حرف بزنم (: ولی خب اینجا هم می یارم برای سرچ و غیره…
دعوای اسم: «چیزها» بد نیست.. یکسری هستن به بازی کردن می گن بازی رو انجام دادن.. مثال هایی مثل اینترنت همه چیز و غیره
شاید در واقع بقیه اینترنت باشه.. یعنی ادامه اینترنت. فقط الان چیزهای جدیدتری دارن وصل می شن که شاید نیازی به اسم عجیب هم نداره. درست مثل اینکه قبل از هر چیز بگیم «هوشمند».
بعضی ها می گن یخچال و جارو برقی قراره هوشمند بشن و به بقال محل بگن که پنیر تموم شده یا قبل اومدن شما خونه رو جارو کنن -> سرشون داد بکشین که فلان پنیر رو دوست ندارین!
در چند سال آینده به این می رسیم… و دیگه توان خودمون برای خیلی کارها رو از دست می دیم.. مثلا سفارش پنیر به بقال (:
البته همین الان هم یک چیزهایی انگار هوشمند شدن. مثلا بیمه ماشین خود به خود تکرار می شه و ما نگرانش نیستیم چندان. چرا نگران پنیر و شیر باشیم؟ و اگر زیاد خرید چی؟ من مسواکم رو ماهی یکبار عوض نمی کنم.. تیغ صورتم رو هم سه ماه یکبار در حالی که اگر فرمون رو بدیم دست اینترنت چیزها… هر هفته یک تیغ برام سفارش می ده!
“the infrastructure of the information society.”
creating opportunities for more direct integration of the physical world into computer-based systems, and resulting in improved efficiency, accuracy and economic benefit;
Each thing is uniquely identifiable through its embedded computing system but is able to interoperate within the existing Internet infrastructu
تاریخچه
از مدت ها پیش پایه ها مطرح شده بود. ۱۹۸۲ توی کارنگی ملون یک ماشین تحویل کوکا کولا به اینترنت وصل شد تا بتونه بگه چند تا کوکا توش مونده
اواخر دهه ۹۰ یا بهتر بگم در واقع خود ۱۹۹۹ کوین اشتون این اصطلاح رو درست کرد و گفت IoT! اون می گفت جهانی می یاد که «در آن هر چیزی، از جمله اشیا بی جان، برای خود هویت دیجیتال داشته باشند و به کامپیوترها اجازه دهند آنها را سازماندهی و مدیریت کنند. اینترنت در حال حاضر همه مردم را به هم متصل میکند ولی با اینترنت اشیاء تمام اشیاء به هم متصل میشوند». مترکز خاص اشتون روی آر اف آی دی بود و تگ زدن به چیزها (از بارکد کیو ار و دیجیتال واترمارک) که اجازه می ده کامپیوترها مدیریت مردم رو بر عهده بگیرن! البته یکسال قبل کوین کلی در کتاب قوانین نوین اقتصادی در عصر شبکهها (۱۹۹۸) موضوع نودهای کوچک هوشمند (مانند سنسور باز و بسته بودن درب) که به شبکه جهانی اینترنت وصل میباشند را مطرح نمود.. یا توی همون ۱۹۹۹ مقاله بیل جوی از «دیوایس به دیوایس» حرف می زد.
یا مثلا به یک بقالی نگاه کنین که خودش می دونه چی فروخته و چندتا و چی باید سفارش بده و تاریخ چی گذشته! این ساده ترین فرم ها است. دقیقا می دونن چی فروش رفته و با چه سرعتی و …
و البته اسم مهمل اینترنت «اشیاء»هم قابل بحثه.. واقعا چرا اسمش رو تو فارسی می گیم اشیا؟ چون چیزها بده؟ خزه؟ سکسی است؟ یکسری که اصولا به بازی کردن هم می گن بازی نمودن (: اشیا یعنی آبجکت که یک کلمه خاصه… این اینترنت تینگز است یعنی اینترنت چیزها.. و سگ من معمولا جزو اشیا حساب نمی شه ولی جزو چیزها است.
کلاود
کلاود در این بحث خیلی مهمه چون چیزها نیم تونن خودشون قدرت کافی برای تحلیل دیتا هم داشته باشن. اما با بودن کلاود [کمی توضیح] کافیه هر چیز ریز بتونه اطلاعاتش رو به ابر / اینترنت تحویل بده و کل پروسس و منطق اونجا اتفاق بیافته.
د رحال حاضر گفته می شه در ۲۰۲۰ حدود ۵۰ میلیارد دستگاه به اینترنت چیزها وصل خواهد بود.
—
مثال های فعال فعلی چیزهایی مثل خونه هوشمند و دزگیریی که به پلیس زنگ می زنه (یا زنگ دم در ) یا ترموستات هستن.
دادن توان پروسس و سنسور به هر چیز فیزیکی. مثلا همه از مسواک عضو اینترنت حرف می زنن. یا ترازو. یا چه می دونم.. کنسرو یا خودرو یا جارو برقی. مثال برای هر کدوم و فرق اینکه هوشمند باشن یا نه و عضو اینترنت باشن یا نه. مثلا قهوه سازی که صبح قهوه رو درست می کنه یا وقتی نزدیک میشین یا خودش قهوه سفارش می ده.
و خب این روزها اتصال به اپ
یا مثلا تیغ عضو اینترنت چیزها. مثال خودم و اینکه چند ماهه عوض نکردم.
m2m
بخش مهم ارتباط ماشین با ماشین است. اینکه مسواک بدونه چند بار مسواک زدم اصلا مهم نیست. به من نشون بده هم چیز خاصی نیست ولی جذابیت اونجاست که شروع کنه به حرف زدن با یخچالم و بگه جادی امشب مسواک زده باز نشو! پایه این اتفاق وب است و اینترنت و همه جا حاضر بودن اون و بخصوص وای فای که امروزه داریم.
در واقع ما اینجا ترکیب مهم رو درست کردیم: سنسور + ارتباط + پروسس
تا اینجا از این گفتیم که ابزارهای شخصی ما دارن وصل می شن ولی انتظار می ره ابزارها همه مال ما نباشن. مثلا بحث شهر هوشمند. من چرا نباید بدونم توی فلان پارکینگ چند تا جای خالی هست یا فلان خیابون آیا ترافیکه؟ یا مثلا آیا بسته پستی من رسیده یا نه. و از این بالاتر.. ام تو ام! چرا من بدونم؟! خب ماشینم بدونه و خودش بره دیگه (: یا مثلا مثال خرید از آمازون.
یا مثلا ممکنه اصولا عمومی هم نباشه و مال اپ های دیگران باشه… یا اصولا چیزهای سوشیال. مثلا وسایل خونه شما با هم حرف بزنن و یخچالتون به همدیگه خبر بدن که چی لازمه یا اگر دارین می رین خونه فلانه خوبه فلان چیز رو بخرین بیارین!
این هم هست که شما ممکنه اصلا از سیستم حذف بشین. مثلا می دونیم که هند یکی از مصرف کننده های بزرگ اب جهانه. به خاطر مشکلاتش در کشاورزی کلاسیک و حروم کردن آب . یکسری سنسور توی زمین می تونن کاملا دقیقا به یک سیستم ابیاری خبر بدن که نیاز به چقدر آب در کجا هست یا مثلا داستان ۲۰۰۷ مینسوتا و فروریختن یک پل و مردم آدم ها به خاطر اشکال در صفحات فلزی پل. یکسری سنسور می تونن روی پل نصب بشن و در صورت بروز هر جور شک در سازه، به شهرداری خبر بدن. یا مثلا پل می تونه تعداد ماشین های رد شده رو خبر بده.
در مورد پوشیدنی هم گپ بزنیم و بخصوص حیوانات (:
اقتصاد
تا ۲۰۲۴ حدود ۴.۳ تریلیون دلار بیزنس خواهد بود.و در حال تغییر جهان. هم در تولید هم در مصرف هم در درک از مصرف کننده.
همزمان تغییر دهنده شکل کار. مثلا تغییر دهنده یکسری شغل ها (حداقلش کسی که انبارداری می کرد مثلا) – عده ای هم می گن در واقع تغییر شکل شغل اتفاق می افته ومثلا مثال بانکداری و ای تی ام که باعث شد حتی بانک ها پیشرفت هم بکنن و افراد بیشتری بگیرن چون راحتتر شعبه باز می کن.
انگلیس ۴۰ میلوین پوند بودجه سال ۲۰۱۵ تصویب کرد برای اینترنت چیزها.
حوزه ها
رسانه.
رسانه ها تا حد زیادی به سمت شخصی شدن پیش می رن. بیگ دیتا و اینترن چیزها اجازه می ده رفتارها و علاقمندی ها رو مستقیم تر دید و بر اساس نیازهای فردی رسانه رو تغییر داد.
محیط زیست.
هنگام صحبت از اینترنت چیزها دائما از سنسورها حرف می زنیم و کجا بهتر از محیط زیست برای داشتن سنسور. کیفیت آب، وضعیت کشت و زرع، حرکت حیوانات و خبرگیری در مورد سونامی و غیره بخشی از اینرنت چیزها هستن. بندرهایی که حرف می زنن و بادهایی که وسط اقیانوس به ما خبر می دن کجا دارن می رن و نهنگ هایی که نزدیک شدنشون به ساحل رو اسمس می زنن (: یا مثلا مزرعه هایی که خاکشون می گه چقدر آب لازم داره و سدی که به حرفش گوش می ده (:
زیرساخت.
گپ کلی در مورد مونیتورینگ و بهینه سازی
تولید
گپ در مورد پروسه و اهمیت چرخه تولید و عرضه و غیره
مدیریت انرژی
سلامت (اشاره به پوشیدنی ها)
پیاده سازی های فعلی
خیلی کشورها دارن جدی به این سمت می یان وچون احتمالا فرصت زیادی برای توسعه می ده.
کره جنوبی شهر سونگدو رو درست کرده که زیرساخت کامل هوشمند داره و تقریبا ههمه چیزش به اینترنت وصله و یک جریان دائمی داده است.
نمونه دیگه شهر سانتاندر در اسپانیا است که ۱۸۰ هزار سکنه داره و اپلیکیشنش می تونه حدود ۱۰هزار سنسور از شهر رو تحیلیل کنه.. شامل جای پارک و وضعیت محیط و برنامه های شهری و .. و حدود ۱۸هزار بار هم نصب شده. کشورهای چین و فرانسه هم نمونه های دیگه ای دارن و مطمئنا سان فرانسیسکو
مشکلات
در حال حاضر مشکل پروتکل بسیار جدی است. سامسونگ گفته تا دوهزار و نمیدونم چند صد در صد ابزارهایی که می سازه رو به اینترنت متصل خواهد کرد ولی با چه پروتکلی؟ و من چجوری باهاشون رابطه خواهم داشت؟ احتمالا رابطه من یک اپ خواهد بود ولی آیا باید یک اپ سامسونگ، یک اپ هواوی، یک اپ شهرداری تهران یک اپ خونه هوشمند و .. داشته باشم؟ و آیا توستر سامسونگم می تونه به دوش حموم خریداری شده از سد اسماعیل من وصل باشه تا وقتی که من داشتم خود رو خشک می کردم خبردار بشه که تست رو شروع کنه؟ این سیستم ها باید بتونن به همدیگه وصل باشن و توسط من کنترل بشن!
برای بخشی از این مشکل گروهی در حال هماهنگ کردن پروتکل ها هستن ولی باید ببینیم آیا سازنده ها بهشون گوش می دن یا نه. گوگل. سامسونگ و … در حال تلاش هستن.
مشکل دیگه اصولا ساختار اینترنت است و روش آی پی مرسوم ورژن چهار که خب نیاز به تبدیل شد نبه شش داره
مشکلات امنیت و پرایوسی هم هست. سنسورهایی که در تمام زندگی من دارن دیتا جمع می کنن و خواب و حضور و رفتار و غذا و سیفون دستشویی و … رو ذحیره می کنن .. حتی مصرف دستمال کاغذی و هر چیز دیگه و و این دیتا به جای دیگه ای منتقل می شه. از یکطرف کسانی که از نظر قانونی به اینها دسترسی دارن باید مشخص باشن و از یک طرف کسانی که به شکل غیرقانونی دسترسی دارن! مثال جیپ که اخیرا بود… در واقع در حال حاضر امنیت بسیار کم اهمیت گرفته شده. چه در انتقال چه در نگهداری چه در قوانین و حتی برنامه نویسی!
یک مثال مشهور از پرایوسی هم تارگت است که دختر تینیج کارت های تخفیف حاملگی می گرفت و در نهایت خود طرف معذرت خواهی کرد. یا مثلا بحث تلویزوین های هوشمند که معلوم شد همیشه داره به دستورات صوتی گوش می ده و حتی گپ های خصوصی ما رو هم گوش می ده و می فرسته برای سازنده اش تا هر جوری صحیح می دونه استفاده بشه.. حتی مثلا اینکه گوش داده بشه برای تبلیغات!
ترکیب ای او تی در مقابل بیگ دیتا بسیار خطرناک می شه. در واقع همه کارهای شخص شما رو ممکنه بدونن یا همه چیز قابل پیش بینی باشه و هیچ کس خارج از کنترل دیگران نباشه و در نهایت بر خلاف تبلیغات همه به شکلی مجبور به نمایش همنوایی با اکثریت.
در یک جنبه دیگه مادربزرگ عزیز که دستگاهی داره برای بررسی وضعیت سلامتش… چی می شه اگر کسی اونو هک کنه و ضربان قلب رو ببره بالا یا مشکلات سلامتی رو اصولا گزارش نده؟
آیا اگر من دستگاه رو خاموش کنم ، دیتا از بین می ره؟ یا همیشه می مونه؟
و البته بحث ها بزرگتر هم می شن… ما یک اسم درست کردم به اسم اینترنت چیزها که یادمون می ندازه قراره چیزها به اینترنت وصل بشن… اصل ماجرا اینه؟ نه خیر (: اصل ماجرا اینترنتی است که تمام اطراف ما رو گرفته، سنسورهایی که همه جا دارن کار می کنن.. سرویس ها و حتی آدم ها بهشون وصلن.
بحث فقط گسترش اینترنت نیست بلکه اتفاقا اصل ماجرا یک پیشرفت در سخت افزاره. جاش بورنر می گه این یک حرکت است در ادامه اینترنت. اینترنت تونست همه اطلاعات ما رو به هم وصل کنه و حالا آی او تی همه سخت افزارها رو به هم وصل خواهد کرد. و از اونطرف پروسه تولید متحول می شه و توان مصرفی.. سه هفته قبل یک کمپانی تکنولوژی ای رو معرفی کرد که توش یک وایرلس می تونه با یک باتری برای ۳۵ سال کار کنه! این در واقع اینترنت چیزها رو ممکن خواهد کرد نه بلوتوث مهمل.
البته دقت کنیم که یک خط اشتباه در اینرنت چیزها تلاش برای کوچیکتر کردن همه چیز است. دیوید رز از مدیا لب ام آی تی اپل واچ رو مثال می زنه که یک تکنولوژی اشتباه است: تلاش برای تکرار کوچیکتر تکنولوژی های قبلی. اون می گه مثال خوب از اینترنت چیزها، شمشیر بیلبو بگینز است که دو تا کاربرد داشت: دشمن ها رو نصف می کرد و وقتی اورک یا گابلینی در اطراف بود می درخشید. اینترنت چیزها چتری خواهد بود که وقتی احتمال بارون می ره، دسته اش می درخشه تا ببینین و برش دارین. در واقع بخشی از اینترنت چیزها رو قراره با تعبیر «جادو» درک کنیم.
بحث اخلاقیات هم مهمه. پایه های اینترنت روی یک چیزهایی بنا شده که باید حفظ بشن. مثلا من باید بدونم چه کسی از اطلاعات من استفاد همی کنه یا بهش دسترسی داره. مثلا باید بدونیم که باز بهتر از بسته است و اطلاعات من باید بین دستگاه هام قابل انتقال باشن نه اینکه اگر یک یخچال فلان خریدم تا آخر عمرم باید یخچال فلان بخرم [توضیحات خودم در هر دو مورد]. دیتاهای عمومی باید عمومی باشن (مثلا ترافیک). افراد باید حق پرایوسی روی دیتا داشت باشن و باید بتونن دیتاهاشون رو بگیرن یا حذف کن. یا لازمه پولی که از دیتای جمع شده من جمع می شه به خودم هم برسه…
خلاصه… داستان اصلی اینه که قصه صبح بخیر گفتن در دستشویی و گپ زدن با یخچال رو فراموش کنین. اینکه ابزارها سنسور دارن الزاما معنی شون این نیست که قراره به من و شما خدمت کنن و این چیزها. رادیوگیکی باشین و بدونین تکنولوژی رابطه داره با جامعه و درک من از جامعه است که به درکم از تکنولوژی شکل می ده. دید انتقادی رو حفظ کنین تا تکنولوژی واقعا در خدمت خودمون بمونه نه یک چیزی که ما برده اش بشیم یا کسانی که کنترلش می کنن، ما رو کنترل کنن. گیک ها! متحد بشین شبح آی او تی کره زمین رو فرا گرفته!
تبریک و تقبیح
تقبیح اول برای خودم و رادیو گیک. دو شماره قبل در مورد درگاههای پرداخت آنلاین حرف زدم و گفتم یکسری علیه یکسری یکسری کارها می کنن که انگار طوری شده، ولی تحقیقم در موردش کافی نبود و ظاهرا مطلب اشتباه یا غیر دقیق بود. هنوزم نمی دونم ولی این رو می دونم که چیزی که نسبتا دقیق نمی دونیم رو بهتره نگیم (: شرمندگی نسبت به همه درگاه های پرداخت آنلاین و بخصوص مسعود لطفی عزیز که هر دو سری پیگیری کرد.
نامه ها
سلام جادی عزیز
جواد یا همون Jalal.LinuX هستم.
من آرشیو کامل پادکست هاتو توی سایتم گذاشتم به آدرس زیر hidevs.ir/#!/radiogeek
موسیقی
آهنگهای جنوبی / بندری به پیشنهاد حامد ذاکری هستند که بازخوانی آهنگهای قدیمی هستن
امروز در همه گروههای مرتبط و غیر مرتبط یک خانومی داره توضیح می ده که:
یک هکر هست که یک کد براتون می فرسته که اگر اون کد رو برای خودش بفرستین هک می شین.
مستقل از تعریف هک و غیره، مساله اینه که تمام سیستمهای مبتنی بر تایید دو مرحله ای اس ام اسی یا مشابه، وابسته به کدی هستن که برای شما اسمس یا مسیج می شه. فرض کنین یک گوشی جدید خریدین، تلگرام چجوری می فهمه این گوشی مال شماست؟ شما روی گوشی جدید تلگرام نصب می کنین و به تلگرام می گین که همون نفری هستین که فلان شماره تلفن رو هم (روی گوشی قدیمی) داره. تلگرام برای اطمینان از این ادعا، برای شما یک اسمس یا پیام به گوشی قدیمی می فرسته که حاوی یک عدد است. وارد کردن اون عدد در گوشی جدید تلگرام رو مطمئن می کنه که شما صاحب گوشی قدیمی هستین و اکانت رو روی هر دو گوشی فعال می کنه.
حالا «هکر» قصه ما چیکار می کنه؟ تو چت به شما می گه هکر بزرگ است و الان براتون یک کد می فرسته که اگر اونو برای خودش بفرستین هک می شین. حواس شما از اینکه اصلا کی پیام رو فرستاده پرت این ماجرا می شه که «واقعا هر چی بفرسته رو براش بفرستم هک می شم؟» و اصلا متوجه نیستین پیام واقعا از کجا اومده. لحظاتی بعد هکر روی گوشی مخصوص هک تلگرام نصب کرده و مدعی شده که شخص شخیص شما است و شماره شما رو هم به عنوان شماره خودش به تلگرام داده. تلگرام برای اطمینان از این موضوع، یک مسیح به گوشی قدیمی شما می فرسته و شما اشتباهی فکر می کنین اون پیام از طرف هکر یا دوستتون یا هر چی اومده. اگر همین شماره رو به اون بفرستین اون این شماره رو وارد برنامه می کنه و تلگرام مطمئن می شه که این گوشی دوم شماست و … اکانت شما روی گوشی اون دوستمون فعال می شه. ساده است نه؟
مطمئن هستم شما متوجه شدین ماجرای اینکه «اگر همون کدی که برام می فرسته رو براش بفرستم هک می شم» چیه. این روش برای هر سیستم مبتنی بر تشخیص هویت گوشی جدید بر اساس اسمس و پیام به گوشی قبلی هم کار می کنه. در واقع کسی که اسمس یا مسیج شما رو داره، فرقی با خود شما برای تلگرام یا گوگل یا هر کس دیگه نداره.
اما خب.. شاید برای توضیح این مساله به صدها هزار نفری که الان تو تلگرام هستن به این شکل کمی مشکل باشه. در ضمن توضیح اصلی رو یک خانم داده و این رو یک آقا و منطقا هیجانشون با هم فرق می کنه. پس اگر می خوان برای کسی مساله رو توضیح بدین یا فوروارد کنین تو گروه تلگرامی یا هر چی، متن زیر مناسب تره:
هموطن گرامی. اخیرا فایلی صوتی در تلگرام پخش شده که در آن خانمی مدعی می شود اگر کسی کدی برای شما بفرستد و شما آن کد را دوباره برای خودش بفرستید، شما را هک می کند. این ادعا تا حدی درست و تا حدی اشتباه است. پروفسور لطفی زاده متخصص دفاع سایبری در دانشگاه ماساچوست در این باره توضیحی داده که لازم است همه بدانیم و رعایت کنیم: تلگرام برای تشخیص هویت شما از روشی استفاده می کند به نام «ارسال کد عددی». در این روش تلگرام برای شما کدی ارسال می کند که اگر این کد را به تلگرام بگویید مطمئن می شود با شخص شما طرف است و اجازه ورود به اکانتتان را به کسی که کد را وارد کرده، می دهد. هکرها با استفاده از یک لحظه غفلت شما یا فریب شما به روش های مختلف مدعی می شوند که در حال ارسال کدی به شما هستند در حالی که این کد در اصل با درخواست هکر از طرف خود تلگرام به شما ارسال شده – تکرار می کنم خود تلگرام این کد را فرستاده! اگر این کد را برای آن ها بخوانید یا بفرستید آن ها می توانند آن را به تلگرام بگویند و تلگرام اجازه ورود به اکانت شما را به هکر خواهد داد. خواهش می کنم هر کاری که می کنید، هر کدی که در هر برنامه ای دیده شده را به هیچ وجه به هیچ کسی نگویید تا جلوی هک شدن خود را بگیرید. این بسیار مهم است. لطفا در همه گروهها کپی کنید تا اشخاص بی اخلاق به مقاصد خودشان نرسند. ما باید از یکدیگر دفاع کنیم و به همدیگر آگاهی بدهیم. نیاز به ذکر منبع نیست، فقط کاری کنید که هموطن ها فریب افراد سود جو را نخورند.
هکرهای جهان در این شماره متحد می شن تا انسان ها رو در آخرین سنگر بازیهای فکریشون شکست بدن. مادر این شماره بین آدم ها پول مجانی پخش می کنیم تا ببینیم چه اتفاقی برای آرمان هامون می افته. گیکهای تراز نوین از این شماره استقابل خواهند کرد و تنبلها راحتتر از همیشه در صندلیهاشون فرو خواهند رفت!
خبر نیست در واقع… نکته اینه که حالا کلش آو کلنز با ای پی آی بخشی از اطلاعات مثل سرزمین ها و … رو به برنامه نویس ها می ده. توضیحت خودم در مورد کلش، ارزش ای پی آی با اشاره به فیسبوک در مقابل اورکات، یک مثال مثلا سه بعدی سازی محیط و در نهایت یادآوری ایرانی ها.
ناسا اعلام کرده که لپ تاپ هایی که به شکل روزمره توسط فضانوردهای حاضر در ایستگاه فضایی استفاده می شن رو به لینوکس مهاجرت خواهد داد تا ساپورت فنی اونها راحتتر بشه و بدون دردسر بشه از راه دور مشکلاتشون رو برطرف کرد. به طور دقیق تر گفته شده که «ما کارها رو از ویندوز به لینوکس مهاجرت رو می دیم چون سیستم عاملی لازمه که پایدار و قابل اتکا باشه – چیزی که خودمون روش کنترل داشته باشیم و اگر لازم شد پچ بشه، تنظیم بشه یا سازگار بشه بتونیم خودمون اینکار رو بکنیم». این سوییچ از طریق درخواست آموزش از موسسه لینوکس اتفاق خواهد افتاد و انتظار می ره در کارکرد روزمره برنامه ها تغییری توسط فضانوردها حس نشه. سیستم عاملی که قراره استفاده بشه احتمالا دبیان ۶ خواهد بود تا هیچ مشکلی در پایداری دیده نشه. همچنین ربات انسان نمای آر۲ هم که از لینوکس استفاده می کنه توسط همین شرکت ساپورت خواهد شد.
برندان ایچ یا چنین اسمی، مخترع جاوا اسکریپت است. زبانی که الان حق داریم پر کاربردترین زبان جهان بدونیمش. این آدم همچنین موسس موزیلا است که تونست به سلطه مایکروسافت در براوزرها خاتمه بده و حالا شرکت Brave رو تاسیس کرده تا به جنگ حریف بعدی بره: تبلیغات. ایده بریو اینه که براوزری فوق العاده بنویسه که اد ها رو بلاک کنه و به جاشون چی بذاره؟ عکس گربه؟ نخیر.. تبلیغات !! (: اما روش کار این براوزر فرق می کنه. این براوزر به حقوق شما احترام می ذاره و شما رو تعقیب نمی کنه و اطلاعات نمی دزده و درآمدش از کجا می یاد؟ تبلیغ دهنده ها که می خوان شما حین گشت و گذار در وب، تبلغیات اونها رو به جای تبلغیات سایت ها ببینین! آیا سایت هایی که با تبلیغ زنده هستن ضرر می کنن؟ خیر! ۵۵٪ درآمد تبلیغات به تولید کننده محتوا می رسه. این مکانیزم کمی عجیبه… خوشبختانه قراره براوزر کاملا آزاد باشه و در نتیجه می شه بررسی کرد که واقعا مواظب پرایوسی ما هست یا نه ولی پول در آوردن از طریق قطع کردن پول درآوردن بقیه کاری است که معمولا منجر به دردسر می شه و اتفاقا ایچ این تجربه رو قبلا هم داشته.
کی فکر می کرد ما از خبرگزاری … نه در مورد خبرگزاری … خبر داشته باشیم؟
در قهوهخانه ویکیپدیا با خبر شدم که آژانس خبری … پروانه انتشار عکسهاش رو به CC by 4.0 تغییر داده که با استقبال مدیران باسابقه ویکیپدیای فارسی هم همراه بود.
اخبار مختلفی می یاد که توشون گوگل و فیسبوک دارن دیتاسنترهاشون رو به کشورهای سردسیر منتقل می کنن تا خنک نگه داشتنشون هزینه کمتری داشته باشه ولی ظاهرا روش مایکروسافت چیز دیگه ای است: انتقال سرورها یا در واقع دیتاسنترها به داخل آب. یعنی آب اقیانوس. مایکروسافت می گه که ۵۰٪ جمعیت در نزدیکی سواحل زندگی می کنن و به همین خاطر پروژه ناتیک که فعلا در سطح تحقیقاتی است اولین دیتاسرور خودش رو به داخل اقیانوس انداخته. این کپسول حدود ۱۰۰ تا سنسور مختلف داره تا همه چیزش رو زیر نظر بگیرن و ۱۰۵ روز هم فعال بوده و حالا داره اطلاعاتش رو تحلیل می کنن. پنج تا چیز رو که در نظر بگیرین این مساله خیلی منطقی به نظر می یاد: ۱- یکی از بزرگترین هزینه های دیتاسنترها، هزینه خنک کردن است – گفته می شه تقریبا ۳٪ کل برق جهان در دیتاسنترها مصرف می شه ۲- نیمی از جمعیت کل جهان در کنار ساحل ها زندگی می کنن ۳- با این روش زمان ساخت یک دیتاسنتر از ۲ سال به ۹۰ روز می رسه و ۵- انرژی تجدید شونده بیشتری قابل استفاده می شه و در نهایت اینکار با طبیعت سازگارتره. البته اشکالاتی مثل سخت شدن تعمیرات و تغییرات، خورندگی آب، تغییرات محیط زیست دریایی و غیره هم مشکلاتی هستن که انتظار می ره بشه حلشون کرد.
دانشمندهای لیگو اولین مشاهدههای امواج گرانش رو انجام دادن
امواج گرانشی از مدت ها پیش پیش بینی شده بودن، توسط انیشتین و حالا .. اولین مشاهدات می گه این امواج واقعا وجود دارن. الان ۱.۳ میلیارد سال از زمانی که دو تا سیاهچاله با هم ترکیب شدن و این امواج رو درست کردن می گذره و ما در کره زمین در ماه سپتامبر ۲۰۱۵ این امواج رو دریافت کردیم. این اولین نمونه از امواج گرانشی است که ما تونستیم بسنجیم. این یک پیشرفت عظیم علمی است و پنجره ای به دنیایی جدید بازی می کنه. سیگنال دیده شده بسیار نزدیک به چیزی است که انیشتین پیش بینی کرده بود. انتظار نداشته باشین یک ادمین لینوکس بیشتر از این بتونه توضیح بده. اگر فیزیکدان خوبی هستی به jadijadi روی جیمیل خبر بدین که در قسمت بعدی توضیحش بدین به شنوندگان.
یک بار دیگه آژیر قرمز میز امنیت ناسا به صدا در اومد. اینبار انان سک که قبلا هم ناسا رو هک کرده بودن مسوول بودن. اونها ۲۷۶ گیگابایت اطلاعات منتشر کردن که توش ۶۳۱ ویدئو از رادارهای هواپیما و هواشناسی، ۲۱۴۳ لاگ پروازی و ۲۴۱۴ مورد اطلاعات شخصی کارمندان ناسا است. این گروه توی مقاله اش که در مجله خودش زاین منتشر کرده مدعی است این حمله بسیار وسیع بوده و از طریق ویروسی به اسم گونزی اتفاق افتاده. این ویروس به اونها دسترسی روی یک کامپیوتر رو داده و بعد در ۰.۳۲ ثانیه پسورد ادمین کامپیوتر دوم کشف شده– با بروت فورس! وارد شدن به NAS ناسا به اونها این حجم از اطلاعات رو داده و اطلاعات مهمتری در مورد شیوه کنترل هواپیماهای بدون سرنشین و در نهایت اونها تلاش کردن با mitma مسیر پرواز یک درون ۲۲۲ میلیون دلاری رو تغییر بدن و اون رو در اقیانوس پاسیفیک غرق کنن! این مسیر غیرعادی پرواز توسط یکی از مسوولین امنیتی دیده شده و بقیه ماجرا قابل حدسه.
از وقتی که سیری معرفی شد، بعضی ها شروع کردن ازش سوالاتی رو پرسیدن که در حالت عادی روشون نمی شد از یک خانم بپرسن. بعضی ها حتی پیش تر رفتن و ازش تقاضاهای نامناسب داشتن. وقتی می گم نامناسب.. حالا بذارین تفسیرش رو آخر می گم… نویسنده های دستیار صوتی مایکروسافت یعنی کورتانا هم می دونستن که با چنین چیزی روبرو خواهند بود. به گفته دبورا هریسون که یکی از هشت نفری است که کورتانا رو نوشته می گه شیوه برخورد مردم با دستیارهای صوتی متفاوت است. گاهی خیلی جدی به عنوان یک نرم افزار باهاش کار می کنن، گاهی به عنوان یک خانم باهاش برخورد می کنن، گاهی به عنوان یک دوست و گاهی هم زننده و گاهی هم خصوصی. اون می گه کورتانا برنامه ریزی شده تا جلوی برخورد بد آدم ها باهاش معذرت خواهی نکنه و اجازه نده باهاش به شکل یک فرودست حرف بزنن و اونم قبول کنه. اون جواب سوال های غیر معمول رو با نزاکتی می ده که باعث می شه رفتار گسترش پیدا نکنه. شاید براتون جالب باشه که بعضی شرکت های دیگه که دستیارهای هوشمند درست می کنن رفتارهای مشابه و حتی عجیبتری رو گفتن. مثلا x.ai که یک ربات برنامه ریزی جلسه است گاهی ویسکی و گل و هدیه های دیگه برای خودش سفارش می ده تا به دیت دعوت می شه! توضیح خودم در مورد آزار و هوش مصنوعی و روابط انسانی و لزوم بیرون رفتن گیک ها !
بازی ها میدون رقابت خوبی هستن برای سنجش وضعیت «هوش» ماشین ها در مقابل آدم ها. نوشتن یک برنامه که در چکرز برنده بشه برای من و شما هم ممکنه عملی باشه، نوشتن برنامه ای که شطرنج رو بهتر از یک قهرمان کشوری بازی کنه اما بسیار سخته و نوشتن بازی ای که توی گو برنده بشه تا مدتی پیش غیرممکن. گو یک بازی است که با مهره و تخته بازی می شه. کمی شبیه شطرنج، بیشتر شبیه چکرز ولی بسیار پیچیده تر از هر دوی اینها. البته این که گفتم منظور یک برنده شدن در مقابل یک بازیکن متوسط است. بذارین درست بگم! اولین بار در ۱۹۹۴ تونستیم برنامه ای بنویسیم که در چکرز از قهرمان جهان ببره، در ۱۹۹۷ دیپ بلو تونست قهرمان شطرنج جهان (ذکر خیر کاسپارف) رو ببره و در ۲۰۱۱ واتسن ای بی ام تونست در ژئوپاردی برنده بشه. اما پیش بینی ها می گفت حداقل ده سال دیگه باید بگذره تا یک برنامه گو بتونه قهرمان آدم ها رو شکست بده.. اما خب گوگل به پیش بینی ها عمل نمی کنه… هفته گذشته یک سیستم متشکل از دو تا شبکه عصبی تونست قهرمان گو جهان رو شکست بده و تاریخ ساز بشه! جالبه که این سبک بازی کاملا متفاوت از بازی دیپ بلو است. در واقع دیپ بلو که قهرمان شطرنج شد هزاران برابر بیشتر از آلفا گو به موقعیت ها فکر می کرد ولی سبک بازی آلفا گو چیز دیگه ای است. در آلفا گو یک درخت جستجوی مونت کارلو سعی می کنه بازی های آینده رو ببینه و یک شبکه عصبی بهش می گه کدوم خط ها بهتر هستن. این شبکه عصبی از بررسی ۳۰ میلیون حرکت در بازی قهرمان های انسانی که قبلا با همدیگه بازی کردن یاد گرفته و می تونه حرکت آدمها در شرایط فعلی صفحه رو در ۵۷ درصد مواقع به درستی پیش بینی کنه.
حالا تا اینجا آلفا گو می تونسته به خوبی حدس بزنه که یک آدم چطوری بازی می کنه ولی این برای بردن کافی نیست. یک شبکه عصبی دیگه که هزاران بازی رو با خودش انجام می ده سعی می کنه استراتژی ها و تاکتیکهای جدیدی کشف کنه که باعث برد برنامه در مقابل انسان ها بشن. چیزی که بهش «یادگیری تقویت شونده» می گیم. چنین کاری سابقا غیر ممکن دونسته می شد ولی حالا با استفاده از پلتفرم عظیم گوگل کلاود، تنسور فلو و محاسبات جی پی یو ممکن شده.
لازمه اصلاح کنم که در حال حاضر آلفا گو فقط تونسته قهرمان چند دوره اروپا رو ببره و بازی با لی سدول که قهرمان بلامنازغ جهان است مدتی دیگه برگزار خواهد شد – لی گفته افتخار می کنه که به این بازی دعوت شده و مطمئنه توی این بازی پیروز می شه.
شاید براتون بحث استارتاپی هم جالب باشه… حرفهای خودم در مورد خریدن استارتاپی که قبلا از بازی نگاه کردن، یاد می گرفت بازی کنه.
انکوباتور واقعی سیلیکون ولی و تحقیق در مورد حق داشتن پول
هیچ انسانی نباید گرسنه باشه، همه باید حق درمان داشته باشن، همه باید حق تحصیل داشته باشن و همه باید یک سقف و امکان حرکت در کشور رو داشته باشن. اینها حداقل هر جامعه سالمه و اکثر کشورهای معقول این حقوق رو مستقل از میزان درآمد و شغل و وضعیت شما به رسمیت میشناسن. کشورهای سوسیال دموکرات مثل سوئد نروژ و خیلی از درست و حسابی های دیگه اصولا میگن دارن تلاش می کنن که این حقوق همیشه برای همه حفظ بشه.. هرچند که این حوالی همه چیز هی داره خصوصی تر می شه و اگر پول نداشته باشین… حالا که بحث اینطوری شد ماجرای انکوباتورها رو هم یه تذکری بدیم. انکوباتورها جایی هستن که با کمی پول و کمی هدایت سعی می کنن ایده شما رشد کنه و بتونه روی پای خودشون بایسته. یکی از انکوباتورهای مشهور دنیا Y Combinatior است که ازش ردیت و دراپ باکس و ایر بی اند بی اومدن بیرون و حالا داره یک آزمایش جالب ترتیب می ده: دادن پول «مجانی» به آدم ها و نتیجه رو دیدن. در واقع ایده به سینگولاریتی نزدیکه و آدم هایی مثل اندرسن و پیتر دیامندیس توش نقش دارن. بحث اینه که اگر در آینده ربات ها ثروت تولید کنن و نیازی به حضور ما برای تولید پول نباشه چی می شه؟ شکل خیلی ساده اش اینه که اگر شما بدون هیچ تلاشی به اندازه کافی پول بگیرین ، زندگیتون چه تغییری میکنه؟ این یکی از خطرات «یک آینده خوشحال که روبات ها توش کار می کنن و ما بیکاریم» است! آیا در اون شرایط صبح تا شب لم میدیم رو مبل تلویزیون می بینیم و می شیم مثل آدم های توی کارتون وال ای؟ یا منظم و با حوصله کارهای خلاق می کنیم و پیانو می زنیم و ویدئوی ترویجی درست می کنیم و برای تفریح برنامه می نویسیم؟ مدیر عامل وای کامبینیتور (سم آلتمن) می خواد این رو در یک تحقیق پنج ساله که توش مقدار کافی پول به ۳۰۰ نفر آدم داده خواهد شد آزمایش کنه. فعلا دنبال یک محقق هستن که بتونه این برنامه پنج ساله رو مدیریت کنه (اگر دنبال داوطلب می گردن من داوطلبم پنج سال پول بگیرم کار نکنم ها!). آلتمن می گه «ما می خواهیم بدانیم این ماجرا چه تاثیری روی زندگی آدم ها، شادی و احساس پیروزی آنان خواهد داشت و ایا باعث خواهد شد به سراغ تولید ثروت و هنر بروند یا نه». بعضی مخالفان مدعی هستند که اطمینان از داشتن پول کافی باعث تنبلی می شود ولی در مقابل افراد خوشبین می گویند که نداشتن دغدغه زندگی روزمره، توانایی های نهفته و سرکوب شده انسان ها را شکوفا کرده، باعث میشود انسان ها خلاقیت های خود را به بهترین شکل بروز دهند. لحنم چرا ادبی شد؟! جالب اینه که در همین دوره چهار تا شهر توی هلند هم دارن سعی می کنن تجربه مشابهی راه بندازن و حتی توی سوییس ایده ای هست که کل کشور رو به این سیستم سوییچ کنن که هر کس به پول کافی دسترسی داشته باشه و از این طریق کشوری بهتر بسازه.
تبریک و تقبیح
تقبیحی داریم برای فرهنگستان مهمل که همینجوری لغت کامپیوتری بی معنی می ده بیرون.. و از اون بدتر اشتباه، مثلا «رخنه گر» برای «هکر» اشتباهه یا «ناف» به جای «هاب» به درد نخور و «پرده» به جای «اسکرین» اشتباه و «ثبت ورود» به جای «log on» اشتباه و در مواردی هم مثلا برای انیپوت از درونداد استفاده شده که خب «ورودی» هم درسته هم کاملا جا افتاده. تقبیح دوم برای تد کروز است، سناتور آمریکایی که گفته بی طرفی شبکه همون اوباما کر برای اینترنت است و اینترنت نباید با سرعت دولت حرکت کنه. یا کلا نفهمیده بی طرفی شبکه چیه یا دریافت کمک مالی عظیم از لابیهای تلکام باعث شده اینو توییت کنه. من و شما باید بدونیم که شبکه اینترنت باید نسبت به اینکه دیتای چه کسی داره توش جابجا می شه بی طرف باشه، مثل یک لوله کشی و قرار نیست دولت یا آی اس پی یک سایت رو ببندن یا یکی دیگه رو کند کنن یا هزینه یکی دیگه رو بیشتر از اون یکی بگیرن. بازم تقبیح؟ برای دیکتاتور کره شمالی که از مک استفاده می کنه ولی مردمش حق ندارن از کامپیوتر استفاده کنن و اینترنت براشون سانسور که نه، قطعه کاملا. تبریک به شرکت دابلرز روبوتیکز که ربات هایی برای روم سرویس هتل ها و مستخدمی بیمارستان ها می سازه.
نامه ها
بخش آخر
موسیقی
برای موسیقی آخر از کاوه آفاق آهنگ عطر تو رو پخش می کنیم که تقدیم یم شده به سیما.. از طرف… احسان. ولنتاین مبارک
یک باگ جدید و جدی توی glibc دیده شده. یک باگ خیلی جدی. کتابخونه سی گنو یا همون glibc یکی از بخشهای بسیار مهم اکثر توزیع های لینوکس است. حالا یک باگ توی این کتابخونه هزاران برنامه لینوکس رو تهدید می کنه. این باگ نسبتا شبیه باگ سال گذشته GHOST است (CVE-2015-0235) که اجازه می داد از راه دور کدهایی روی ماشین اجرا بشه.
باگ فعلی (CVE-2015-7547) یک باگ سرریز استک (stack based buffer overflow) است در بخش کلاینت دی ان اس glibc که وظیفه تبدیل کردن آدرس های قابل فهم برای آدم ها (مثلا jadi.net) به آی پی رو داره.
کلیت ماجرا
این مشکل وقتی دیده می شه که یک دستگاه دارای باگ سعی کنه به یک DNS سرور بدطینت ریکوئست بزنه و نتایج رو توی حافظه بذاره (تابع getaddrinfo). چیزی که دی ان اس سرور بدخواه بدجنس بر می گردونه ممکنه حاوی کدی باشه که کار مخربی می کنه و نشستنش توی حافظه – در سطرح تئوری – باعث اجراش خواهد شد. البته در عمل این اتفاق تقریبا غیر ممکنه چون انواع مکانیزمهای امنیتی جلوی اونو خواهند گرفت (شامل ASLR). حالت بعدی اینه که حمله کننده به شکل مرد میانی درخواست های دی ان اس رو خودش بر می گردونه و بینشون کدهای نامناسب درج می کنه.
چه کسانی مبتلا هستن
تقریبا هر سیستم لینوکس جدید با این مشکل مواجه خواهد بود. این باگ از جی لیب سی ۲.۹ به بعد ظاهر شده و در نتیجه هر برنامه ای که با استفاده از توابع glibc به شبکه دسترسی پیدا می کنه ریسک داره. نمونه ها؟ اس اس اچ، سودو و کرل. لیست کامل می خواین؟ تقریبا غیر ممکنه. بهتره تصور کنین اکثر برنامه های مرتبط با شبکه و حتی زبون های پایتون، پی اچ پی، روبی، … و البته برنامههای بیت کوین.
مشکل دقیقا کجاست
محققین گوگل می گن که بخشی از glibc که به دی ان اس ریکوئست می زنه مشکل داره. این مساله به جی لیب سی تذکر داده شده و اصلاح شده و همه باید آپدیت کنیم… حداقل در طول هفته آینده دائما آپدیت کنیم. مهندسین گوگل می گن:
جی لیب سی ۲۰۴۸ بایت برای استک الوک می کنه تا جواب دی ان اس از _nss_dns_gethostbyname4_r رو توش ذخیره کنه. جلوتر در تابع send_dg و send_vc اگر جواب بزرگتر از ۲۰۴۸ بایت باشه، بافر جدیدی درست می شه و پوینترها آپدیت میشن. در شرایط خاص ناهماهنگی بین بافر استک و تخصیص دهی جدید هیپ پیش می یاد و نتیجه این می شه که بافر استک برای ذخیره کردن جواب دی ان اس استفاده می شه، حتی در مواقعی که جواب بزرگتر از اندازه این بافر باشه. این مساله موجب اورفلوی بافر استک می شه.
سه شنبه مهندس گوگل فرمین سرنا یک اکسپلویت برای اثبات این مساله منتشر کرد. با استفاده از این اثبات مفهوم می شه چک کرد که آیا برنامه های ما در مقابل این مشکل صدمه پذیر هستن یا نه (هستن!).
اصلاح
مهندسین گوگل با همراهی ردهت یک پچ برای حل مشکل ارائه کردن. اما مساله اینه که حالا تک تک توزیعها باید glibc خودشون رو آپدیت کنن و هر برنامه ای که استاتیک این کتابخونه رو لینک کرده، باید خودش رو آپدیت کنه. مثل همیشه در دنیای لینوکس وقتی مشکلات دیده بشن سریعا حل می شن و من و شما فقط کافیه آپدیت کنیم. پس در روزهای آینده حواستون به آپدیت ها باشه منتظر آپدیت های زیاد باشین. همچنین اگر از سروری محافظت می کنین که به اینترنت وصل نیست، دردسرهای نسبتا زیادی منتظر شما خواهد بود چون آپدیت کردن این سیستمها معمولا دردسره و در مواردی شاید نتونین به سادگی فقط glibc رو آپدیت کنین.
آیا من و شما در خطریم؟
در حالت معقول نه. کامپیوترهای ما به دی ان اس سرورهای بدجنس وصل نمی شن و اگر از لینوکس هایی به روز استفاده کنیم مشکل همین الان هم تا حدی برطرف شده و فقط در روزهای آینده باید آپدیتها رو جدی بگیریم همچنین اندرویدها به جای glibc از بیونیک استفاده می کنن که این مشکل رو نداره و اکثر لینوکس های درونکار( امبدد؟ ) هم مشکلی نداره چون اکثرا uclibc هستن.
نکته باقیمانده
به سادگی در کامنت ها مطرح کنین و سعی می کنم در سطح سواد و وقت جواب بدم و بقیه رو هم می سپریم به دوستان باسوادتر در کامنت ها (:
به نظر میرسه که اگر معجزهای اتفاق نیافته، ایکس دات اورگ که در اختیار بنیاد X11 است از یک هفته دیگه وضعیت دیگهای خواهد داشت. عضو هیات مدیره بنیاد توی گزارش اخیر هیات مدیره گفته که «x.org در ۱۹ ژانویه اکسپایر میشه. شش ماهه که داریم سعی میکنیم به شکل خصوصی این مساله رو حل کنیم ولی موفق نبودیم. کل تلفنها بینتیجه بوده». در حال حاضر دامین به اسم موسسه ایکس اورگ است ولی این موسسه مدتی قبل منحل شده تا بتونه به شکل یک موسسه ۵۰۱(سی)۳ که مرسومترین فرم موسسات غیرانتفاعی معاف از مالیات است به کار ادامه بده اما حواسش به این جریان نبوده که با اینکار، از نظر حقوقی دامین متعلق به صاحب قبلی خواهد بود.
همونطور که میبینین در حال حاضر این دامین در اختیار لئون شیمن است که زمانی خیلی زیاد در ایکس اورگ فعال بود ولی حالا دیگه چند سالی است که خارج از صحنه است. خلاصه تا یک هفته آینده چک کردن ایکس اورگ هیجان انگیزه!
