حمله‌ی هکری دوست‌داشتنی به زیرساخت شبکه

سلام
اواسط هفته‌ی پیش یک حمله‌ی منع خدمتِ توزیع‌شده (DDoS) در سطح زیرساخت اینترنت اجرا شده که واقعا باید به هکرش بگیم: «دمت گرم!»

معمولا در دانشگاه‌ها در موردIP و پکت‌بندی، جدول‌های مسیریابی و... صحبت می‌شه و کمتر استادی این علم و دانش رو داره که بخواد در مورد اتفاقایی که در زیرساخت شبکه می‌افته، صحبت کنه!

زندگی من از وقتی که فهمیدم چه اتفاقاتی برای یک بسته‌ی IP بعد از جداشدن از کارت شبکه می‌افته زیر و رو شد!! این موضوع جزو شیرین‌ترین مباحث شبکه و دنیای کامپیوتره و به نظرم حتما برید دنبالش...

dns root servers ddos

در حمله‌ی اخیر، هکر در هر ثانیه ۵ میلیون درخواست به DNS Root Serverها ارسال می‌کنه. تعداد این سرورها فقط ۱۳تاست و هکر حمله‌ی خودش رو در دو بازه‌ی زمانی مختلف اجرا کرده. حمله‌ی اول در ۹ آذر (به مدت ۱۶۰ دقیقه) و حمله‌ی دوم در ۱۰ آذر (در حدود ۱ ساعت) اجرا شده!

آب حیات۳: خداحافظی

سلام

این نوشته ادامه‌ی مطلب «آب حیات۲: تصمیم بزرگ»ـه.

خوب من دیگه تصمیمم رو گرفته‌بودم. حالا وقتش بود که از بقیه خداحافظی کنم و راهی این سفر بشم. خداحافظی همیشه سخته. مهم نیست که قراره از کجا به کجا برید. حتی اگر جای جدید بهتر از جای قبلی باشه بازهم وقتی قراره از جامعه‌ی خودتون جدا بشین همیشه با سختی همراهه. مثال ساده‌ش میشه مثل کسی که برای ادامه‌ی تحصیل در دانشگاه مجبوره از خانواده‌ش جدا بشه و به شهر دیگه‌ای بره... همیشه این کار جزء سخت‌ترین کارها بوده...

وقتی آدما قراره واسه یه مدت طولانی نباشن از دو دسته خداحافظی می‌کنند:
۱) همکارها و همسایه‌ها و دوست‌های معمولی
۲) خانواده و جامعه‌ی خودشون.

افشاء ۱۳ میلیون ایمیل و پسورد از 000Webhost

سلام

سایت 000Webhost سایت بسیار مشهوریه که امکانات رایگان هاستینگ به شما می‌ده. حداقل من چندتا از دوستام رو می‌شناسم که از این سرویس‌دهنده برای سایت‌های شخصی‌شون استفاده کردند.

000webgost hacked

حدود ۵ ماه پیش این سایت هک می‌شه و هکر از دیتابیس مربوط به اکانت‌ها (نام+نام خانوادگی+آی‌پی+یوزرنیم+ایمیل+پسوردها) تعداد ۱۳ میلیون! رکورد رو دامپ می‌کنه. جالب اینه که این سایتِ مشهور!! برای ذخیره‌سازی پسوردها از الگوریتم هش‌کردن استفاده نکرده و تمام پسوردها به صورت plaintext ذخیره شدند.

این مورد دیروز (۶ آبان ۹۴) توسط «تروی هانت» در وبلاگش به صورت عمومی منتشر می‌شه. البته فعلا ایمیل‌ها و پسوردها به صورت عمومی منتشر نشده و هانت سایتی (haveibeenpwned.com) رو راه انداخته که با وارد کردن یوزرنیم یا ایمیل‌تون می‌تونید از هک شدن/نشدن اکانت‌تون با خبر شید.

چگونه NSA می‌تونه تریلیون‌ها اتصال رمزنگاری‌شده رو بشکنه؟!

سلام

How NSA successfully Broke Trillions of Encrypted Connections

اگر محتوای این مطالب واقعیت داشته باشه می‌شه گفت که فاجعه است.

nsa crack encryption

بله، به نظر می‌رسه که این راز برملاء شده.

با تشکر از اسنودن و افشاءگری‌های اون در سال ۲۰۱۳ این رو فهمیدیم که NSA این قدرت رو داره که اکثر اتصالات رمزنگاری شده رو در فضای اینترنت بشکونه.

اما چیزی که نمی‌دونستیم این بود که NSA واقعا چجوری اتصالات VPN یا کانال‌های SSH یا HTTPS رو می‌شکونه و از این طریق می‌تونه به صدها میلیون ایمیل شخصی در سراسر جهان دسترسی پیدا کنه.

اخیرا، الکس هادرمن و نادیا هنینگر در کنفرانس ACM مقاله‌ای رو ارائه دادند که این ارائه تا این لحظه محتمل‌ترین تئوری‌ایه که می‌گه چجوری NSA این کار رو انجام می‌ده.

روایتی از یکی از بازماندگان فاجعه‌ی لامپدوسا

سلام

خانم Fanus یکی از بازماندگان فاجعه‌ی لامپدوسا در اکتبر ۲۰۱۳ است که در اون ۳۵۰ نفری (پناهجویی) که قصد داشتند از مدیترانه عبور کنند، در این دریا غرق شدند و تنها ۱۵۰ نفر موفق به عبور شدند. این نوشته به زبان اوست- پیشنهاد می‌کنم اگر روحیه‌ی حساسی دارید این متن رو نخونید:

lampedusa ghost ship

تنها چیزی که یادمه اینه که توی آب از خواب بیدار شدم و نمی‌دونستم که چه اتفاقی افتاده و تلاش می‌کردم که شنا کنم اما نمی‌تونستم. شروع کردم مثل سگ‌ها به دست‌وپا زدن. هرچقدر که بیشتر دست‌وپا می‌زدم بیشتر احساس غرق‌شدگی می‌کردم.

هیچکسی رو نمی‌دیدم که حرکت کنه؛ تنها چیزی که به چشم می‌خورد بدن‌های شناور و بدون حرکت بود. در یک لحظه دیدم که یک مرد جوان، گردن من رو به شدت گرفته؛ وقتی این اتفاق افتاد فهمیدم که جفت‌مون داریم غرق می‌شیم و تنها چاره‌ای که برام مونده‌بود این بود که با اون بجنگم تا بذاره برم. وقتی به پشتم نگاه کردم دیگه نتونستم اون رو ببینم...

(سوء)استفاده از یونیکد برای ساخت تراژدی

سلام

mimicبرنامه‌ی mimic برای اهداف زیر ساخته شده:

  • سرگرمی
  • دهن طرف مقابل رو سرویس‌کردن
  • کنجکاوی
  • جنون مرگبار

 

ایده‌ی اصلی این برنامه از توییت پیتر ریچی گرفته شده که در اون پیتر می‌گه:

در سورس‌کد برنامه‌ی دوست‌تون که به زبان #C نوشته‌شده، مقدار نقطه‌ویرگول (;) رو با علامت سوال در زبان یونانی (;) جابجا (replace) کنید تا برنامه پُر بشه از خطاهای سینتکسی

کلا به چیزهایی که شکل اون‌ها شبیه همه اما یکی نیستند می‌گن هوموگراف(Homograph). مثل بیت زیر که همه‌مون شنیدیم...

باگ SQLi در Joomla 3.4.5 + وصله‌ی آن

سلام

ایام محرم رو به همه تسلیت می‌گم...

جوملا امروز به طور رسمی اعلام کرد که نسخه‌ی جدید جوملا ۳٫۴٫۵ قابل دانلود و استفاده‌است.

پکیج‌های هسته‌ی Joomla 3.4.5 دارای یک آسیب‌پذیری جدی و بسیار خطرناک بود. این آسیب‌پذیری از نوع تزریق SQL یا همون SQL Injection بود که در نسخه‌ی جدید اصلاح شده.

این باگ به خودی‌خود در جوملا وجود داشته و نیاز به نصب و یا فعال‌سازی هیچ ماژول یا بسته‌ای نیست.

SQLi

نیاز به توضیح نداره که با SQLi بدون هیچ دسترسی قبلی و از راه دور می‌شه کنترل تمام سیستم و حتی در برخی موارد سرور رو به دست گرفت.

این آسیب‌پذیری در آدرس زیر و تابع ()getListQuery وجود داره:

 /administrator/components/com_contenthistory/models/history.php (option=com_contenthistory&view=history)

پایان عمر الگوریتم هش SHA-1 به دلیل وجود تصادم

سلام

Freestart collision for full SHA-1

همونطور که می‌دونید در بخشی از امضای دیجیتال، چکیده یا همون digest پیام محاسبه و برای این کار از الگوریتم‌های هش استفاده می‌شه.

فرق هش‌کردن با رمزنگاری اینه که وقتی پیامی رو رمز می‌کنیم با استفاده از کلید رمزنگاری می‌تونیم اون پیام رو از حالت رمز خارج کنیم اما وقتی عبارتی رو هش می‌کنیم نمی‌شه دیگه اون رو برگردوند. به تعبیر دیگه، الگوریتم‌های هش برگشت‌پذیر نیستند.

collision in SHA1 Hash Algorithm

روش SHA-1 یکی از این الگوریتم‌هاست که در سال ۱۹۹۵ توسط NSA طراحی‌شده و در حال حاضر هم به صورت گسترده‌ای در وب مورد استفاده قرار می‌گیره.

این الگوریتم‌ها زمانی کار‌آیی دارند که به ازای هر پیام، مقدار هش منحصر به فردی رو تولید کنند و اگر دو پیام دارای هش یکسانی باشند یعنی الگوریتم داره گند می‌زنه و هکر می‌تونه با استفاده از اون، سیستم‌ امضای دیجیتال رو دور بزنه و خیلی کارهای خبیثانه مثل نفوذ به تراکنش‌های بانکی رو انجام بده.

آب حیات۲: تصمیم بزرگ

سلام

این نوشته ادامه‌ی مطلب «آب حیات۱: زندگی عادی و خوب» است.

وقتی از عقلای شهر ناامید شدم به سراغ اونایی رفتم که به واسطه‌ی احساسات قشنگ‌شون بهره‌ی بیشتری از انسانیت می‌برند؛  یکی از اون‌ها گفت:

«عقلای شهر اون چیزی که در فکر خودشون هست رو بازگو می‌کنند. شاید برای به دست آوردنش راه سختی در پیش باشه اما بعد از این همه سختی قراره به آب حیات برسی. اگر هم آب حیاتی در کار نباشه میدونی که تلاش خودت رو کردی و بعدا افسوس نمی‌خوری. البته اگر به آب حیات ایمان داشته باشی بدون شک آب حیات همیشه وجود داره :) خوبی این دنیا به اینه که می‌تونی به هر چیزی که آرزوش رو داری برسی»

آب حیات ۱: زندگی عادی و خوب

سلام
شایعه شده بالای یک قله‌ی بلند که تا حالا هیچکس نتونسته به اون برسه یک دریاچه‌ی خیلی بزرگ قرار داره که به خنکی و زلالی آب اون در دنیا وجود نداره... اسمش رو می‌ذارم آب حیات. هر کسی که به آب حیات رسیده رستگار شده و به تمام آرزوهاش رسیده.

عزم کردم به آب حیات برسم. وقتی با بقیه در موردش صحبت کردم خیلی‌ها می‌گفتند این کار دیوانگیه که بخوای از این کوه بالا بری و قبل از اینکه بهش برسی تلف می‌شی و جون خودت رو از دست می‌دی... بهم می‌گفتند که باید به همین آب‌ چاهی که در شهر وجود داره بسنده کنم؛ چون اکثر مردم با همین آب سپری می‌کنند و زندگی عادی و خوبی هم دارند...

صفحه‌ها