آیا قراره باگ Grinch در لینوکس، کریسمس رو خراب کنه؟

سلام

محققان امنیتی آسیب پذیری جدیدی رو در لینوکس کشف کردند که اسم «Grinch» رو برای اون گذاشتند.
تویتت کردم که کلمه Grinch در انگلیسی به معنی کسی است که گند می زنه به لحظه های خوب بقیه و البته اسم یک شخصیت کارتونی هم هست که گند می زنه به کریسمس بقیه. از آنجایی که این باگ در ۱۶ دسامبر ۲۰۱۴ (۲۵آذر) کشف شد و کمتر از ۱۵ روز تا پایان سال مونده بود این اسم رو برای اون انتخاب کردند؛ چون ممکنه که تعطیلات پایان سال مدیران شبکه رو خراب کنه!

grinch

من این مطلب رو از ترندمیکرو گرفتم و البته کمی بهش اضافه کردم و با توجه به ۳ تا مقاله ی دیگه ای که خوندم به نظرم درست و برام جالب اومد. گرینچ به هکر این اجازه رو می ده که روی انواع مختلفی از لینوکس که در آن ها از ابزار polkit برای مشخص کردن سطح دسترسی استفاده می کنه، حمله ی افزایش-دسترسی یا همون privilege escalation رو اجرا کند.
اولین بار حدود یک ماه پیش محققی نام این آسیب پذیری رو PackageKit Privilege Escalation گذاشت.

اما محدوده ی تاثیر گذاری این باگ واقعا محدود و کمه، چون:

دعواهای رمزنگاری در وب و دو خبر ناامنی HTTP از سال ۲۰۱۵!

سلام

پروژه Let's Encrypt برای رمزنگاری تمام وب

دقیقا در یک ماه پیش یعنی در ۲۷ آبان پروژه ای به نام Let's Encrypt توسط (Electronic Frontier Foundation (EFF کلید خورد که قراره طی این پروژه به زودی و در سال ۲۰۱۵ تمام ترافیک وب از HTTP به HTTPS منتقل شه. این پروژه قرار نیست ترافیک سایت شما رو به HTTPS ببره بلکه قراره روشی رو راه اندازی کنند تا مثل الان، داشتن HTTPS هزینه بر، زمان بر و دارای تنظیمات نسبتا سختی نباشه و هر وب سرویس کوچکی به راحتی بتونه از این خدمات استفاده کنه. اسپانسر های این پروژه شرکت های بزرگی مثل موزیلا، سیسکو و آکامی اند.

 

اعلام ناامن بودن سایت هایی که از HTTP استفاده می کنند از سال ۲۰۱۵ توسط گوگل

Marking HTTP As Non-Secure from 2015

http traffic

حالا چرا پروژه ای رو آوردم که تاریخش مال یک ماهه پیشه؟!! موضوعی که نظر من رو جلب کرد این بود که دوستان گوگلی ما (در پروژه chromium ) هم دیروز یعنی ۲۵ آذر ۹۳ (۱۶ دسامبر۲۰۱۴) در حالی که کمتر از ۱۵ روز به شروع سال ۲۰۱۵ میلادی داریم اعلام کردند که از سال ۲۰۱۵ تمام سایت هایی که از HTTP استفاده می کنند از نظر کروم به صورت ناامن یا insecure شناخته می شوند. تیم امنیت گوگل این گونه عنوان کرده که:

تنها دلیل کارکردن، داشتن زندگی بهتر است

سلام

روزی که می خواستم این وبلاگ رو راه بندازم به خودم گفتم که بیش از همه در مورد «زندگی» می نویسم. اما منم مثل خیلی های دیگه از یاد «زندگی» غافل شدم و شروع کردم به نوشتن مطالب مربوط به هک و امنیت و ...

مخاطب این مطلب هم دختر-پسرهای مجردند و هم اونایی که تازه ازدواج کردند. شاید شما هم در اطرافی‌ها یا دوستاتون با چنین افرادی مواجه شده باشید یا شاید هم خودتون مثل افرادی که در ادامه میارم باشید:

life is beautiful

مورد اول: دهنم سرویسه چون ازدواج کردم!

مورد دوم: فعالیت ۲۴ ساعته برای پرواز

مورد سوم: ازدواج در سن حضرت نوح

مورد چهارم: من دفاع دارم، با من کاری نداشته باشید

نتیجه گیری

باگ وحشتناک WinShock از دوست متن بازمون یعنی مایکروسافت!

سلام

باز هم مایکروسافت اما این بار توسط خودش!

متاسفانه تا الان که دارم این مطلب رو می نویسم -با وجود تلاش های شبانه روزیم!- هنوز نتونستم این آسیب پذیری رو به صورت عملی پیاده سازی کنم crying اما امیدوارم به زودی بتونم به نتیجه برسم و این مطلب رو هم آپدیت کنم... بنابراین فعلا این مطلب یک خبر است و مثل همیشه سعی می کنم که اخبار رو به صورت خلاصه بگم.

winshock

معرفی آسیب پذیری

این آسیب پذیری با نام های CVE-2014-6321 و MS14-066 هم شناخته می شود و حمله ی آن به وسیله ی کانال امن ویندوز یا SChannel  صورت می پذیرد. کشف این آسیب پذیری توسط خود مایکروسافت صورت گرفته و وصله ی این آسیب پذیری در تاریخ ۲۰ آبان ۱۳۹۳ (یا ۱۱ نوامبر ۲۰۱۴) منتشر شد. دوستان هکر و مهندسی معکوس بعد از پیدا کردن تغییرات موجود در بسته های بروزرسانی، روی آن کار کردند و کاشف به عمل اومد که این آسیب پذیری یکی از بی نظیرترین باگ های مایکروسافته که به شدت می تونه امنیت سرورهای ویندوزی رو به چالش بکشه. اما چرا؟ چون:

مهارت های فنی و تخصصی لازم برای هکر شدن

سلام

 Required Technical Skills to be a Hacker

هکینگ بدون دانش و مهارت های فنی مثل رويایی می ماند که هیچ وقت به حقیقت نمی رسد. اما سوال اصلی اینه که برای هکر شدن به چه نوع از دانش فنی ای احتیاج است. مهارت های انتزاعی و لمس ناپذیر به تنهایی نمی تواند باعث موفقیت شما در فیلد امنیت اطلاعات شود، شما به درک عمیقی از نحوه ی عملکرد تکنولوژی نیاز دارید؛  شما می بایست نحوه ی کار سیستم ها و پردازش هایی را بشناسید که در تولید یک پالس الکتریکی به فرکانس رادیویی، از یک بیت به بایت ها و  از سیستم عامل ویندوز به لینوکس وجود دارد.  زبان های کامپیوتری مختلفی وجود دارد که لازم است به آن ها دقت کنید اما دنبال کردن یک مسیر راست و درست مهمترین چیزی است که شما را به مقصد می رساند.

 Required Technical Skills to be a Hacker

ادامه را بخوانید...

من، دروپال و توهم هک شدن!

سلام

خدا نیاره اون روزی رو که سایت مرجعی مثل http://drupal.org به اشتباه باعث شه که آدم توهم هک شدن پیدا کنه! (خودمونیش میشه: چرت و پرت بگهangry)

 

بله دیگه. ۲۳ مهر امسال (۱۵ اکتبر ۲۰۱۴ ) بود که خبر یک باگ امنیتی بزرگ در سیستم مدیریت محتوای دروپال پخش شد. این باگ در نسخه های ۷ تا ۷.۳۲ وجود داشت و به هکر اجازه می داد که از طریق روش «تزریق SQL» به سایت حمله کنه و بتونه بدون هیچ پیش نیازی، یک حساب با سطح دسترسی مدیریتی برای خودش ایجاد کنه. از اونجایی که وبلاگ من هم با دروپال نسخه ی ۷.۳۱ بود؛ فورا وبلاگم رو با اکسپلوییتی که به صورت عمومی پخش شده بود چک کردم و خوشبختانه پیام «NOT VULNERABE» رو دریافت کردم. البته بیشتر از این وقت خودم رو برای مطالعه و تحقیق پیرامون این باگ صرف نکردم، چون یک روز قبل از این آسیب پذیری،‌ یعنی ۲۲ مهر، گوگل، حمله پودل در SSL v3.0 رو معرفی کرده بود و تمام وقتم رو برای درک این حمله گذاشته بودم.

drupal hacking

تقریبا دو هفته از این ماجرا گذشت تا از دست حمله پودل و باگ SandWorm راحت شدم و می تونستم به کارهایی که اولویت کمتری داشت (مثل همین روش در دروپال) برسم. اولین نکته ای که نظرم رو جلب کرد، این بود که در سایت دروپال گفته شده بود: «تمام نسخه های ۷ تا ۷.۳۲ آسیب پذیرند...» این جمله من رو نگران کرد. چون سایت من از همون روز اول، آسیب پذیر نبود!!! تا این که به صفحه سوالات رایج در خصوص این آسیب پذیری رسیدم و در قسمتی از اون گفته شده بود که:

حمله poodle در SSLv3 (سگ پشمالوی گوگل)+ وصله آسیب پذیری

سلام

قشنگ ترین باگ ها، اون هایی هستند که در نرم افزار ها و برنامه ای ظاهر می شوند که خودشان برای یک مکانیسم امنیتی ساخته شده اند... مثل Heartbleed در OpenSSL و حالا هم POODLE در SSLv3!

مثل همیشه سعی می کنم، خلاصه توضیح بدم...

این آسیب پذیری در ۱۴ اکتبر یعنی ۲۳ مهر توسط گوگل کشف شد و اسم این حمله، poodle به معنایی نوعی سگ پشمالو گذاشته شده است!

poodle

شهرت پرستی به بهانه ۳ سالگی دنیس ریچی

سلام

استیو جابز بزرگه چون بقیه می گن که بزرگه!! پس شما هم بگید بزرگه... دنیس ریچی عددی نیست چون سر و صدا به پا نکرده.

...پس که اینطور...

چند روز پیش (۶ مهر) نزدیک سومین سالگرد استیو جابز بود و 9GAG عکسی که در ادامه می بینید رو توییت کرد و تا الان ۷۸۷۶ مرتبه ریتوییت و ۴۴۷۲ بار فیو شده! دوستان توییتری می دونند که 7.9K ریتوییت حتی برای 9GAG هم مقدار زیادی است. «مقدار زیادی است» یعنی چی؟ یعنی اینکه افراد زیادی این رو قبول دارند و شاید اکثریتی که این توییت رو دیدند اون رو پسند کردند. مثلا خود من ریتوییت نکردم اما کاملا قبول داشتم.

اما آیا این موضوع چیزی رو عوض می کنه؟! آیا اگر برگردیم به هفته ی بعد از مرگ استیو جابز (که میشه زمان فوت دنیس ریچی) و با توجه به اینکه الان خیلی از ما، دنیس ریچی -خالق زبان برنامه نویسی C و یونیکس- رو میشناسیم چیزی عوض میشه و اتفاق خاصی می افته و دیگه دنیس ریچی رو نادیده نمی گیریم؟!!!

ritchi

پایتون ۳، پایتون را نابود می کند.

سلام

Python 3 is killing Python
The Python community should fork Python 2
اجتماع پایتون باید پایتون ۲ را انشعاب دهد...

دیروز پادکستی از رادیوبوت رو گوش می دادم که در اون، از مقاله ای به قلم آقای Stephen A. Goss می گفتند که مربوط به صحبت ها و بحث هایی می شد که مربوط به چالش های بین پایتون ۲ و ۳ بود. معمولا برای خیلی ها که تازه دنبال یادگیری پایتون اند این موضوع سواله که چرا با توجه به انتشار نسخه ی جدید پایتون (پایتون ۳) هنوز خیلی از برنامه نویس ها از پایتون ۲ استفاده می کنند و ... به نظرم این مقاله، نوشته ی خوبی اومد و اون رو ترجمه کردم. البته من در پایتون صاحب نظر نیستم و یادتون باشه که این نظر شخصی یکی از برنامه نویسان پایتون است و ممکن است خیلی جنبه های دیگر هم وجود داشته باشد که در این مقاله به اون ها اشاره نشده باشد:

خلاصه ی مقاله برای آن هایی که وقت خواندن ندارند:
//خلاصه توسط خودم انجام شده و ممکن است کامل نباشد.

  1. پایتون ۳ بلایی خانمان سوز بود و جلوی رشد پایتون ۲ را نیز گرفت.
  2. مزیت پایتون به داشتن کتابخانه های مختلفی است که برای آن -یعنی پایتون ۲- نوشته شده است. امکان انتقال تمام کتابخانه های پایتون ۳ وجود ندارد و به جز کتابخانه های اصلی بقیه ی کتابخانه ها در پایتون ۳ وجود ندارند.
  3. برای سازگار کردن نرم افزاری که به زبان پایتون ۲ نوشته شده با نسخه ی پایتون ۳ نیازمند هزینه ی بالایی هستیم و این کار برای شرکت ها صرفه نخواهد داشت و ممکن است به صورت کامل به زبان برنامه نویسی دیگری نقل مکان کنند.
  4. استفاده از کتابخانه های عمومی تفاوتی نمی کند و از جذابیت پایتون می کاهد.
  5. با به وجود آمدن پایتون ۳، پایتون ۲ مطرود شده است. پایتون ۳ ویژگی خاصی را به پایتون اضافه نکرده است اما کار انتقال را سخت و کتابخانه ها را محدود کرده است و این موضوع باعث مهاجرت برنامه نویسان به زبان های برنامه نویسی دیگر می شود.
  6. یکی از راه حل های این است که پایتون ۳ را فراموش کنیم و انشعاب جدیدی از پایتون ۲ با نام پایتون ۲.۸ را منتشر کنیم.
  7. پایتون ۲ را باید از نو احیاء کنیم و این کار باید توسط اجتماع پایتون صورت پذیرد. در غیر این صورت پایتون نابود می شود.

 

python 3 is killing python

نسخه پیش نمایش ویندوز 10 کیلاگری برای تحت نظر گرفتن تمام حرکات شما دارد!

سلام

Windows10 Preview Edition Has a Keylogger to Watch Your Every Move

!امیدوارم با این مطلب مثل یک چیز عادی و شوخی رفتار نکنید، مایکروسافت واقعا داره دزدی می کنه!

در هفته ی قبل مایکروسافت نسخه بعدی سیستم عامل خودش را با نام ویندوز ۱۰ ارائه داد. پیش نمایش فنی ویندوز ۱۰ برای جمع کردن فیدبک های کاربران منتشر میشه تا بتونند از اون در نسخه ی نهایی سیستم عامل کمک بگیرند اما اینجا یه چیزی وجود داره که واقعا غلطه

خیلی خوب. چند نفر از ما مستندات مربوط به «Terms of Service» و «Privacy Policy» رو قبل از دانلود و پیش نمایش منتشر شده از ویندوز ۱۰ خوندیم؟ حدس من اینه که هیچ کدام از ما. برای اینکه بیشتر کاربران طبق عادت آن را نادیده می گیرند و به سادگی روی «I Agree» و سپس  «next» کلیک می کنند که اصلا چیز خوبی نیست!
آیا می دونید که با این کار واقعا چه اجازه ای به مایکروسافت داده اید؟ می دونید برای نصب رایگان نسخه پیش نمایش فنی ویندوز ۱۰، به چه مجوزهایی لازمه؟ البته که نمی دونید.

keep calm- microsoft

صفحه‌ها