تنها دلیل کارکردن، داشتن زندگی بهتر است

سلام

روزی که می خواستم این وبلاگ رو راه بندازم به خودم گفتم که بیش از همه در مورد «زندگی» می نویسم. اما منم مثل خیلی های دیگه از یاد «زندگی» غافل شدم و شروع کردم به نوشتن مطالب مربوط به هک و امنیت و ...

مخاطب این مطلب هم دختر-پسرهای مجردند و هم اونایی که تازه ازدواج کردند. شاید شما هم در اطرافی‌ها یا دوستاتون با چنین افرادی مواجه شده باشید یا شاید هم خودتون مثل افرادی که در ادامه میارم باشید:

life is beautiful

مورد اول: دهنم سرویسه چون ازدواج کردم!

مورد دوم: فعالیت ۲۴ ساعته برای پرواز

مورد سوم: ازدواج در سن حضرت نوح

مورد چهارم: من دفاع دارم، با من کاری نداشته باشید

نتیجه گیری

باگ وحشتناک WinShock از دوست متن بازمون یعنی مایکروسافت!

سلام

باز هم مایکروسافت اما این بار توسط خودش!

متاسفانه تا الان که دارم این مطلب رو می نویسم -با وجود تلاش های شبانه روزیم!- هنوز نتونستم این آسیب پذیری رو به صورت عملی پیاده سازی کنم crying اما امیدوارم به زودی بتونم به نتیجه برسم و این مطلب رو هم آپدیت کنم... بنابراین فعلا این مطلب یک خبر است و مثل همیشه سعی می کنم که اخبار رو به صورت خلاصه بگم.

winshock

معرفی آسیب پذیری

این آسیب پذیری با نام های CVE-2014-6321 و MS14-066 هم شناخته می شود و حمله ی آن به وسیله ی کانال امن ویندوز یا SChannel  صورت می پذیرد. کشف این آسیب پذیری توسط خود مایکروسافت صورت گرفته و وصله ی این آسیب پذیری در تاریخ ۲۰ آبان ۱۳۹۳ (یا ۱۱ نوامبر ۲۰۱۴) منتشر شد. دوستان هکر و مهندسی معکوس بعد از پیدا کردن تغییرات موجود در بسته های بروزرسانی، روی آن کار کردند و کاشف به عمل اومد که این آسیب پذیری یکی از بی نظیرترین باگ های مایکروسافته که به شدت می تونه امنیت سرورهای ویندوزی رو به چالش بکشه. اما چرا؟ چون:

مهارت های فنی و تخصصی لازم برای هکر شدن

سلام

 Required Technical Skills to be a Hacker

هکینگ بدون دانش و مهارت های فنی مثل رويایی می ماند که هیچ وقت به حقیقت نمی رسد. اما سوال اصلی اینه که برای هکر شدن به چه نوع از دانش فنی ای احتیاج است. مهارت های انتزاعی و لمس ناپذیر به تنهایی نمی تواند باعث موفقیت شما در فیلد امنیت اطلاعات شود، شما به درک عمیقی از نحوه ی عملکرد تکنولوژی نیاز دارید؛  شما می بایست نحوه ی کار سیستم ها و پردازش هایی را بشناسید که در تولید یک پالس الکتریکی به فرکانس رادیویی، از یک بیت به بایت ها و  از سیستم عامل ویندوز به لینوکس وجود دارد.  زبان های کامپیوتری مختلفی وجود دارد که لازم است به آن ها دقت کنید اما دنبال کردن یک مسیر راست و درست مهمترین چیزی است که شما را به مقصد می رساند.

 Required Technical Skills to be a Hacker

ادامه را بخوانید...

من، دروپال و توهم هک شدن!

سلام

خدا نیاره اون روزی رو که سایت مرجعی مثل http://drupal.org به اشتباه باعث شه که آدم توهم هک شدن پیدا کنه! (خودمونیش میشه: چرت و پرت بگهangry)

 

بله دیگه. ۲۳ مهر امسال (۱۵ اکتبر ۲۰۱۴ ) بود که خبر یک باگ امنیتی بزرگ در سیستم مدیریت محتوای دروپال پخش شد. این باگ در نسخه های ۷ تا ۷.۳۲ وجود داشت و به هکر اجازه می داد که از طریق روش «تزریق SQL» به سایت حمله کنه و بتونه بدون هیچ پیش نیازی، یک حساب با سطح دسترسی مدیریتی برای خودش ایجاد کنه. از اونجایی که وبلاگ من هم با دروپال نسخه ی ۷.۳۱ بود؛ فورا وبلاگم رو با اکسپلوییتی که به صورت عمومی پخش شده بود چک کردم و خوشبختانه پیام «NOT VULNERABE» رو دریافت کردم. البته بیشتر از این وقت خودم رو برای مطالعه و تحقیق پیرامون این باگ صرف نکردم، چون یک روز قبل از این آسیب پذیری،‌ یعنی ۲۲ مهر، گوگل، حمله پودل در SSL v3.0 رو معرفی کرده بود و تمام وقتم رو برای درک این حمله گذاشته بودم.

drupal hacking

تقریبا دو هفته از این ماجرا گذشت تا از دست حمله پودل و باگ SandWorm راحت شدم و می تونستم به کارهایی که اولویت کمتری داشت (مثل همین روش در دروپال) برسم. اولین نکته ای که نظرم رو جلب کرد، این بود که در سایت دروپال گفته شده بود: «تمام نسخه های ۷ تا ۷.۳۲ آسیب پذیرند...» این جمله من رو نگران کرد. چون سایت من از همون روز اول، آسیب پذیر نبود!!! تا این که به صفحه سوالات رایج در خصوص این آسیب پذیری رسیدم و در قسمتی از اون گفته شده بود که:

حمله poodle در SSLv3 (سگ پشمالوی گوگل)+ وصله آسیب پذیری

سلام

قشنگ ترین باگ ها، اون هایی هستند که در نرم افزار ها و برنامه ای ظاهر می شوند که خودشان برای یک مکانیسم امنیتی ساخته شده اند... مثل Heartbleed در OpenSSL و حالا هم POODLE در SSLv3!

مثل همیشه سعی می کنم، خلاصه توضیح بدم...

این آسیب پذیری در ۱۴ اکتبر یعنی ۲۳ مهر توسط گوگل کشف شد و اسم این حمله، poodle به معنایی نوعی سگ پشمالو گذاشته شده است!

poodle

شهرت پرستی به بهانه ۳ سالگی دنیس ریچی

سلام

استیو جابز بزرگه چون بقیه می گن که بزرگه!! پس شما هم بگید بزرگه... دنیس ریچی عددی نیست چون سر و صدا به پا نکرده.

...پس که اینطور...

چند روز پیش (۶ مهر) نزدیک سومین سالگرد استیو جابز بود و 9GAG عکسی که در ادامه می بینید رو توییت کرد و تا الان ۷۸۷۶ مرتبه ریتوییت و ۴۴۷۲ بار فیو شده! دوستان توییتری می دونند که 7.9K ریتوییت حتی برای 9GAG هم مقدار زیادی است. «مقدار زیادی است» یعنی چی؟ یعنی اینکه افراد زیادی این رو قبول دارند و شاید اکثریتی که این توییت رو دیدند اون رو پسند کردند. مثلا خود من ریتوییت نکردم اما کاملا قبول داشتم.

اما آیا این موضوع چیزی رو عوض می کنه؟! آیا اگر برگردیم به هفته ی بعد از مرگ استیو جابز (که میشه زمان فوت دنیس ریچی) و با توجه به اینکه الان خیلی از ما، دنیس ریچی -خالق زبان برنامه نویسی C و یونیکس- رو میشناسیم چیزی عوض میشه و اتفاق خاصی می افته و دیگه دنیس ریچی رو نادیده نمی گیریم؟!!!

ritchi

پایتون ۳، پایتون را نابود می کند.

سلام

Python 3 is killing Python
The Python community should fork Python 2
اجتماع پایتون باید پایتون ۲ را انشعاب دهد...

دیروز پادکستی از رادیوبوت رو گوش می دادم که در اون، از مقاله ای به قلم آقای Stephen A. Goss می گفتند که مربوط به صحبت ها و بحث هایی می شد که مربوط به چالش های بین پایتون ۲ و ۳ بود. معمولا برای خیلی ها که تازه دنبال یادگیری پایتون اند این موضوع سواله که چرا با توجه به انتشار نسخه ی جدید پایتون (پایتون ۳) هنوز خیلی از برنامه نویس ها از پایتون ۲ استفاده می کنند و ... به نظرم این مقاله، نوشته ی خوبی اومد و اون رو ترجمه کردم. البته من در پایتون صاحب نظر نیستم و یادتون باشه که این نظر شخصی یکی از برنامه نویسان پایتون است و ممکن است خیلی جنبه های دیگر هم وجود داشته باشد که در این مقاله به اون ها اشاره نشده باشد:

خلاصه ی مقاله برای آن هایی که وقت خواندن ندارند:
//خلاصه توسط خودم انجام شده و ممکن است کامل نباشد.

  1. پایتون ۳ بلایی خانمان سوز بود و جلوی رشد پایتون ۲ را نیز گرفت.
  2. مزیت پایتون به داشتن کتابخانه های مختلفی است که برای آن -یعنی پایتون ۲- نوشته شده است. امکان انتقال تمام کتابخانه های پایتون ۳ وجود ندارد و به جز کتابخانه های اصلی بقیه ی کتابخانه ها در پایتون ۳ وجود ندارند.
  3. برای سازگار کردن نرم افزاری که به زبان پایتون ۲ نوشته شده با نسخه ی پایتون ۳ نیازمند هزینه ی بالایی هستیم و این کار برای شرکت ها صرفه نخواهد داشت و ممکن است به صورت کامل به زبان برنامه نویسی دیگری نقل مکان کنند.
  4. استفاده از کتابخانه های عمومی تفاوتی نمی کند و از جذابیت پایتون می کاهد.
  5. با به وجود آمدن پایتون ۳، پایتون ۲ مطرود شده است. پایتون ۳ ویژگی خاصی را به پایتون اضافه نکرده است اما کار انتقال را سخت و کتابخانه ها را محدود کرده است و این موضوع باعث مهاجرت برنامه نویسان به زبان های برنامه نویسی دیگر می شود.
  6. یکی از راه حل های این است که پایتون ۳ را فراموش کنیم و انشعاب جدیدی از پایتون ۲ با نام پایتون ۲.۸ را منتشر کنیم.
  7. پایتون ۲ را باید از نو احیاء کنیم و این کار باید توسط اجتماع پایتون صورت پذیرد. در غیر این صورت پایتون نابود می شود.

 

python 3 is killing python

نسخه پیش نمایش ویندوز 10 کیلاگری برای تحت نظر گرفتن تمام حرکات شما دارد!

سلام

Windows10 Preview Edition Has a Keylogger to Watch Your Every Move

!امیدوارم با این مطلب مثل یک چیز عادی و شوخی رفتار نکنید، مایکروسافت واقعا داره دزدی می کنه!

در هفته ی قبل مایکروسافت نسخه بعدی سیستم عامل خودش را با نام ویندوز ۱۰ ارائه داد. پیش نمایش فنی ویندوز ۱۰ برای جمع کردن فیدبک های کاربران منتشر میشه تا بتونند از اون در نسخه ی نهایی سیستم عامل کمک بگیرند اما اینجا یه چیزی وجود داره که واقعا غلطه

خیلی خوب. چند نفر از ما مستندات مربوط به «Terms of Service» و «Privacy Policy» رو قبل از دانلود و پیش نمایش منتشر شده از ویندوز ۱۰ خوندیم؟ حدس من اینه که هیچ کدام از ما. برای اینکه بیشتر کاربران طبق عادت آن را نادیده می گیرند و به سادگی روی «I Agree» و سپس  «next» کلیک می کنند که اصلا چیز خوبی نیست!
آیا می دونید که با این کار واقعا چه اجازه ای به مایکروسافت داده اید؟ می دونید برای نصب رایگان نسخه پیش نمایش فنی ویندوز ۱۰، به چه مجوزهایی لازمه؟ البته که نمی دونید.

keep calm- microsoft

رقابت با ترول، با چاشنی هکینگ

سلام

در این پست یک مثال کامل از حمله به برنامه های تحت وب، سرویس های FTP, SSH، بروت فورس، تغییر فایل های سیستم و ... را به صورت عملی مشاهده می کنید.

این پست نمونه ای از مسابقات CTF یا همان Capture The Flag است که می بایست فایل proof.txt موجود در root/ را به دست آورید. این رقابت توسط vulnhub طراحی شده که به شما یک ماشین مجازی در ویرچوال باکس می دهد (موجود در این لینک) و شما می بایست از راه دور به آن حمله کنید. هیچ گونه دسترسی فیزیکی ای مجاز نیست. سطح آن مبتدی بوده و بنابراین برای تمام علاقمندانی که می خواهند خود را به چالش بکشند، توصیه می شود.(سعی کنید قبل از خواندن ادامه ی پست خودتان این مسیر را طی کنید) عکس ها و سناریوی حمله را از این لینک برداشتم و کار ترجمه ی آن با خودم، یعنی تمدن بوده است. ممنون از رعایت کپی رایت :)

pic0

وقتی که یونیکس شک زده می شود.

همه چیز در مورد CVE-2014-6271 یا ShellShock یا باگ بش

When Unix is shocked (Everything about CVE-2014-6271 or ShellShock or Bash Bug)

سلام

یک مقاله ای در این زمینه برای مرور نوشتم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.

امسال، سالیه که کاربران یونیکس و به خصوص لینوکس شک زده شدند. در اوایل سال برنامه ای که قرار بود تامین کننده ی امنیت باشه، خونریزی کرد و الان هم (۲۴ سپتامبر ۲۰۱۴ یعنی ۲ مهر ۱۳۹۳) نسخه ای از Bash که عمر ۲۲ ساله داره دچار یک ضعف امنیتی وحشتناک شده. واو!

ShellShock

باگ Bash که بود و چه کرد؟!

بش یک مفسر است که دستورات کاربر را در محیط های یونیکسی مدیریت می کند. با استفاده از این باگ، هکر می تواند از راه دور، دستوراتی که می خواهد را در سیستم قربانی اجرا کند. اما هکر نیاز به دو دسترسی دارد. دسترسی به شل و دسترسی به متغیرهای محیطی یا Environment Variableها. این دسترسی در موارد زیر ایجاد می شود:

صفحه‌ها