اسکاتلند، کامنت‌های توهین‌آمیز در شبکه‌های اجتماعی رو پیگیری می‌کنه

سلام

monito 2

در ۶ ماه مارس ۲۰۱۲، شش سرباز انگلیسی بر اثر یک انفجار در کنار جاده، کشته شدند. و دیوید کامرون به عنوان نخست وزیر وقت، اون روز رو در کشور عزای عمومی اعلام کرد. «احمد اظهر» بعد از دو روز و با دیدن عکس‌العمل ها رفت توی فیس‌بوک و نوشت که: تا الان افغانی های بی گناه زیادی به دست سربازهای انگلیسی کشته شدند و هیچ کس هم در مورد اون ها صحبتی نکرده و به همین دلیل سربازهای انگلیسی که در افغانستان هستند رو گناهکار دونسته و گفته بود که اون ها مستحق مرگ بودند و در واقع از قبل به جهنم رفتند...

تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی

سلام

در آخرین روز از سال ۲۰۱۴ میلادی سایت infosecinstitute مطلبی رو با عنوان «تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی» منتشر کرد که به نظر من زیادی توضیح داده بود و شاید حوصله ی خیلی ها نکشه همه‌اش رو بخونند. یه جورایی خلاصه‌اش کردم.

در این آموزش قرار لاگ‌فایل های آپاچی سرور رو به منظور کشف بعضی از حملاتی که به وب اپلیکیشن ها میشه؛ چک کنیم.

beginnerApacheLogAnalysis1

سرویس جدید مگاچت، کابوس NSA خواهد شد

سلام

آقای Kim Dotcom، موسس سرویس های Mega قصد داره سرویسی رو ارائه کنه که چت های صوتی و تصویری رو به صورت رمزگزاری شده جابجا کنه و این کار به شکلیه که دیگه دولت ها نمی تونند ارتباطات کاربران رو نظارت کنند.

megachat

دیروز ۸ دی ۱۳۹۳ (۲۹ دسامبر)کیم دات‌کام توییت کرده که:

مگا به زودی برای سرویس چت و تماس های تصویری یک مرورگر که تماما رمز می کنه و سرعت بالایی هم داره رو منتشر خواهد کرد.
بای بای اسکایپ :-)

در توییت دیگه ای هم گفته که:

۳ دقیقه با ریچارد استالمن و جاسوسی اوبونتو

سلام

آرش خوئینی یکی از ویدئوهای ریچارداستالمن رو توییت کرد که استالمن در اون از جاسوسی اوبونتو صحبت می کنه. درسته که ویدئوش کمی قدیمیه اما برای من که دنبال بهونه ای برای نوشتن بودم، خیلی هم خوب بود و قسمت اول اون رو ترجمه کردم.(شرمنده اگر ترجمه اش خوب نشده) حتی اگر این متن رو می خونید باز به نظرم دیدن ویدئو صفای دیگه ای داره! خوب بریم سراغ ریچارد:

richard stallman

باحال ترین آسیب پذیری های امنیتی سال ۲۰۱۴

سلام

TOP Security Issues 2014 by tamadonEH

کریسمس‌شون مبارک! سال ۲۰۱۴ هم تقریبا تموم شد :) امسال سالی بود که واقعا هکرها ترکوندند D:

در این مطلب سعی می کنم، آسیب پذیرهایی که در سال ۲۰۱۴ رخ داده رو به صورت خلاصه عنوان کنم. (دو افشاءسازی اکانت ها رو هم داریم!) ابتدا لیست این آسیب پذیری ها و بعد هم توضیحات:

  • HeartBleed: You Broke My Heart :(
  • ShellShock: Don't Do this Again
  • 5 milion Gmail + 7 milion Dropbox Accounts leaked
  • BadUSB Malware Code Released
  • SandWorm Team Zero-day impacting all versions of Microsoft Windows
  • This POODLE Bites: Exploiting The SSL 3.0 Fallback
  • SQL injection on Drupal 7
  • 3 Critical RCE vulnerability patches
  • Privilege Escalation Exploit by Hurricane Panda
  • WinShock: Winter is coming...

top security issues 2014

آیا قراره باگ Grinch در لینوکس، کریسمس رو خراب کنه؟

سلام

محققان امنیتی آسیب پذیری جدیدی رو در لینوکس کشف کردند که اسم «Grinch» رو برای اون گذاشتند.
تویتت کردم که کلمه Grinch در انگلیسی به معنی کسی است که گند می زنه به لحظه های خوب بقیه و البته اسم یک شخصیت کارتونی هم هست که گند می زنه به کریسمس بقیه. از آنجایی که این باگ در ۱۶ دسامبر ۲۰۱۴ (۲۵آذر) کشف شد و کمتر از ۱۵ روز تا پایان سال مونده بود این اسم رو برای اون انتخاب کردند؛ چون ممکنه که تعطیلات پایان سال مدیران شبکه رو خراب کنه!

grinch

من این مطلب رو از ترندمیکرو گرفتم و البته کمی بهش اضافه کردم و با توجه به ۳ تا مقاله ی دیگه ای که خوندم به نظرم درست و برام جالب اومد. گرینچ به هکر این اجازه رو می ده که روی انواع مختلفی از لینوکس که در آن ها از ابزار polkit برای مشخص کردن سطح دسترسی استفاده می کنه، حمله ی افزایش-دسترسی یا همون privilege escalation رو اجرا کند.
اولین بار حدود یک ماه پیش محققی نام این آسیب پذیری رو PackageKit Privilege Escalation گذاشت.

اما محدوده ی تاثیر گذاری این باگ واقعا محدود و کمه، چون:

دعواهای رمزنگاری در وب و دو خبر ناامنی HTTP از سال ۲۰۱۵!

سلام

پروژه Let's Encrypt برای رمزنگاری تمام وب

دقیقا در یک ماه پیش یعنی در ۲۷ آبان پروژه ای به نام Let's Encrypt توسط (Electronic Frontier Foundation (EFF کلید خورد که قراره طی این پروژه به زودی و در سال ۲۰۱۵ تمام ترافیک وب از HTTP به HTTPS منتقل شه. این پروژه قرار نیست ترافیک سایت شما رو به HTTPS ببره بلکه قراره روشی رو راه اندازی کنند تا مثل الان، داشتن HTTPS هزینه بر، زمان بر و دارای تنظیمات نسبتا سختی نباشه و هر وب سرویس کوچکی به راحتی بتونه از این خدمات استفاده کنه. اسپانسر های این پروژه شرکت های بزرگی مثل موزیلا، سیسکو و آکامی اند.

 

اعلام ناامن بودن سایت هایی که از HTTP استفاده می کنند از سال ۲۰۱۵ توسط گوگل

Marking HTTP As Non-Secure from 2015

http traffic

حالا چرا پروژه ای رو آوردم که تاریخش مال یک ماهه پیشه؟!! موضوعی که نظر من رو جلب کرد این بود که دوستان گوگلی ما (در پروژه chromium ) هم دیروز یعنی ۲۵ آذر ۹۳ (۱۶ دسامبر۲۰۱۴) در حالی که کمتر از ۱۵ روز به شروع سال ۲۰۱۵ میلادی داریم اعلام کردند که از سال ۲۰۱۵ تمام سایت هایی که از HTTP استفاده می کنند از نظر کروم به صورت ناامن یا insecure شناخته می شوند. تیم امنیت گوگل این گونه عنوان کرده که:

تنها دلیل کارکردن، داشتن زندگی بهتر است

سلام

روزی که می خواستم این وبلاگ رو راه بندازم به خودم گفتم که بیش از همه در مورد «زندگی» می نویسم. اما منم مثل خیلی های دیگه از یاد «زندگی» غافل شدم و شروع کردم به نوشتن مطالب مربوط به هک و امنیت و ...

مخاطب این مطلب هم دختر-پسرهای مجردند و هم اونایی که تازه ازدواج کردند. شاید شما هم در اطرافی‌ها یا دوستاتون با چنین افرادی مواجه شده باشید یا شاید هم خودتون مثل افرادی که در ادامه میارم باشید:

life is beautiful

مورد اول: دهنم سرویسه چون ازدواج کردم!

مورد دوم: فعالیت ۲۴ ساعته برای پرواز

مورد سوم: ازدواج در سن حضرت نوح

مورد چهارم: من دفاع دارم، با من کاری نداشته باشید

نتیجه گیری

باگ وحشتناک WinShock از دوست متن بازمون یعنی مایکروسافت!

سلام

باز هم مایکروسافت اما این بار توسط خودش!

متاسفانه تا الان که دارم این مطلب رو می نویسم -با وجود تلاش های شبانه روزیم!- هنوز نتونستم این آسیب پذیری رو به صورت عملی پیاده سازی کنم crying اما امیدوارم به زودی بتونم به نتیجه برسم و این مطلب رو هم آپدیت کنم... بنابراین فعلا این مطلب یک خبر است و مثل همیشه سعی می کنم که اخبار رو به صورت خلاصه بگم.

winshock

معرفی آسیب پذیری

این آسیب پذیری با نام های CVE-2014-6321 و MS14-066 هم شناخته می شود و حمله ی آن به وسیله ی کانال امن ویندوز یا SChannel  صورت می پذیرد. کشف این آسیب پذیری توسط خود مایکروسافت صورت گرفته و وصله ی این آسیب پذیری در تاریخ ۲۰ آبان ۱۳۹۳ (یا ۱۱ نوامبر ۲۰۱۴) منتشر شد. دوستان هکر و مهندسی معکوس بعد از پیدا کردن تغییرات موجود در بسته های بروزرسانی، روی آن کار کردند و کاشف به عمل اومد که این آسیب پذیری یکی از بی نظیرترین باگ های مایکروسافته که به شدت می تونه امنیت سرورهای ویندوزی رو به چالش بکشه. اما چرا؟ چون:

مهارت های فنی و تخصصی لازم برای هکر شدن

سلام

 Required Technical Skills to be a Hacker

هکینگ بدون دانش و مهارت های فنی مثل رويایی می ماند که هیچ وقت به حقیقت نمی رسد. اما سوال اصلی اینه که برای هکر شدن به چه نوع از دانش فنی ای احتیاج است. مهارت های انتزاعی و لمس ناپذیر به تنهایی نمی تواند باعث موفقیت شما در فیلد امنیت اطلاعات شود، شما به درک عمیقی از نحوه ی عملکرد تکنولوژی نیاز دارید؛  شما می بایست نحوه ی کار سیستم ها و پردازش هایی را بشناسید که در تولید یک پالس الکتریکی به فرکانس رادیویی، از یک بیت به بایت ها و  از سیستم عامل ویندوز به لینوکس وجود دارد.  زبان های کامپیوتری مختلفی وجود دارد که لازم است به آن ها دقت کنید اما دنبال کردن یک مسیر راست و درست مهمترین چیزی است که شما را به مقصد می رساند.

 Required Technical Skills to be a Hacker

ادامه را بخوانید...

صفحه‌ها