امنیت

امنیت وای‌فای‌های عمومی و ماجرای هک دختر۷ ساله در ۱۰ دقیقه

سلام

شاید اگر تا دو سه سال پیش در مورد wi-fiهای عمومی صحبت می کردیم؛ ذهن‌مون می رفت خارج از کشور و تجربه‌ای از اون نداشتیم. اما توی این چند وقته این موضوع بیشتر به چشم می خوره. البته درسته که هرجایی توی خیابون نمی تونیم به اینترنت وصل شیم اما در محیط‌هایی مثل کافی‌شاپ‌ها، رستوران‌ها، هتل‌ها، کتابخانه‌ها و... اینترنت عمومی عرضه میشه. حتی چند وقت پیش روی شیشه‌ی یک «قهوه‌خونه» دیدم که زده بود: Wi-Fi رایگان!! و از همه مهتر خیلی از دانشجویانی که در دانشگاه از طریق وایرلس به اینترنت وصل میشن...

اما خیلی از افراد خطر وایرلس های عمومی رو جدی نمی گیره و هرجایی که می بینند زده اینترنت رایگان صرفا به فکر این هستند که سریع وصل شن و دانلود کنند!

public wifi security

امنیت وای‌فای های عمومی

اگر استفاده‌ی شما از وای‌فای‌های عمومی صرفا دانلوده که هیچ! اما اگر وقتی به اون ها وصل می شین دوست دارید ایمیل‌تون رو هم چک کنید یا وارد حساب توییتر بشید یا حتی پرداخت اینترنتی داشته باشید اوضاع کمی متفاوت می شه. هکینگ و کرک شبکه های وایرلس جزو ساده‌ترین کارهاست. چون پکت‌های شبکه به صورت عمومی در فضا پخش می شه و فقط کافیه که بتونید اون رو کرک کنید. ساده تر از اون هم اینه که شما یک پنیر مفتی رو در تله موش قرار بدید و خودتون این وسط نقش یک انسان نیکوکار که دوست داره به بقیه اینترنت رایگان بده رو بازی کنید و ...

تفاوت «تست نفوذپذیری» و «ارزیابی آسیب پذیری» از منظر کارفرما

سلام

When to Get a Penetration Test vs. A Vulnerability Assessment

خیلی از شرکت ها دوست دارند که به عنوان اولین اقدام امنیتی از «تست نفوذ پذیری» یا «penetration testing» استفاده کنند. بعضی ها فقط در حد رویا می مونند و حاضر نیستند پولی واسش خرج کنند. اما وقتی یک شرکت در فضای مجازی بزرگ میشه مجبوره که این کار رو انجام بده. برای همین تست نفوذ از نگاه خیلی ها جالبه و اگر مشتری اون رو داشته باشید به راحتی میشه از اون پول درآورد.

مشکل اینه که در اکثر موارد شرکت ها، پول‌ زیادی رو به خاطر تست نفوذ هدر می دهند و این در حالیه که انواع دیگه ای از اقدمات امنیتی هم وجود داره که اون‌ها ازش غافل اند. این موردی که در این مطلب آوردم می تونه به عنوان بهترین انتخاب برای شما (به عنوان یک شرکت) باشه.

pentest vs vuln ass

انواع ارزیابی های امنیتی یا Security Assessment
جدای از اینکه خیلی ها فقط اسم «تست نفوذ پذیری» به گوش‌شون خورده و فقط از اون استفاده می کنند، انواع دیگری از ارزیابی های امنیتی هم وجود داره:

تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی

سلام

در آخرین روز از سال ۲۰۱۴ میلادی سایت infosecinstitute مطلبی رو با عنوان «تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی» منتشر کرد که به نظر من زیادی توضیح داده بود و شاید حوصله ی خیلی ها نکشه همه‌اش رو بخونند. یه جورایی خلاصه‌اش کردم.

در این آموزش قرار لاگ‌فایل های آپاچی سرور رو به منظور کشف بعضی از حملاتی که به وب اپلیکیشن ها میشه؛ چک کنیم.

beginnerApacheLogAnalysis1

باحال ترین آسیب پذیری های امنیتی سال ۲۰۱۴

سلام

TOP Security Issues 2014 by tamadonEH

کریسمس‌شون مبارک! سال ۲۰۱۴ هم تقریبا تموم شد :) امسال سالی بود که واقعا هکرها ترکوندند D:

در این مطلب سعی می کنم، آسیب پذیرهایی که در سال ۲۰۱۴ رخ داده رو به صورت خلاصه عنوان کنم. (دو افشاءسازی اکانت ها رو هم داریم!) ابتدا لیست این آسیب پذیری ها و بعد هم توضیحات:

  • HeartBleed: You Broke My Heart :(
  • ShellShock: Don't Do this Again
  • 5 milion Gmail + 7 milion Dropbox Accounts leaked
  • BadUSB Malware Code Released
  • SandWorm Team Zero-day impacting all versions of Microsoft Windows
  • This POODLE Bites: Exploiting The SSL 3.0 Fallback
  • SQL injection on Drupal 7
  • 3 Critical RCE vulnerability patches
  • Privilege Escalation Exploit by Hurricane Panda
  • WinShock: Winter is coming...

top security issues 2014

دعواهای رمزنگاری در وب و دو خبر ناامنی HTTP از سال ۲۰۱۵!

سلام

پروژه Let's Encrypt برای رمزنگاری تمام وب

دقیقا در یک ماه پیش یعنی در ۲۷ آبان پروژه ای به نام Let's Encrypt توسط (Electronic Frontier Foundation (EFF کلید خورد که قراره طی این پروژه به زودی و در سال ۲۰۱۵ تمام ترافیک وب از HTTP به HTTPS منتقل شه. این پروژه قرار نیست ترافیک سایت شما رو به HTTPS ببره بلکه قراره روشی رو راه اندازی کنند تا مثل الان، داشتن HTTPS هزینه بر، زمان بر و دارای تنظیمات نسبتا سختی نباشه و هر وب سرویس کوچکی به راحتی بتونه از این خدمات استفاده کنه. اسپانسر های این پروژه شرکت های بزرگی مثل موزیلا، سیسکو و آکامی اند.

 

اعلام ناامن بودن سایت هایی که از HTTP استفاده می کنند از سال ۲۰۱۵ توسط گوگل

Marking HTTP As Non-Secure from 2015

http traffic

حالا چرا پروژه ای رو آوردم که تاریخش مال یک ماهه پیشه؟!! موضوعی که نظر من رو جلب کرد این بود که دوستان گوگلی ما (در پروژه chromium ) هم دیروز یعنی ۲۵ آذر ۹۳ (۱۶ دسامبر۲۰۱۴) در حالی که کمتر از ۱۵ روز به شروع سال ۲۰۱۵ میلادی داریم اعلام کردند که از سال ۲۰۱۵ تمام سایت هایی که از HTTP استفاده می کنند از نظر کروم به صورت ناامن یا insecure شناخته می شوند. تیم امنیت گوگل این گونه عنوان کرده که:

نسخه پیش نمایش ویندوز 10 کیلاگری برای تحت نظر گرفتن تمام حرکات شما دارد!

سلام

Windows10 Preview Edition Has a Keylogger to Watch Your Every Move

!امیدوارم با این مطلب مثل یک چیز عادی و شوخی رفتار نکنید، مایکروسافت واقعا داره دزدی می کنه!

در هفته ی قبل مایکروسافت نسخه بعدی سیستم عامل خودش را با نام ویندوز ۱۰ ارائه داد. پیش نمایش فنی ویندوز ۱۰ برای جمع کردن فیدبک های کاربران منتشر میشه تا بتونند از اون در نسخه ی نهایی سیستم عامل کمک بگیرند اما اینجا یه چیزی وجود داره که واقعا غلطه

خیلی خوب. چند نفر از ما مستندات مربوط به «Terms of Service» و «Privacy Policy» رو قبل از دانلود و پیش نمایش منتشر شده از ویندوز ۱۰ خوندیم؟ حدس من اینه که هیچ کدام از ما. برای اینکه بیشتر کاربران طبق عادت آن را نادیده می گیرند و به سادگی روی «I Agree» و سپس  «next» کلیک می کنند که اصلا چیز خوبی نیست!
آیا می دونید که با این کار واقعا چه اجازه ای به مایکروسافت داده اید؟ می دونید برای نصب رایگان نسخه پیش نمایش فنی ویندوز ۱۰، به چه مجوزهایی لازمه؟ البته که نمی دونید.

keep calm- microsoft

رقابت با ترول، با چاشنی هکینگ

سلام

در این پست یک مثال کامل از حمله به برنامه های تحت وب، سرویس های FTP, SSH، بروت فورس، تغییر فایل های سیستم و ... را به صورت عملی مشاهده می کنید.

این پست نمونه ای از مسابقات CTF یا همان Capture The Flag است که می بایست فایل proof.txt موجود در root/ را به دست آورید. این رقابت توسط vulnhub طراحی شده که به شما یک ماشین مجازی در ویرچوال باکس می دهد (موجود در این لینک) و شما می بایست از راه دور به آن حمله کنید. هیچ گونه دسترسی فیزیکی ای مجاز نیست. سطح آن مبتدی بوده و بنابراین برای تمام علاقمندانی که می خواهند خود را به چالش بکشند، توصیه می شود.(سعی کنید قبل از خواندن ادامه ی پست خودتان این مسیر را طی کنید) عکس ها و سناریوی حمله را از این لینک برداشتم و کار ترجمه ی آن با خودم، یعنی تمدن بوده است. ممنون از رعایت کپی رایت :)

pic0

صفحه‌ها