نوشته‌ها

http://www.bmansoori.ir/register/

داستان ناتمام ضعف‌های امنیتی اینتل

بیش از دو سال پیش بود که ضعف های امنیتی اسپکتر و ملت کشف شده در پردازنده های ساخته شده توسط شرکت آمریکایی اینتل که از سال ۱۹۵۵ میلادی به بعد وجود داشته و باعث شده بود هکرها به اطلاعات ذخیره شده بر روی حافظه رایانه های شخصی دسترسی پیدا کنند، جنجال برانگیز شد و بسیاری از رسانه های خبری به موضوع ضعف امنیت سایبری سخت‌افزارهای اینتل پرداختند.

http://www.bmansoori.ir/register/

در واقع این حفره های امنیتی در پردازنده های اینتل به گونه ای بوده است که به هکرها برای سالهای سال اجازه می داده علاوه بر سرقت کلمات و رمز عبور کاربران، تمامی اطلاعات ذخیره شده موجود در حافظه پردازنده رایانه و گوشی های همراه را به سرقت برده و از آن سوء استفاده کنند این سطح از دسترسی موجب می‌شد به تراشه های دیگری همچون ‏AMD و ARM نیز دسترسی یابند.
با اینکه بعد از انتشار این اخبار بارها اینتل اعلام کرد که در تلاش است هر چه سریع‌تر مشکلات امنیتی مربوطه را برطرف کند اما به نظر می رسد که همچنان درگیر مسائل امنیتی مربوط به سخت افزارهای توسعه داده شده خود بوده و موفقیتی در برطرف کردن این آسیب پذیری ها کسب نکرده است.
به تازگی گروهی از محققان فعال در دانشگاه وریج آمستردام گزارشی منتشر و خاطر نشان کرده اند: با اینکه اینتل قبلاً وعده داده بود نسل جدید پردازنده های خود را با هدف جلوگیری از سوء استفاده های امنیتی با رویکردی بهینه طراحی خواهد کرد اما نتایج کنونی نشان می دهد که در طراحی و ارتقاء امنیت سایبری این محصولات موفق نبوده است.
اینتل، یک شرکت تجهیزات رایانه‌ای در ایالات متحده آمریکاست که در زمینه تولید سخت‌افزارهای رایانه و تلفن همراه، با تمرکز بر مادربورد، کارت شبکه، چیپ‌ست، بلوتوث و حافظه‌های فلش، انواع ریزپردازنده، نیم‌رسانا، مدارهای مجتمع، واحدهای پردازش گرافیکی و سامانه‌های نهفته فعالیت می‌کند.
ارزش سهام اینتل از زمانی که خبر ضعف‌های امنیتی اسپکتر و ملت داون در فضای مجازی منتشر شد، کاهش شدیدی پیدا کرد و این شرکت آمریکایی با مشکلات حقیقی و حقوقی متعددی نیز دست و پنجه نرم کرد.

مجموعه “۴ مطلب” – شماره ۷ (۹۸/۸/۲۴)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

این هفته می خواستم یکم تنبلی کنم و مطلب نزارم.پیش خودم گفتم هفته بعد توضیح میدم که گرفتار بودم و امکان گذاشتن مطلب نبود.ولی بعد دیدم اگر برنامه رو یکم دقیق تر بچینم می تونم اون وسط ۱ ساعت وقت خالی کنم.

این شد که ۴ مطلب این هفته روی سایت قرار گرفت.امیدوارم مفید واقع بشه

۱- ویدئوهای کوتاه ولی موثر

خیلی از شاگردا رو می بینم که برای تبدیل شدن به یک متخصص در حوزه هک و امنیت واقعا مشتاق هستند.یه بخشی که همیشه اون ها رو خوشحال می کنه و براشون جذابیت داره تعریف کردن پروژه هایی هستش که قبلا انجام دادم.وقتی از پیاده سازی حمله حرف میزنم احساس شور و شوق رو توی صداشون حس می کنم.

امروز تصمیم گرفتم لینک یکسری ویدئو کوتاه که مربوط به نفوذگران وب سایت HackeOne هست رو قرار بدم.اون ها در این ویدئوها از داستان های تست نفوذ خودشون میگن :mrgreen:

لینک ویدئو در یوتیوب

۲-آموزش ویدئویی نوشتن گزارش باگ خوب

هرچند این مدت مطالب زیادی در مورد ساختار یک گزارش باگ قوی رو در سایت قرار دادم ، ولی از اونجایی که این مورد اهمیت زیادی داره دیدن این ویدئو خالی از لطف نیست.

لینک ویدئو در یوتیوب

۳- مقالات مفید این هفته

این هفته چنتا مقاله خوندم که این ۳ مورد برام خیلی جذاب بود.پس اینجا قرار میدم تا شما هم استفاده کنید.

مقاله اول

مقاله دوم

مقاله سوم

۴- نظری که باعث شد انگیزه بگیرم

به نظرم وقتی میشه تو کاری موفق شد که واقعا دوستش داشته باشی و از انجام دادنش لذت ببری.

مثلا من به زمینه کاری خودم علاقه دارم.حالا این علاقه رو من چطوری میسنجم؟؟

وقتی حاضرم از تفریح خودم بزنم و کار کنم یا وقتی حاضرم کار کنم حتی اگر درآمد کمی داشته باشم ، این نشون میده که من از کارم لذت می برم.

البته این مقیاسی هستش که من باهاش کارم رو میسنجم.شاید این مقیاس برای شخص دیگه متفاوت باشه.

نظر من اینه وقتی کاری رو اینقدر دوست داشته باشی ۱۰۰% ازش نتیجه هم میگیری.چون تو کارت خلاقیت داری،پشت کار داری و انجام کار خستت نمی کنه.

اما با وجود همه اینا بعضی وقت ها آدم نیاز داره که برای کارش تشویق بشه.شاید اگر زمانی که کم سن و سال بودم پدرم برای کار تست نفوذ تشویقم نمی کرد هیچ وقت وارد این حوزه نمیشدم.

اون می تونست من رو از انجام دادنش منع کنه (کاری که خیلی از خانواده ها انجام میدن).مثلا بگه خطرناکه،آینده نداره یا هرچیز دیگه.احتمالا اگر این حرف هارو میزد قانع میشدم.چرا؟چون تو اون سن به نظر حرف پدر و مادر معتبرترین حرف دنیاست.

ولی خوشحالم که پدرم همچین آدمی نبود.به خاطر این طرز فکرش همیشه تحسینش می کنم.میگه “آدم باید چیزی رو که دوست داره دنبال کنه.حتی اگر همه دنیا مخالفش باشند”.

این هفته یکی از کاربران از ونکوور کانادا تو سایت فرانش برام پیام گذاشت.شاید فقط یه پیام ساده باشه ولی برای من خیلی ارزشمنده.چون می بینم ایرانی های خارج از کشور هم دارن کار رو دنبال می کنند.

ونکوور کانادا

 

 

بزرگترین اپراتور بات‌نت حملات DDoS در چین به دام پلیس و سازمان‌های انتظامی افتاد.

بازداشت بزرگترین اپراتور بات نت DDos در چین

بزرگترین اپراتور بات‌نت حملات DDoS در چین به دام پلیس و سازمان‌های انتظامی افتاد.

بزرگترین اپراتور بات‌نت حملات DDoS در چین به دام پلیس و سازمان‌های انتظامی افتاد.

به‌تازگی سازمان‌های انتظامی چین گروهی را بازداشت کرده‌اند که از طریق یک‌ بات‌نت حملات منع سرویس توزیع‌شده یا دیداس (DDoS) تدارک دیده و ۲۰۰ هزار سایت را آلوده کرده‌اند.

به گزارش رسانه‌های محلی چین، بات‌نت این گروه جهت ارسال اسپم از طریق سایت‌های هک شده، نمایش تبلیغات مخرب و استخراج ارز دیجیتال نیز بهره گرفته می‌شده است، اما کارکرد اصلی آن حملات دیداس بوده و قدرت برخی از آن‌ها حتی به ۲۰۰ گیگابایت بر ثانیه نیز رسیده بود است.

در سال ۲۰۱۶، زمانی که کد منبع بدافزار میرای (Mirai) به بیرون درز کرد، هکرهای چینی اقدام به ایجاد بات‌نت‌های عظیم کرده و از طریق سرویس‌های ویژه آن‌ها را به سایر کاربران اجاره دادند.

کارشناسان سیسکو تالوس نیز در سال ۲۰۱۷ از بازار داغ اجاره چنین بات‌نت‌هایی در چین خبر داده و مدعی شدند که مقامات چینی در این خصوص مقصر بوده و بات‌نت‌ها را به حال خود رها کرده‌اند.

چندی بعد اپراتورهای چینی بات‌نت به آلوده‌سازی دستگاه‌های اینترنت اشیاء و استفاده از بدافزار میرای بسنده نکرده و اقدام به بهره‌برداری از آسیب‌پذیری‌های وب سرورها و فریم ورک ها جهت نفوذ به سیستم‌های آسیب‌پذیر کردند و درنتیجه بات‌نت‌های دیداس به یک تهدید بزرگ‌تر مبدل شدند.

عملیات علیه گروه بات‌نت یادشده از ماه اوت سال ۲۰۱۸ زمانی که پلیس یکی از استان‌های شرقی چین به نام جیانگ‌سو (Jiangsu) از تعداد زیادی سرور هک شده در شبکه شرکت Xuzhou Telecom گزارش داد، آغاز شد.

این سرورها به درب‌های پشتی مخرب آلوده شده بودند که به هکرها امکان کنترل از راه دور می‌دادند.

درنتیجه تحقیقات بات‌نتی شناسایی شد که با بهره‌برداری از آسیب‌پذیری‌ها، اقدام به تزریق کد مخرب در بیش از ۲۰۰ هزار سایت و پرتال‌های مختلف چینی و منابع دولتی کرده بود.

در حال حاضر پلیس چین ۴۱ مظنون را در ۲۰ شهر من‌جمله دو اپراتور بات‌نت را بازداشت کرده و ۱۰ میلیون یوان برابر با ۱٫۴ میلیون دلار از افراد مظنون مصادره کرده است.

حساب بانکی رضا رشیدپور هک شد!

حساب بانکی رضا رشیدپور هک شد!

هکرها، حساب بانکی مجری سرشناس تلویزیون ایران را هک کردند.

رضا رشیدپور، مجری سرشناس تلویزیون ایران در توئیتر خود نوشت که هکرها با حمله به حساب بانکی او، پول‌هایش را سرقت کردند.

وی گفت که هکرها از طریق نفوذ به همراه بانک او به اطلاعات محرمانه و پول‌های موجود در حساب بانکی‌اش دسترسی پیدا کرده و آنها را سرقت کردند.

حساب بانکی رضا رشیدپور هک شد!

رشیدپور صحبتی از مبلغ پولی که به سرقت رفته نکرد.

روز گذشته یکی از خبرنگاران در فضای مجازی از کسر سه میلیون تومان پول از حساب بانک پاسارگاد خود خبر داد و اعلام کرد که حساب او هک شده است و به دنبال حضور او مقابل دادسرای عمومی و انقلاب متوجه شد که بیش از ۷۰۰ نفر در مقابل دادسرا تجمع کرده‌اند و از یک تا ۳ میلیون تومان از حساب آنها هم کسر شده است.

پس از آن رضا رشیدپور مجری تلویزیون هم از هجوم هکر‌ها به حساب بانکی خودش خبر داد.

 او در توییتی نوشت:

گمانم اخبار هجوم هکرها به حسابهای بانکی را شنیده‌اید. توئیت کردم تا بیشتر اطلاع‌رسانی شود. البته من پول چندانی در حسابم نبود. ابهام ماجرا عدم توضیح شفاف مسئولان گرامی‌ست.

جهان‌بان، سرپرست دادسرای جرایم رایانه‌ای در مورد هک شدن حساب مجری معروف و ۷۰۰ نفر دیگر گفت: چنین موضوعی به آن صورتی که در فضای مجازی منتشر شده است صحت ندارد.

ممکن است تعداد کمی حدود ۲۰ تا ۳۰ نفر مقابل دادسرا تجمع کرده باشند که البته تجمع این تعداد مقابل دادسرا موضوعی عادی است.

اکنون در حال رسیدگی به موضوع هستیم و و اعلام می‌کنیم که تجمع چند صد نفره مقابل دادسرا کذب است.

این ایمیل مخرب را نادیده بگیرید

این ایمیل مخرب را نادیده بگیرید

به‌ تازگی ایمیلی برای کاربران ارسال می‌شود و ادعای هک شدن حساب و برای بازیابی آن درخواست پول می‌کند، در حالی که این ایمیل توسط ربات ارسال شده تا پول کاربران را به سرقت ببرد و راه مقابله این است که کاربر آن را نادیده بگیرد.

این ایمیل مخرب را نادیده بگیرید

با روند روبه‌رشد اینترنت، فعالیت‌های مخرب نیز افزایش یافته و بیراه نیست اگر بگوییم در حال استفاده از اینترنت ایمن نیستیم، زیرا روزانه با خبرهای تکان‌دهنده‌ای روبه‌رو می‌شویم از اینکه چطور یک برنامه باعث نقض حریم خصوصی کاربر شده است.

از طرفی شرکت‌های نرم‌افزاری بزرگ به لطف قراردادها و دسترسی‌های‌ به‌دست‌آمده می‌توانند به‌طور ۲۴ساعته عملکرد کاربران را رصد کنند، یا دردسر هکرهایی که تلاش می‌کنند تا مهارت هکری خود را روی کاربران عادی آزمایش کنند.

معمولاً یک هکر به دو دلیل اقدام به هک حساب کاربری یا سیستم می‌کند.

با اینکه بخواهد اطلاعاتی را از حساب کاربران استخراج کند و یا اینکه قصد اخاذی از کاربرانی که حساب کاربریشان هک شده ‌است را داشته باشد.

امروزه هک یک تجارت است و فرد مهاجم با انگیزه‌های مالی به این ورطه ورود می‌کند.

همان‌طور که در گزارش پلیس فتا آمده است، اخیرا ایمیلی به کاربران ارسال می‌شود که در آن عنوان شده حساب وی هک شده است و از وی درخواست مبلغ ۹۰۳ دلار در قالب بیت‌کوین برای بازیابی حساب را کرده و مدت زمان ۴۸ ساعته را به عنوان ضرب‌الاجل پرداخت هزینه پس از مشاهده این ایمیل اعلام می‌کند.

البته نیازی به نگرانی برای کاربرانی که ایمیلی با متن مشابه فوق را دریافت کرده‌اند، نیست.

این ایمیل تنها یک ایمیل ارسال‌شده توسط ربات بوده تا با ایجاد ترس از اینکه حساب کاربر هک شده، پول وی را به سرقت ببرد.

این مثال تنها یک الگوی ساده است که در آن ایمیل به صورت عمده ارسال شده تا از افراد ناآگاه که در دام آن گرفتار می‌شوند سرقت کند. بنابراین فقط آن را نادیده بگیرید.

از طرفی گاهی اتفاق می‌افتد که ویروس‌های رایانه‌ای در قالب ارسال ایمیل از جانب افراد ناشناس جابه‌جا شده و گاهی دارای عناوین جذابی است که کاربران را برای باز کردن آن‌ها، ترغیب می‌کند.

در برخی موارد نیز درخواستی مبنی بر کلیک کردن روی لینک اینگونه ایمیل‌ها در قالب ایمیل‌های تبلیغاتی فرستاده می‌شود و گیرنده را برای باز کردن ایمیل‌ها تشویق می‌کند.

به همین دلیل کارشناسان هشدار می‌دهند کاربران نباید هر ایمیلی که برایشان ارسال می‌شود را باز کنند، مخصوصاً اگر این ایمیل از فرستنده‌ی ناشناس ارسال شده باشد و اگر موضوع و متن ایمیل جذاب بود، باید با شک و تردید بیش‌تری به آن نگاه کنند.

اما در مواردی که کاربران خیلی ترغیب شدند یا حتماً باید آن ایمیل را باز کنند، لازم است یک‌سری موارد را بررسی و تحت شرایط خاص آن را باز کنند.

اینکه سیستم حفاظت‌شده باشد و مواردی از جمله آپدیت سیستم عامل، آپدیت مرورگر اینترنتی و داشتن آنتی‌ویروس اصلی و معتبر و ترجیحاً با کیفیت، روال‌هایی است که همه باید رعایت کنند.

بنابراین در صورتی که باید یک ایمیل ناشناس و مشکوک را باز کنید، می‌توانید فایل ضمیمه را دانلود کرده، تا آنتی‌ویروس فایل ضمیمه را اسکن کند.

منبع ایسنا

آشنایی با آسیب پذیری Html injection

آشنایی با آسیب پذیری Html injection

حملات تزریق HTML گونه از حملات تزریق است که بسیار شبیه حملات XSS است.(آشنایی با آسیب پذیری Html injecti(آشنایی با آسیب پذیری Html injection)

درحالی‌که در آسیب‌پذیری XSS مهاجم می‌تواند کد جاوا اسکریپت را تزریق و اجرا کند، تزریق HTML فقط اجازه تزریق برخی تگ‌های HTML را می‌دهد.

آشنایی با آسیب پذیری Html injection

هنگامی‌که یک برنامه کاربردی وب به‌درستی داده‌های واردشده توسط کاربر را مدیریت نمی‌کند، مهاجم می‌تواند کد HTML معتبر معمولاً از طریق یک مقدار پارامتر ارائه داده و محتوای خود را به صفحه تزریق کند.

این حمله به‌طورمعمول در ارتباط با گونه‌ای از مهندسی اجتماعی مورداستفاده قرار می‌گیرد، زیرا این نوع حملات از آسیب‌پذیری مبتنی بر کد و اعتماد کاربر، بهره‌برداری می‌نمایند.

حملات تزریق HTML، زمانی رخ می‌دهد که کاربر بتواند یک نقطه ورودی را کنترل کرده و کد HTML دلخواه خود را به صفحه وب آسیب‌پذیر تزریق نماید.

این نوع از حملات می‌تواند عواقب زیادی داشته باشد. هکر با استفاده از این نوع حملات می‌تواند با افشای کوکی‌های جلسه نشست کاربر به جعل هویت قربانی بپردازد و یا حتی به‌صورت کلی، هکر می‌تواند محتویات صفحه مورد مشاهده قربانی را تغییر دهد.

در ادامه پیشنهاد می کنم این ویدئو آموزشی را مشاهده بفرمایید تا با این آسیب پذیری بیشتر آشنا شوید.

مجموعه “۴ مطلب” – شماره ۶ (۹۸/۸/۱۷)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

مثل سری های قبل سعی می کنم مطالب جالبی که طی یک هفته گذشته با اون ها رو به رو بودم رو به اشتراک بزارم.

۱- کتاب عالی برای شروع تست نفوذ

این هفته به صورت اتفاقی با کتابی آشنا شدم که به گفته نویسنده برای ورود به حوزه امنیت اطلاعات عالیه.

البته چیزی که بیشتر نظر من رو به خودش جلب کرد این بود که نویسنده تاکید کرده بود هدف بیشتر تست نفوذ و نکاتی پیرامون بحث باگ بانتی هستش.

راستش اول خیلی علاقه ای به مطالعه کتاب نداشتم چون مطالعه کتاب انگلیسی وقت گیره از طرفی قیمت کتاب زمانی که من وارد وب سایت شدم ۱۰ دلار بود که با توجه به قیمت امروز دلار حدود ۱۱۰ هزار تومانی هزینه برام داشت.

ولی وقتی سرفصل رو دیدم خودم رو قانع کردم که برای تهیه کتاب هزینه کنم.(معمولا این موقع ها اینطوری خودم رو راضی می کنم که “بهروز برای افزایش اطلاعاتت باید پول خرچ کنی وگرنه از علم روز عقب می مونی 😀 )

توی مدت زمان ۲ هفته کتاب تموم شد و الان از این که برای این کتاب هزینه کردم  کاملا راضیم 😉 

کتاب رو می تونید از این لینک خریداری کنید!

اما از اونجایی که شاید پرداخت هزینه برای کتاب انگلیسی رو منطقی نمی دونید و از طرفی هم ممکنه هزینه تهیه کتاب برای بعضی از دوستان سنگین باشه ، لینک دانلود رو براتون قرار میدم که از همین نسخه ای که من تهیه کردم استفاده کنید.

پ.ن : هرچند این استدلال ۱۰۰ درصد اشتباهه ولی اینطوری خودم رو قانع کردم که ما تحریم هستیم پس ایرادی نداره برای کتاب هزینه پرداخت نکنید.

لینک دانلود رایگان

۲-مجموعه پسوردهای پیش فرض

خیلی وقت ها به دلیل پیکربندی نادرست ، با در اختیار داشتن پسورد پیش فرض می تونید تست نفوذ موفقی رو داشته باشید.

در این لینک می تونید مجموعه ای از پسوردهای پیش فرض رو مشاهده کنید.

۳- بایپس در Sql Injection

بسیاری از بچه ها ایمیل زدن و تعدادی هم در شبکه های اجتماعی پرسیده بودن که چطور میشه سایتی که هنگام تزریق دستورات Sql injection به دستور tables در عبارت information_schema.tables حساس است رو بایپس کنیم.

به عنوان دستور جایگزین بنده ۴ دستور رو به شما دوستان عزیز معرفی می کنم که امکان استفاده از هر ۴ دستور رو دارید.

information_schema.partitions

information_schema.statistics

information_schema.key_column_usage

information_schema.table_constraints

 

۴- سرویس های ارزش افزوده

هرچند متاسفانه در این لحظه که مطلب رو منتشر می کنم اقدام جدی برای مقابله با زالوهای ارزش افزوده انجام نشده ولی اخیرا وزیر ارتباطات اعلام کرده با شماره گیری *۸۰۰*۶# می تونیم بررسی کنیم که در ۳ سال گذشته چه مقدار از اعتبارمون خرج این سرویس ها شده که در مرحله بعدی امکان پیگیری برای برگشت پول وجود داره.

هرچند هیچ اعتقادی به امکان بازگشت پول ندارم ولی با بررسی که انجام دادم ، خوشبختانه قربانی این سرویس ها نبودم. 😆 

سرویس های ارزش افزوده

هک اسپیکرهای هوشمند تنها با نور لیزر!

هک اسپیکرهای هوشمند تنها با نور لیزر!

گروهی از هکرها به تازگی مدعی شده اند که قادر خواهند بود با استفاده از نور یک لیزر، اسپیکرهای هوشمند را هک کرده و به اطلاعات آن دسترسی پیدا کنند.

هک اسپیکرهای هوشمند تنها با نور لیزر!

گروهی از هکرها به تازگی مدعی شده اند که قادر خواهند بود با استفاده از نور یک لیزر، اسپیکرهای هوشمند را هک کرده و به اطلاعات آن دسترسی پیدا کنند.

اسپیکرهای هوشمند یکی از آن دسته از گجت‌های خانگی هستند که این روزها از محبوبیت و استقبال بی‌نظیری از سوی کاربران برخوردار شده است.

پیشتر بسیاری از تحلیلگران برآورد و خاطرنشان کرده بودند که اسپیکرهای هوشمند سریع‌تر از سایر گجت های هوشمند رشد و توسعه پیدا خواهند کرد و در سال‌های آینده سهم بسیار بیش‌تری از بازار ابزارهای هوشمند و دیجیتال را از آن خود خواهند کرد.

بر اساس تازه ترین گزارش های منتشر شده در وب سایت بیزینس اینسایدر، گروهی از هکرها و مجرمان سایبری به تازگی ادعا کرده‌اند که می‌توانند با استفاده از یک پوینتر لیزر که تنها ۱۴ دلار قیمت دارد، اسپیکرهای هوشمند را هک کرده و به دستیار صوتی آن فرمان داده و تمامی کارهای موردنظر خود را انجام دهند.

این هکرها بر این باورند که تاباندن یک نور متمرکز همچون لیزر می‌تواند میکروفون اسپیکرهای هوشمند را هک کرده و پس از فریب دادن این گجت، به آنها این امکان را بدهد تا به آن فرمان‌های صوتی داده و کار و فعالیت های موردنظر آنها را انجام دهد.

امنیت سایبری اسپیکرهای هوشمند همواره یکی از موضوعات بحث برانگیز و چالش برانگیز در سال های اخیر است که بر اساس بسیاری از نظرسنجی های صورت گرفته، بالغ بر ۴۵ درصد از کاربران جهان هنوز به این گجت های هوشمند اعتماد کامل ندارند و آنها را یک جاسوس خانگی می دانند.

به طور کلی در توصیف وظایف و معرفی اسپیکرهای هوشمند باید گفت که این گجت‌های هوشمند به کاربران امکان می‌دهند تا درصورت داشتن مشغله، وسائل خانگی خود را با دستورهای صوتی کنترل کنند، به‌عنوان مثال، از وضعیت آب و هوا و جدیدترین اخبار روز مطلع شوند، تایمر و زنگ هشدار برای خود تنظیم کنند، با دوستان و خانواده خود تماس صوتی برقرار کرده و به مخاطبان موردنظر خود پیام متنی ارسال کنند.

همه این کارها بدون دخالت دست کاربر و تنها با ارسال یک پیام و دستور صوتی به اسپیکر هوشمند انجام خواهد گرفت.

یکی از بزرگ‌ترین تفاوت‌های اسپیکرهای هوشمند با سایر اسپیکرهای معمولی همین نام هوشمند آن است، بدان معنا که قادر است با اتصال به اینترنت اغلب کارهایی که یک گوشی هوشمند یا رایانه می‌کند، را انجام دهد.

یک اسپیکر ساده یا معمولی تنها قادر است داده و صدای ورودی را با قدرت و کیفیت بیشتری به بلندگوهای تعبیه شده در خود فرستاده و فایل‌های صوتی موردنظر کاربران را با صدای بلندتری پخش کند.

این اسپیکرها هرگز قادر نیستند به اینترنت متصل شوند و کارهای هوشمندانه‌ای نظیر برقراری تماس با مخاطبان، ارسال پیام متنی از راه دور و سایر کارهای دیگری که یک اسپیکر هوشمند قادر به انجام آن است، انجام دهد.

از نخستین، بهترین و بزرگترین تولیدکنندگان و عرضه‌کنندگان اسپیکرهای هوشمند می‌توان به شرکت‌های گوگل، آمازون، اپل و مایکروسافت اشاره کرد که البته سایر برندهای فعال در حوزه تکنولوژی نظیر سامسونگ، شیائومی و غیره نیز به طراحی، تولید و عرضه آن پرداخته و درتلاشند تا بتوانند سهم بزرگتری از بازار این گجت‌های هوشمند را از آن خود کنند.

اسپیکرهای هوشمند گوگل هوم مینی و گوگل هوم ماکس، آمازون اکو با بهره‌مندی از دستیار صوتی الکسا، هوم پاد اپل و کورتانای مایکروسافت از جمله برترین اسپیکرهای هوشمندی هستند که در جهان توانسته‌اند سهم قابل توجهی از بازار را به خود اختصاص دهند و نظر خیل عظیمی از کاربران و علاقمندان به تکنولوژی را به خود جلب کنند.

سرقت میلیونی داده های کاربران اوبر و لینکدین

سرقت میلیونی داده های کاربران اوبر و لینکدین

دو هکر آمریکایی و کانادیی به سرقت میلیونی داده های کاربران اوبر و لینکدین و سوءاستفاده از آن‌ها اعتراف کردند.

سرقت میلیونی داده های کاربران اوبر و لینکدین

به‌تازگی دو هکر به نام‌های برندن گلاور ۲۶ ساله آمریکایی (Brandon Glover) و واسیلی مریکر ۲۳ ساله کانادایی (Vasile Mereacre) به سرقت داده‌های ۵۷ میلیون مسافر و راننده اوبر (Uber) و داده‌های ۹۰ هزار کاربر لینکدین (LinkedIn) اعتراف کردند.

بر اساس گزارشات موجود، دو هکر در سال ۲۰۱۶ موفق شده بودند بانفوذ به سرورهای اوبر، اطلاعات ۵۷ میلیون مسافر و راننده را به سرقت ببرند که بنا به اظهارات شرکت، جزئیات سفرها و اطلاعات کارت اعتباری رانندگان محفوظ مانده بود.

پس از سرقت داده‌ها، هکرها اقدام به دریافت باج کرده بودند. آن‌ها اکانت امنی در پروتون‌میل (Protonmail) ایجاد کرده و با شرکت‌ها مکاتبه می‌کردند.

مهاجمان اوایل سال ۲۰۱۶ با بخش امنیت اوبر تماس گرفته و با ارائه نمونه‌ای از اطلاعات مسروقه مدعی شده بودند که آسیب‌پذیری‌های جدی کشف کرد‌ه‌اند و درخواست پرداخت ۱۰۰ هزار دلار به‌صورت ارز دیجیتال کرده بودند که مدیریت اوبر درنهایت با آن موافقت نموده بود.

این پرداخت از طریق برنامه جوائز هکروان (HackerOne)، پلتفرم افشای آسیب پذیری، انجام می‌شده و اوبر از هکرها درخواست می‌کرد توافق‌نامه محرمانه‌ای امضا کنند تا داده‌ها محفوظ مانده و اطلاعات مربوط به هک جایی درز نکند.

هک و افشای اطلاعات اواخر سال ۲۰۱۷ زمانی که مدیریت جدید شرکت که تصمیم به انتشار اطلاعات گرفته بود، افشا شد و اوبر در انگلیس ۳۸۵ هزار پوند، در هلند ۶۰۰ هزار یورو جریمه‌شد و موافقت کرد جهت تنظیم دادخواست، ۱۴۸ میلیون دلار بپردازد.

هکرها در دسامبر سال ۲۰۱۶ نیز چند برابر بیشتر از اوبر از لینکدین باج درخواست کرده بودند، اما این شرکت مخالفت کرده و اقدام به افشای نقض امنیتی کرده بود.

سازمان‌های انتظامی پس‌ازاینکه اوبر رسماً در سال ۲۰۱۷ این رویداد را گزارش داد، تحقیقات را آغاز کرده و گلاور و مریکر را بازداشت کردند.

به‌تازگی نیز این دو هکر به فعالیت‌های مخرب خود اعتراف کرده و ۲۵۰ هزار دلار جریمه و به ۵ سال حبس محکوم‌شده‌اند.

نوشتن گزارش آسیب پذیری خوب

نوشتن گزارش آسیب پذیری خوب

نوشتن گزارش آسیب پذیری خوب کار سختی نیست به شرطی که وقت بزاری و این متن رو تا آخر مطالعه کنی 😉 

نوشتن گزارش آسیب پذیری خوب

زمان نوشتن یک گزارش آسیب پذیری باید تا حد امکان اطلاعاتی در اختیار تیم مدیریت قرار بگیره تا اعتبار گزارش شما تایید بشه.

– عنوان گزارش

عنوان گزارش خوب ترکیبی از نوع آسیب پذیری ، دامنه یا نتیجه نهایی است و مشخص کردن بخشی که در آنجا این آسیب پذیری رخ می دهد ( این می تواند یک پارامتر درخواست یا یک روش حمله باشد).

عنوان گزارش باید توصیفی باشد و روی نکته اصلی تمرکز کند ، به عنوان مثال :

Sql Injection at Target.com/with method xpath”

– توضیحات و مقدمه گزارش

این در واقع مقدمه ای کوتاه در مورد نوع آسیب پذیری ، علل به وجود آمدن آن و بخشی است که آسیب پذیری در آن به وجود آمده است.

– تفسیر

این بخش باید از دید هکر نوشته شود و شامل تصاویر و ویدئوهایی است که درک آسیب پذیری را برای تیم برنامه نویسی سایت مورد نظر ممکن می کند.

*مطمئن شوید که تمام مراحل را به صورت کامل و در عین حال ساده توضیح داده باشید.

– ابزارها و کدها

اگر در طی حمله از ابزار و یا قطعه کدی استفاده کردید آن را در گزارش قرار دهید.

البته می توانید این موارد را در بخش تفسیر نیز قرار دهید.

برای نمونه در حفره امنیتی XSS می توانید یک قطعه کد ساده برای نمایش هشدار روی صفحه در این بخش قرار دهید و نیازی به چندین مثال نیست.

– بخش اضافی

در گزارش هایی که حفره امنیتی پیچیده تر است ممکن است برای پیاده سازی حمله شرایط خاصی نیاز باشد که در این صورت می توانید آن شرایط را در این بخش شرح دهید.

– تاثیر آسیب پذیری

سعی کنید توضیح دهید مهاجم با این آسیب پذیری چه کاری می تواند انجام دهد ، به چه اطلاعاتی می تواند دسترسی داشته باشد و این مسئله چگونه سایر کاربران سیستم را تحت تأثیر قرار می دهد.

هرچه شدت آسیب پذیری بیشتر باشد جایزه دریافتی شما هم بیشتر خواهد بود 😀 

توصیه

در این بخش برای رفع آسیب پذیری روش هایی رو پیشنهاد می دهیم (این بخش اختیاری است).

مرجع

در انتهای گزارش قرار دارد و حاوی پیوندهایی به سایتهای خارجی مربوط به آسیب پذیری است.

این بخش اختیاری است و اغلب فقط درصورتی که گزارش شامل تکنیک های حمله جدید یا پیچیده ای باشد ، گنجانده شده است.

نمونه یک فرم گزارش را در تصویر زیر مشاهده می کنید:

نوشتن گزارش آسیب پذیری خوب

البته در بعضی موارد گزارش می تواند ساده تر نوشته شود و بعضی از مولفه ها استفاده نشوند.

اینها مؤلفه های کلی گزارش آسیب پذیری خوب و مفصل هستند.

در صورتی که اطلاعات کافی در گزارش ثبت شود ، نه تنها گزارش را خواندنی و آسان می کند ، بلکه به تیم امنیتی نیز کمک می کند تا به سرعت مشکل را شناسایی و برطرف کند. همچنین گاهی اوقات مبلغ جایزه را افزایش می دهد. :mrgreen: