هشدار در مورد استفاده از VPN و فیلترشکن

سرپرست معاونت تشخیص و پیشگیری پلیس فتا در مورد خطر دسترسی غیرمجاز سرورهای خارج از کشور به اطلاعات و داده های رایانه های شخصی کاربران ایرانی که از اشتراک VPN و نرم افزارهای فیلترشکن استفاده می کنند، هشدار داد.

بسیاری از کاربران اینترنت داخل کشور برای گذشتن از سد سایتهای مسدود و فیلتر شده به سراغ نرم افزارهای فیلترشکن، سایتهای پروکسی و همچنین وی پی ان رفته و این رجوع کاربران به این روشهای عبور از فیلترینگ، باعث رشد فزاینده فروش اکانتهای VPN و نرم افزارهای فیلترشکن شده است به نحوی که استفاده کنندگان کاربران ایرانی از VPN حدود ۳۰ درصد اعلام شده. بیشتر و اغلب سرورهایی که اشتراک VPN – وی پی ان- را در اختیار کاربران قرار می دهند نه تنها تمامی اطلاعات رد و بدل شده را بررسی و کنترل می کنند بلکه به همین وسیله با پورتهای باز رایانه کاربر، به اطلاعات درون رایانه وی دسترسی پیدا کرده و امکان کپی برداری و یا دیدن اطلاعات داخلی رایانه کاربر را برای سرورهای خارجی میسر می کنند. با توجه به اینکه کاربران بدون بررسی عملکرد نرم افزارهای فیلترشکن آنها را بر روی رایانه خود نصب می کنند ممکن است این نرم افزارها خود یک تروجان و یا key logger باشند و اطلاعات مربوط به نام عبور کاربری افراد را در اختیار سرور خود قرار دهند. همچنین VPN ها اطلاعات را به صورت رمز شده – encrypt – منتقل می کنند و فرمول خارج کردن از رمز – decrypt – آن در اختیار سرور است و تضمینی وجود ندارد که سرور قبل از رسیدن اطلاعات به مقصد آن را بازخوانی نکرده باشد. استفاده از VPN با عوارض خطرناکی همراه است چرا که کاربر با استفاده از VPN و همچنین نرم افزار فیلترشکن با اتصال به یک سرور در خارج از کشور – عمدتا در انگلیس و آمریکا- متصل شده و همین امر موجب اختصاص یک IP خارجی به رایانه کاربر داخلی می شود که در ادامه این کار، احتمال به سرقت رفتن همه داده ها و اطلاعات رایانه کاربر توسط سرور خارجی وجود دارد.

---

با توجه به مطالب گفته شده چه راه حلی برای جلوگیری از سرقت اطلاعات کاربرانی که از فیلترشکن یا vpn استفاده می کنند پیشنهاد می کنید؟

آیا راهی برای جلوگیری از سرقت اطلاعات کاربران توسط انگلیس و امریکا وجود دارد؟

این کار انگلیس و امریکا یک امر غیر اخلاقی است یا سیاستی برای ایجاد امنیت کشور خویش است؟

آیا این حجم بالا از فیلتر سایت ها در ایران نیاز است؟ و آیا اثر مطلوبی در فضای اینترنتی و برای افراد ایجاد کرده است یا باعث اثرگذاری معکوس شده است؟

برای دسترسی افراد به مقالات و اخباری که فیلتر شده اند چه راهکاری را پیشنهاد می کنید؟

منبع: http://www.momtaznews.com

چگونه می‌توان از نرم‌افزارهای متن‌باز سود برد؟

باسمه تعالی

در پست قبل به صورت اجمالی به بررسی مفاهیم نرم‌افزارهای آزاد و متن‌باز پرداختیم. حال می‌خواهیم ببینیم چگونه می‌توان از نرم‌افزارهای متن‌باز کسب درآمد و به نوعی از آن‌ها سود برد. در این پست بیشتر به مفهوم متن‌باز اشاره خواهیم کرد زیرا همان‌طور که گفتیم متن‌باز بیشتر به جنبه فنی و تجاری قضیه نگاه دارد و مفهوم نرم‌افزار آزاد بیشتر به جنبه اخلاقی و فلسفی قضیه.

خواندن پلاک منازل از روی تصاویر استریت ویو توسط گوگل

پروژه استریت ویو از سال 2007 فعالیت خود را آغاز کرده و به جمع آوری تصاویر در سطح شهرها پرداخته است. همان طور که می دانید این سرویس به کاریران google map و google earth این امکان را می دهد از سایر جزییات مختلف در محل جغرافیایی مورد نظرشان مطلع شوند.

بر اساس گزارش رویترز، هیئت ارتباطات فدرال آمریکا راه‌اندازی سرویس استریت ویو شرکت گوگل را که به تهیه تصاویر مختلف از سطح شهر می‌پردازد، نمونه بارزی از زیرپا گذاشتن حریم خصوصی شهروندان خوانده است. شرکت گوگل پس از نقض حریم خصوصی افراد در پروژه استریت ویو ، برای حفاظت از حریم خصوصی و ناشناس ماندن افراد در هنگام جمع‌آوری تصاویر  از مات کردن چهره‌ها و پلاک اتومبیل‌ها استفاده کرده است. حال بار دیگر گوگل با خواندن پلاک منازل و دسترسی به آدرس دقیق موجب نقض حریم خصوصی افراد شده است. 

Heartbleed ، یک حفره امنیتی!

Heartbleed یا خونریزی قلبی، در نرم افزار منبع باز Openssl که یک از رایج ترین نرم افزار برای برقراری ارتباط ایمن بین کاربر و سرور اینترنت است و بسیاری از وب سایت ها از آن استفاده می کنند یافت شده است.

عمده ی سایت هایی که بطور روزمره با آنها سر و کار داشته و از https برای دسترسی امن و تبادل اطلاعات رمزگذاری شده استفاده می کنند (مانند سرویس های ایمیل، چت، بانکداری اینترنتی، خرید آنلاین، شبکه های اجتماعی و …) و همچنین عمده ی سرویس های VPN که در اصل به منظور کد کردن اطلاعات و ایجاد امنیت ارتباطی برای حذف امکان شنود/سرقت اطلاعات در مسیر ارتباطی کاربر و سرویس دهنده مورد استفاده قرار میگیرند، به سادگی کلیدهای کدگذاری و رمزکردن اطلاعات تبادلی کاربران خود را به همراه کلیه اطلاعات شخصی کاربرها از جمله رمزهای عبور، اطلاعات حساب ها و کارت های بانکی و … در اختیار هکر ها قرار می دهد.

سایت های بزرگی مانند یاهو و خیلی از سایت های بانکی و اداری ایرانی و غیر ایرانی نیز گرفتار این حفره ی امنیتی شده که تا کنون عمده ی سایت ها و سرویس دهنده های اینترنتی با بروزرسانی نرم افزار OpenSSL بخشی از این تهدید را خنثی کرده و انتظار می رود که ظرف ساعات/روزهای آینده نیز مابقی سرویس دهندگان سرور های خود را بروزرسانی نمایند. حتی با توجه به غیر قابل شناسایی بودن حمله، هیچ نوع رد پایی از هکر ها و یا وسعت اطلاعات به سرقت رفته بر روی سرور باقی نمی ماند و همه چیز در خفای کامل صورت می گیرد.

چگونه از اطلاعات خود در برابر Heartbleed (خونریزی قلبی) محافظت کنیم؟

 میکو هیپونن ، از مدیران شرکت امنیتی اف – سکیور ، می‌گوید : ” از رمزهای عبوری که برایتان مهم اند ، مواظبت کنید . شاید بهتر باشد الان آنها را عوض کنید ، شاید هم بهتر باشد یک هفته دیگر تغییرشان دهید . اگر هم نگران کارت‌های اعتباری‌تان هستید ، قبض‌های کارت‌های اعتباری‌تان را به‌ دقت بررسی کنید . “

موثرترین اقدام پس از برطرف شدن ریشه ی مشکل از طرف سرویس دهندگان اینترنتی و وب سایت ها (بروزرسانی نرم افزار/سرویسOpenSSL  ) آن است که در اسرع وقت و برای پیشگیری از هر نوع مشکلی، تمامی رمز های عبور خود را در سایت های آسیب دیده تغییر دهید.  

 سوالی که پیش می اید این است که آیا بروزرسانی نرم افزار های سرور تنها جلوی حمله های بعد از بروزرسانی را می گیرد ؟ 

حمله هایی که قبل از  به روز رسانی صورت گرفته چگونه خنثی می شوند؟  

منبع  

 http://barsam.ir/archive/heartbleed/

با هر کلیک برروی صفحه کلید خود اطلاعاتتان سرقت می شود!

اخیرا بدافزاری موسوم به مارمولک که یک نرم افزار ایرانی ثبت ضربات صفحه کلید است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D91 شناسایی شده ،. این بدافزار از طریق ثبت ضربات صفحه کلید، رمز کردن آنها و ارسال برای نویسنده، اطلاعات را جمع آوری و سرقت می کند  

---

 

نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و ساده‌ای استفاده می‌کنند که بدافزار را با یک برنامه runtime فشرده سازی یا رمزگذاری، تغییر می‌دهد؛ اما در این بدافزار، فایل‌های مرتبط توسط یک نسخه تغییر یافته از ابزار مشهور UPX پنهان شده‌اند..

بدافزار مارمولک ، در هنگام اجرا یک کپی از خود با نام Mcsng.sys در فولدر Sysytem32 ایجاد می‌کند. این بدافزار همچنین پروسه‌ای را اجرا می‌کند که فایل 1stmp.sys را در فولدر system32\config جایگذاری کرده و می‌نویسد.

اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است که به عنوان یک فایل لاگ عمل کند که محتوی ضربات صفحه کلید کاربر است که به صورت رمز شده ذخیره شده‌اند. هربار که یک کلید فشرده می‌شود، این پروسه ضربات صفحه کلید را ثبت می‌کند، آن را رمز کرده و به 1stmp.sys اضافه می‌کند.

این بدافزار همچنین نام کامپیوتر و نام کاربر را نیز برای سازنده خود می‌فرستد.

لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال می‌ شود که بر روی دامنه‌ای میزبانی شده که به میزبانی بدافزارها مشهور است.

در خصوص این مطلب این پرسش ها نیز خاطرنشان می شود که :

1.       آیا  رمزگذاری مورد استفاده برای کپی کردن اطلاعات توسط این بدافزار ساده است ؟

2.       آیا رمزگشایی ضربات صفحه کلید قابل مشاهده هستند، یا اینکه اطلاعات در زمان ثبت قایل مشاهده می شود ؟  

3.       با توجه به اینکه در بدافزار مارمولک از ابزار  UPX برای پنهان سازی استفاده می شود ، نویسندگان بدافزار می توانند برای مقابله با آن راه حلی را بیابند ؟

4.       برخی keylogger ها ضربات صفحه کلید را برای مقاصد قانونی ثبت کنند ، اما با توجه به سیستم ثبت اطلاعاتی بدافزار مارمولک باید دید که آیا این بدافزار هم همین کار را می کند یا قصد حمله به سایر اعضای این فروم را دارد ؟

منبع : خبرگذاری مهر ، www.mehrnews.ir

حریم خصوصی درایران

ضرورت رعایت حریم خصوصی افراد توسط حکومت جمهوری اسلامی ایران با استناد به آیات قرآن از جمله آیات 27 و 28 سوره نور که اشاره به حریم خصوصی مکانی دارد و همچنین تاکید روایات بر ممنوعیت تجسس در امور دیگران روشن است.

در اصول 22 و 23 و 25 قانون اساسی جمهوری اسلامی نیز رد پای توجه به این حق را می توان پیدا کرد. اصل 22 قانون اساسی می گوید:« حثیت، جان، مال، حقوق و مسکن افراد از تعرض مصون است مگر در مواردی که قانون تجویز کند.» 

آیا جنبش‌های نرم‌افزار آزاد و متن‌باز عملا ارزشی برای جامعه دارند؟

باسمه تعالی

مقدمه

درباره‌ی نرم‌افزارهای آزاد و متن‌باز سر کلاس توضیحاتی داده شد. همان‌طور که گفته شد بین نرم‌افزار آزاد و متن‌باز کمی تفاوت وجود دارد. بیشترین تفاوت این دو را می‌توان در فلسفه بوجود آمدن آن‌ها جستجو کرد. هر کدام از این دو دیدگاه هدفی متفاوت را دنبال می‌کنند و جالب است که در نهایت خروجی و نتیجه کار این دو جنبش در اکثر موارد یکی است! جنبش نرم‌افزارهای آزاد برای این بوجود آمد تا حق داشتن آزادی را برای کاربران خود فراهم کند و جنبش متن‌باز از ایده نرم‌افزارهای آزاد استفاده کرد (نه فلسفه آن) و جنبه‌ای کاربردی به آن بخشید. 

سرقت شناسه کاربری و رمز عبور ایمیل‌های یاهو

یاهو سرقت اطلاعات کاربری و رمز عبور برخی ایمیل‌هایش را تائید کرد اما نگفت که چه تعداد از کابران با این مشکل مواجه شده‌اند.

شرکت یاهو تائید کرد که نام کاربری و کلمه عبور برخی از مشترکان ایمیل یاهو دزدیده شده و برای جمع­آوری اطلاعات شخصی کاربران مورد سوء استفاده قرار گرفته است. 

اما یاهو نمی‌گوید که چه تعداد از حساب‌های کاربری با این مشکل مواجه شده‌اند. بر اساس تحقیقات، یاهو  دومین سرویس ایمیل در سراسر جهان پس از جیمیل گوگل است و در سراسر دنیا 273 میلیون حساب کاربری ایمیل یاهو ثبت شده است که 81 میلیون آنها مربوط به آمریکا است. 

پیش از این نیز در اواخر سال گذشته میلادی در حمله هکری مشابهی اطلاعات شخصی 70 میلیون نفر از شهروندان آمریکا از طریق سایت­های خرده فروشی‌‌ آمریکا  لورفته بود.

یاهو در یک پست وبلاگش مدعی شده که اطلاعات سرقت شده صرفا به نام کاربری، آدرس ایمیل و ایمیل‌هایی که با قربانی هک در ارتباط بود‌ه‌اند محدود می‌شود. البته حتی اگر همین هم باشد این به معنای ارسال اسپم با نام واقعی کاربر هک شده است و هکرها می‌توانند به کلاهبرداری بپردازند.

 خطر بزرگتر این است که هکرها با  دسترسی به حساب های ایمیل می­توانند به حساب‌های بانکی هم دسترسی پیدا کرده و به خریدهای آنلاین نیز اقدام کنند و از آنجا که بسیاری از مردم از کلمه عبور یکسان در سایت های مختلف استفاده می‌کنند خطرات این سرقت نیز افزایش می‌یاید.

یاهو در ماه­های اخیر با مشکلات متعددی در خدمات پست الکترونیکی خود مواجه بود تا آنجا که ماریسا مایر، مدیر عامل این شرکت مجبور به عذرخواهی شد.

---

در بررسی این موضوع آن چه در وهله اول جلب نظر می­کند این است که آیا سکوت شرکت یاهو در برابر اعلام تعداد کاربران هک شده چیزی از اهمیت موضوع کم می­کند در حالی که صداقت، اصلی جدا ناپذیر از تمامی منشورهای حرفه­ای است و کتمان این مساله نوعی عدم صداقت محسوب می­شود. مسئولیت عواقب این موضوع به عهده چه کسی است و شرکت یاهو چقدر مسئولیت پذیر خواهد بود؟ یاهو چه تدابیری برای مواجه با مشکل اندیشیده است؟  نکته قابل توجه دیگر نقض گسترده حریم خصوصی کاربران است که در مقابل احتمال کلاهبرداری کمتر مورد توجه قرار گرفته است. از آن­ جایی  که در مدت کوتاهی قبل از این اتفاق مورد مشابهی روی داده است و بسیاری از مردم تحت تاثیرات این وقایع قرار گرفته­اند آیا دولت آمریکا نباید شرکت­ها را برای اقدامات امنیتی بیشتر کاربرانشان تحت فشار بگذارد؟

منبع:

http://www.ictna.ir

لنز‌های چشمی هوشمند، جدیدترین ابزار جاسوسی گوگل

باز هم شرکت گوگل و باز هم یک امکان دیگر!!

اگر تا به حال نگران فیلم برداری و عکس برداری مخفیانه از خود با استفاده از عینک های گوگل بودید، حال باید دغدغه سوءاستفاده از لنزهای چشمی ساخت این شرکت که مجهز به دوربین هستند را داشته باشید.

گوگل فناوری جدیدی برای نقض حریم شخصی کاربران خود یافته است. این فناوری چیزی نیست جز لنزهای تماسی که به طور مستقیم بر روی چشم قرار می گیرند و مجهز به دوربین های تصویربرداری نیز هستند. این لنز توانایی زوم بر روی تصاویر را نیز دارد! بر اساس این قابلیت هر انسانی که لنز طبی هوشمند گوگل را به چشم زده باشد می‌تواند روی شیئ مورد نظر خود زوم کند و به عبارت دیگر، مانند دوربین عکاسی با چشمان خود اشیا مورد نظر را بزرگنمایی کند.

نکته نگران کننده این است که عینک های گوگل اگر هم برای فیلم برداری بدون اجازه به کار روند قابل شناسایی بوده و می توان کاربران را از استفاده از آنها نهی کرد. اما لنزهای تماسی گوگل به سادگی قابل تشخیص نیستند و لذا سوءاستفاده از آنها بسیار راحت است. گوگل مدعی است این فناوری را برای کمک به افرادی که به علت ابتلای به دیابت یا به هر علت دیگر نابینا شده اند، ابداع کرده است، اما به هر حال نتیجه عملی آن تسهیل امکان نقض حریم شخصی افراد است. از دوربین یاد شده می توان برای پی بردن به میزان قند خون و همین طور ردگیری مسیر نگاه کاربران هم استفاده کرد. این لنز همچنین اطلاعاتی در مورد محیط اطراف مانند وضعیت ترافیک و موانع موجود در اختیار افراد نابینا می گذارد.

گوگل تاکنون در مورد نگرانی‌های افراد در مورد نقض حریم شخصی شان از این طریق سکوت کرده است!!

---

مسائلی که مطرح می شود این است که تمامی افراد انتظار رعایت حریم خصوصی شان توسط دیگران را دارند در حالی که این محصول براحتی شرایط نقض حریم خصوصی را فراهم می آورد با توجه به مسائل مربوط به حریم خصوصی آیا گوگل حق تولید انبوه جهت استفاده ی آن برای تمام افراد را دارد؟

با توجه به استفاده های مفید دیگری که از این محصول می شود چه تدابیری برای استفاده ی درست از این محصول می توان اندیشید؟

منبع:

http://favanews.com

چین به هیچ چیز رحم نمی کند

حتما تاکنون قصد خرید کالایی با برند و یا مارک خاصی را داشته اید و  حتما با اجناسی مشابه جنس برند را یافته اید. و همانطور که در حال حاضر کشور چین در حال تهیه و تولید اغلب صنایع معروف و مطرح جهان است به طوری که در صنعت صادرات گوی رقابت را از کشورهای بزرگی چون آلمان و آمریکا ربوده است.

و اما چندین نام و یا ایده ی معروفی که چین از سایر کشورها گرفته است عبارتند از: