بایگانی ماهیانه: مهر ۱۳۹۰

حمله به سیستم های مبتنی بر CAPTCHA

مقاله ای جالب در باره دور زدن سیستم های مبتنی بر CAPTCHA . این مقاله نحوه حمله و دور زدن این سیستم و به طور خاص سیستم reCAPTCHA گوگل رو توضیح داده. طبعاً اینگونه حملات با استفاده از ابزارهای اتوماتیک و روش های هوش مصنوعی انجام میشه. نکته جالب اینکه میزان قدرت یک سیستم CAPTCHA علی رغم تصور اولیه این نیست که حروف رو نشه توسط برنامه حدس زد (چون اساساً قدرت نرم افزار از انسان در زمینه تشخیص یک کاراکتر بیشتره!) ، بلکه سیستم باید در برابر شناسایی محل دقیق هر کاراکتر مقاوم باشه. به این مشخصه، Segmentation Resistance گفته میشه.

اشتراک گذاری

به یاد استیو جابز

اگرچه پنج روزی از درگذشت استیو جابز گذشته، اما اولین پست این وبلاگ بعد از این واقعه ضرورتاً باید به یاد او نوشته شود. تفاوتی نمیکند که عاشقش باشی یا از او متنفر، نکته اینجاست که هیچ انسان آگاه و منصفی نمیتواند عظمت این نابغه “ذاتاً مهندس” را انکار کند. کافی است صد خط برنامه نوشته باشی، یا تنها چند روزی به خلق و فروش یک محصول IT فکر کرده باشی …

اشتراک گذاری

آموزش های آکادمیک امنیت

 

باید توجه داشت که نه آنچه در دانشگاه به دست می آید را میتوان تمام و کمال در بازار کار به دست آورد و نه آنچه در کار به دست می آید در دانشگاه تماماً قابل دست یابی است. تجربه من می گوید که این دو را باید با هم  تلفیق کرد. هدف دانشگاه، تربیت تکنیسین نیست، لذا در آنجا دوره سیسکو و CISSP و … درس نمیدهند. دانشگاه کارشناس و محقق تربیت میکند. در دانشگاه دید و تبحر مهندسی به دست می آید. مثلاً یک تکنیسین امنیت حداکثر میداند که پروتکل kerberos چطور کار میکند و چگونه باید آن را در لینوکس راه اندازی کرد. اما مهندس امنیت، علاوه بر اینها، باید بداند که این پروتکل چه نقاط ضعف و قوتی دارد، و باید بتواند پروتکلی جایگزین Kerberos طراحی و پیاده سازی کرده و درستی و امنیت آن را با روش های دقیق مهندسی اثبات نماید.”

متن فوق بخشی از پر بازدید ترین پست این وبلاگ است. 

شاهد دیگری بر درست بودن ادعای فوق، حمایت پروژه T*O*R از تحقبقات دکترا و Post Doc در حوزه های مرتبط با کار این نرم افزار، آن هم در دو تا از معتبر ترین دانشگاه های دنیا (کمبریج و واترلو) است.

 

اشتراک گذاری