بایگانی ماهیانه: آبان ۱۳۹۴

عادل کریمی و هانی پات!

عادل کریمی اسلایدهای ارائه خودش در جلسه ماهانه Ruxmon در سیدنی رو درباره هانی پات ها برای دانلود قرار داده. این اسلایدها به صورت مفید و مختصر داستان هانی پات و روندهای جدید اون رو ذکر می کنه.

آشنایی من با عادل به وبلاگ امنیت وب (websecurity.ir) یعنی حدود ۱۰ سال پیش بر میگرده و بعد از اون در پروژه های متعددی با هم همکاری داشتیم. عادل علاوه بر اینکه یک متخصص حرفه ای امنیت هست، یک عکاس فوق العاده هم هست و میتونید از دیدن عکسهاش در پس زمینه فایل ارائه لذت ببرید.

اشتراک گذاری

درباره فرصت های شغلی و بازار آینده امنیت اطلاعات

وضعیت بازار و فرصت های شغلی امنیت اطلاعات یکی از پربحث ترین موضوعاتی بوده که افراد چه به صورت حضوری در محافل مختلف و چه از طریق ایمیل از من سوال می کنند. همینطور وقتی با دوستان و آشنایانم از همکاران قدیمی و جدید که بعضی از آنها سال ها در این بازار سابقه فعالیت داشته و از افراد شناخته شده هستند صحبت می کنیم، معمولاً یکی از موضوعات بسیار مورد توجه، مربوط به بازار و فرصت های شغلی می شود.

اگر به بخش بازار و مشاغل در این وبلاگ مراجعه کنید، مطالب مختلفی از جمله گزارش های مربوط به روندها و جهت گیری های بازار امنیت اطلاعات در دنیا را خواهید یافت که من معمولاً در صورت مشاهده، سعی می کنم در اینجا معرفی کنم.

کمبود نیروی متخصص نسبت به نیاز بازار امنیت، یک روند جهانی است و معمولاً اینگونه روندها به فاصله چند سال، در ایران هم تکرار خواهد شد. به این گزارش نگاه کنید.

اشتراک گذاری

چند موضوع پراکنده

اگر سیستم شما آلوده به یکی از بدافزارهای باجگیر Coinvault یا Bitcryptor شده، با این ابزار کسپرسکی می توانید به رایگان فایل های خود را نجات دهید.

گزارش تحلیلی Burning-Glass از بازار امنیت سایبری در ایالات متحده حاوی اطلاعات جالبی از جایگاه های شغلی، میزان درآمد، دوره های آموزشی و زمینه های کاری امنیت سایبری است. سهم بالایی از جایگاه های شغلی مورد نیاز، به امنیت اطلاعات سلامت (Healthcare Cyber Security) اختصاص دارد.

یک هکر آلمانی روشی برای نفوذ به خودپردازهای شرکت Wincor Nixdorf معرفی کرده که از طریق آن به اطلاعات حساس داخلی خودپرداز دست پیدا کرده است. اهمیت این موضوع آنجاست که گویا محصولات این شرکت در ایران هم استفاده می شود. جزئیات در اینجا.

اشتراک گذاری

کنفرانس امنیت سایبری خودرو

امنیت سایبری در اتوموبیل های جدید که به انواع فناوری های کامپیوتری و شبکه مجهز هستند، یکی از داغ ترین موضوعات روز دنیا است و به خصوص بعد از نمایش نحوه نفوذ به خودروهای کرایسلر در اکثر کنفرانس ها و محافل امنیت مورد توجه ویژه قرار گرفته است.

اخیراً یک کنفرانس دو روزه به طور اختصاصی ا همین موضوع در ژاپن با نام escar برگزار شده است. با نگاهی به سرفصل ها و خلاصه سخنرانی ها می توان دریافت که امنیت سایبری در خودروها دارای چه جنبه ها و ابعادی است.

اشتراک گذاری

اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده است.

از جمله مستندات این مرکز، اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار است، که مطالعه آن به شدت توصیه می شود. راهکارهای ارائه شده در این مقاله عبارتند از:

۱- اعتماد را به صورت واقعی دریافت یا ارائه کنید، اما هرگز آن را مبتنی بر فرضیات بنا نکنید.

۲- از مکانیزمی برای احراز هویت استفاده کنید که قابل دور زدن یا نفوذ پذیر نباشد.

۳- پس از احراز هویت، حتماً بررسی مجوزها را انجام دهید.

۴- دستورات کنترلی و داده ای را به شیوه ای سختگیرانه از هم جدا کنید، و هرگز دستورات کنترلی دریافتی از منبع غیرقابل اعتماد را اجرا نکنید.

۵- روشی صریح برای اعتبارسنجی تمام داده ها تعریف کنید.

۶- رمزنگاری را به شیوه ای صحیح به کار گیرید.

۷- داده های حساس و شیوه مدیریت آنها را تعیین کنید.

۸- همواره کاربران را در نظر داشته باشید.

۹- توجه کنید که یکپارچگی نرم افزار با قطعات خارجی چه تأثیری بر سطح حمله (Attack Surface) نرم افزار می گذارد.

۱۰ – انعطاف پذیری لازم را در خصوص تغییرات آینده اشیاء و اکتورها در نظر داشته باشید.

اشتراک گذاری

حمله DDOS با دوربین های مداربسته متصل به اینترنت

دوربین های مداربسته (CCTV) یکی از اجزای تشکیل دهنده اینترنت اشیاء (Internet of things) هستند. امنیت این دوربین ها هم برای حفظ حریم شخصی و امنیت فیزیکی دارنده دوربین اهمیت دارد و هم برای کل اینترنت، چرا که برخی حمله ها از جمله ممانعت از سرویس توزیع شده (DDOS) با استفاده از شبکه های بات مبتنی بر دوربین های مداربسته ایجاد شده است و طبق گزارش ها، برخی دستگاه های عضو این بات نت هم در ایران هستند.

اشتراک گذاری