معرفی پادکست: Silver Bullet Security Podcast

در ادامه معرفی پادکست های مفید، امروز به معرفی یک پادکست بسیار خوب و معروف به نام Silver Bullet Security Podcast می پردازیم. دکتر  Gary McGraw که این پادکست را مدیریت می کند فرد بسیار شناخته شده ای به خصوص در حوزه امنیت نرم افزار است. مدل بلوغ BSIMM و کتابهای متعدد در زمینه امنیت نرم افزار از جمله آثار منتشر شده ایشان است. دکتر McGraw یک نوازنده حرفه ای موزیک هم هست.

اشتراک گذاری

منابع مفید برای تشخیص و شکار تهدیدهای سایبری

عادل کریمی در گیت هاب صفحه ای به معرفی منابع مفید در زمینه تشخیص نفوذ، شکار تهدید و هوش امنیت اختصاص داده که به تناوب به روز هم شده. این صفحه شامل ابزارها، راهنماها، چارچوب ها، وبلاگ ها، مقالات و دیگر منابع است.

اشتراک گذاری

معرفی پادکست: Application Security Podcast

در ادامه معرفی پادکست های مفید امنیتی، به معرفی Applicaton Security Podcast می پردازیم. این یک پادکست فنی بسیار خوب در زمینه امنیت نرم افزار بوده و ضمن مصاحبه با افراد صاحبنظر، آخرین اخبار و تکنولوژی های مربوطه را پوشش می دهد.

اشتراک گذاری

تصادم در الگوریتم درهم ساز IOTA

این یک اصل است که در معماشناسی و رمزنگاری، به هیچ وجه نباید الگوریتم های خود ساخته و ناشناخته و غیر استاندارد را به بهانه هایی مثل بومی سازی یا ایجاد امنیت از طریق ابهام استفاده کرد. این گزارش نشان می دهد که الگوریتم درهم ساز (Hash) استفاده شده در رمز ارز یا پول رمزینه (همان کریپتوکارنسی) محبوب IOTA که در حال حاضر اصلاح شده است، حاوی آسیب پذیری تصادم یا Collision بوده است. این الگوریتم، توسط تیم محققان IOTA اختراع شده بوده و با اینکه حتی از دانشگاه MIT در این تیم حضور دارند، نسبت به تحلیل تفاضلی آسیب پذیر بوده است. یکی از جذابیت های گزارش فوق این است که نتیجه عملی وجود تصادم را با مثال هایی از سوء استفاده های قابل انجام، نشان داده است.

اشتراک گذاری

یک ارائه درباره توسعه امن برنامه های کاربردی وب

یکی از ارائه های کنفرانس SecAppDev 2018 در خصوص بعضی مکانیزم های امنیتی برنامه های کاربردی وب هست که می تواند برای توسعه دهندگان این برنامه ها مفید باشد. آسیب پذیری هایی مثل Clickjacking، URL Redressing، XSS و نحوه مقابله با آنها بحث شده است. قابلیت هایی که در مرورگرهای مختلف برای پیشگیری از آسیب پذیری هایی از این دست قرار داده شده، در این ارائه توضیح داده شده است. راه حلهایی از جمله استفاده از option های مختلفی که در مرورگرها پیش بینی شده، محدود کردن محتوای فریم ها، محدود کردن ارتباط بین context های مختلف در یک صفحه و غیره پیشنهاد شده که نمونه هایی از Same Origin Policy و Content Security Policy هستند.

فایل ارائه

اشتراک گذاری

معرفی پادکست: The IoT Podcast

پادکست ها یکی از بهترین و مفیدترین رسانه هایی هستند که می توانیم از طریق اینترنت از آنها استفاده کنیم. از این یادداشت به بعد به تناوب چند پادکست مفید را با موضوعات مرتبط با امنیت و اینترنت اشیاء معرفی می کنم.

پادکست امروز، The IoT Podcast  است که به صورت هفتگی، درباره اخبار و اتفاقات فناوری اینترنت اشیاء و به خصوص، محصولات جدید این حوزه از دیدگاه مشتری و تولید کننده می پردازد.

اشتراک گذاری

درباره یک یادداشت حذف شده

هفته گذشته مطلبی در این وبلاگ نوشته بودم که آن را به درخواست ادمین یک کانال تلگرامی، حذف کردم. به جای آن یادداشت، چند نکته مرتبط با همین موضوع را در اینجا بیان می کنم.

گزاره ۱: “مطالبی که در کانالهای تلگرامی منتشر می شوند مقاله علمی تخصصی نیستند در نتیجه نباید انتظار داشت که اصول مقاله نویسی در آنها رعایت شود.

این فرض که “مطالبی که در کانالهای تلگرامی منتشر می شوند مقاله علمی تخصصی نیستند” نامعتبر است. کانالهای تلگرامی ابزاری برای انتشار اطلاعات، از جمله مقالات علمی تخصصی، هستند. پس فرض ادعای ۱ غلط است. اما نتیجه ادعا، یعنی ” …که اصول مقاله نویسی در آنها رعایت شود”، خیلی عجیب است. عدم انتشار بدون ذکر منبع، برای مطالبی که صراحتاً استفاده از آنها، منوط به ذکر منبع شده است، ربطی به اصول مقاله نویسی علمی ندارد. این پیش از هر چیز، یک اصل اخلاقی، حرفه ای و وجدانی است. اینکه من بخش هایی از مطلبی دارای حق نشر اختصاصی را بدون ذکر منبع، در کانالی منتشر و بعد با افتخار در یک هفته نامه کثیرالانتشار با نام خودم چاپ کنم،  و چاپ شدن آن را با افتخار بیشتر در کانال تلگرامی اعلام کنم، موضوع دیگری است. اگر نادانسته و سهوی این کار را انجام داده ام، بهتر است عذرخواهی کنم.

گزاره ۲: ” همه کانال ها و خبرگزاری ها به روش رایج عمل می کنند و امکان درج همه منابع را به دلیل ضعفهای تلگرام، مثل یک مقاله علمی ندارند و عرف اینگونه است.”

عرف اینگونه نیست، اگر هم هست باید تلاش کنیم اصلاح شود. عرف و اخلاق حکم می کند که وقتی جمله “استفاده از مطالب تنها با ذکر منبع مجاز است” را در بالای سمت چپ یک وبلاگ دیدیم، منبع را ذکر کنیم، و اگر سهواً ندیدیم، عذرخواهی کنیم. این موضوع هیچ ربطی به اینکه مطلب مربوطه یک مقاله علمی است یا هر مکتوب دیگر، ندارد. پس به نظر می رسد اگر ضعفی وجود دارد، ناشی از  تلگرام نیست.

گزاره ۳: “مطالبی که در این کانال منتشر می شود معمولاً چند دسته اند: … ب: مطالبی که تنها بخشی از آن از یک یا چند سایت یا کانال دیگر کپی شده باشد. … در مطلب ‘ … ‘، یک پاراگراف از میان بحث های یکی از گروه های تخصصی، با کسب اجازه از گوینده بحث اقتباس شده بود.”

حال که به این اصل اخلاقی پایبند هستید، خوب است از این پس برای مکتوباتی که در رسانه های عمومی، به خصوص آن هفته نامه، منتشر می کنید، اطمینان حاصل نمایید که از فرد درستی اجازه می گیرید.

گزاره ۴: ” این که چه کسی اولین بار یک مطلب را نوشته یا منتشر کرده است به لحاظ حقوقی غیرممکن یا سخت است.”

از لحاظ حقوقی شاید، ولی کسی که مطلبی را آگاهانه کپی کرده، یا سهواً کپی کرده و بعداً متوجه شده، می تواند عذرخواهی کند.

مجدداً خواننده علاقمند را ارجاع میدهم به کتاب شیوه ارائه مطالب علمی – فنی، تالیف استاد بزرگ، محمد تقی روحانی رانکوهی، که افتخار شاگردی ایشان را در درس پایگاه داده داشتم. همچنین وبسایت استادان علیه تقلب، و همچنین ویدئویی از دکتر رامتین خسروی، استاد من در دو درس مهندسی نرم افزار در دوره کارشناسی و داور پایان نامه های من در مقطع ارشد و دکتری.

اشتراک گذاری

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.

 

این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های مشهور حوزه امنیت نرم افزار و مجری پادکست Silver Bullet Security است.

مدیران امنیت شرکت های مهمی در این گزارش مصاحبه شده اند، از جمله فیسبوک، سیسکو، جی پی مورگان، اچ اس بی سی و استار باکس. نتیجه این گزارش، ارائه یک تقسیم بندی در خصوص نقش امنیت و مدیر ارشد امنیت در سازمان است، که بر این اساس، چهار رده یا نقش برای آن شناسایی شده است:

  1. امنیت به عنوان توانمندساز
  2. امنیت به عنوان فناوری
  3. امنیت به عنوان تطبیق با استانداردها
  4. امنیت به عنوان مرکز هزینه

تقسیم بندی ارائه شده را می شود به نوعی یک مدل بلوغ هم دانست. به همین دلیل مطالعه آن برای کسانی که در این حوزه کار می کنند یا به آن علاقه دارند، مفید است. یک نکته جانبی در این گزارش که برای من جالب بود و سالهای قبل با این موضوع چالش داشتم، تاکید بر این مطلب است که موضوع مدیریت تقلب (Fraud Management) در ۲۳ سازمان از ۲۵ سازمان مطالعه شده، خارج از قلمرو امنیت اطلاعات است.

اشتراک گذاری

مرکز پاسخ به حوادث بهداشت و سلامت

Z-cert مرکز فوریت های رایانه ای یا پاسخ به حوادث امنیتی در حوزه بهداشت و سلامت کشور هلند است. این مرکز، خدماتی در راستای امنیت سایبری و مدیریت حوادث برنامه های کاربردی، شبکه و تجهیزات پزشکی و سلامت به بیمارستانها، کلینیک ها و دیگر سازمانهای این صنعت ارائه می کند.

در کشورهای دیگری از جمله نروژ و انگلستان هم CSIRT بهداشت و سلامت وجود دارد.

اشتراک گذاری

درباره یک باگ بانتی داخلی

اینکه مدیر پیام رسان آی گپ، پیشقدم شده و بخشی از امنیت محصول خود را در معرض قضاوت و تحلیل عمومی قرار داده، فی نفسه و مستقلا قابل تقدیر و ارزشمند است. حرکت ایشان به خصوص در روزهایی که بحث بر سر پیام رسان ها در اوج قرار دارد، به گسترش فرهنگ باگ بانتی (Bug Bounty) یا جایزه باگ، و آشنا شدن عموم و به خصوص صاحبان محصولات نرم افزاری کمک می کند.

برنامه های جایزه باگ، در بسیاری از شرکت های مطرح دنیا و حتی توسط دولتها به طور معمول اجرا می شود. شرکتهایی مثل Hackerone و Bugcrowd هم به طور تخصصی این سرویس را ارائه می کنند. معمولا برگزار کننده به طور مشخص اعلام می کند که جایزه به چه حمله ها یا آسیب پذیری هایی تعلق نمی گیرد، تا افراد وقت خود را صرف آن حمله ها نکرده و بعداً مدعی نشوند.

نکته ای که در جایزه یک میلیارد تومانی هک پیام رسان آی گپ نیاز به شفاف سازی و توضیح بیشتر دارد، بحث استفاده از الگوریتم رمزنگاری AES جهت رمزنگاری پیام های تبادلی بین کلاینت و سرور است. با توجه به اینکه AES یک الگوریتم استاندارد و امن (تا به امروز) است، بدیهی است که هیچ فردی در ایران نمی تواند به نحوی که خواسته شده، پیام های رمز شده با AES را رمزگشایی و به وسیله ابزاری مثل وایرشارک آن را اثبات کند. حتی هیچ فردی در دنیا هم قادر به این کار نیست (اگر هم NSA یا دیگر سازمان های اطلاعاتی قادر به این کار باشند، برای حفظ این برتری استراتژیک، آن را اعلام نخواهد کرد).

اشتراک گذاری