بایگانی برچسب: s

معرفی پادکست: Application Security Podcast

در ادامه معرفی پادکست های مفید امنیتی، به معرفی Applicaton Security Podcast می پردازیم. این یک پادکست فنی بسیار خوب در زمینه امنیت نرم افزار بوده و ضمن مصاحبه با افراد صاحبنظر، آخرین اخبار و تکنولوژی های مربوطه را پوشش می دهد.

اشتراک گذاری

معرفی پادکست: The IoT Podcast

پادکست ها یکی از بهترین و مفیدترین رسانه هایی هستند که می توانیم از طریق اینترنت از آنها استفاده کنیم. از این یادداشت به بعد به تناوب چند پادکست مفید را با موضوعات مرتبط با امنیت و اینترنت اشیاء معرفی می کنم.

پادکست امروز، The IoT Podcast  است که به صورت هفتگی، درباره اخبار و اتفاقات فناوری اینترنت اشیاء و به خصوص، محصولات جدید این حوزه از دیدگاه مشتری و تولید کننده می پردازد.

اشتراک گذاری

جدول با موضوع امنیت

برای کسانی که علاقه دارند اطلاعات عمومی و تا حدی تخصصی خودشون رو در حوزه امنیت محک بزنند، حل کردن جدول ایده تازه ایه که کسپرسکی در اینجا اون رو اجرا کرده.

اشتراک گذاری

استاندارد سازی و تنظیم مقررات امنیت در اینترنت اشیاء *

اینترنت اشیاء شبکه‌ای از تجهیزات، ابزارها، ماشین‌ها، ساختمان‌ها و دیگر عناصر به اصطلاح هوشمند است که مجهز به سنسورها، نرم‌افزار و اتصالات شبکه هستند واین به آنها امکان جمع‌آوری، پردازش و تبادل اطلاعات می‌دهد. این شبکه امکان اتصال و کنترل این وسایل را از راه دور و به سهولت فراهم می‌کند. پیش‌بینی‌ سیسکو حاکی از افزایش تعداد اشیاء متصل، به ۵۰ میلیارد تا سال ۲۰۲۰ است. در پارادیم اینترنت اشیاء، همه چیز به کامپیوتر تبدیل می‌شود. مایکروویو کامپیوتری است که غذاها را گرم می‌کند. فریزر کامپیوتری است که مواد غذایی را منجمد می‌کند. اتوموبیل، تلویزیون، چراغ راهنمایی، شبکه سراسری برق، تجهیزات پزشکی و غیره همگی کامپیوتر یا شبکه‌ای از کامپیوترها هستند.
واضح است که امنیت در اینترنت اشیاء فراتر از آن است که تا به حال در شبکه‌های کامپیوتری به دنبال برقراری آن بوده‌ایم. اگر تا به حال از میان سه هدف محرمانگی، صحت و دسترس‌پذیری، غالباً اهمیت بیشتری به محرمانگی داده می‌شد، در اینترنت اشیاء باید به صحت و دستر‌پذیری بیشتر توجه کنیم. شبی را تصور کنید که درب ورودی خانه شما قفل شده و هیچ راهی به درون خانه ندارید، در حالی که یک باج افزار از شما مبلغ ۱ میلیون تومان می‌خواهد تا بتوانید درب را باز کنید. فرض کنید یک نفوذگر بتواند کنترل اتوموبیل در حال حرکت شما را به دست آورد، در عملکرد دستگاه‌های درمانی مثل تزریق کننده انسولین یا تنظیم کننده ضربان قلب اختلال ایجاد کند و شبکه سراسری برق را به کنترل خود درآورد. تمام مثال‌های بالا توسط محققان امنیتی شبیه‌سازی شده یا حوادث واقعی آنها اتفاق افتاده و در امکانپذیر بودن آنها با استفاده از تجهیزات و شبکه‌های فعلی، شکی وجود ندارد. تصور اینکه در آینده اتوموبیل ما در حالی که در سفر هستیم به باج‌افزار آلوده شود، سیستم گرمایش خانه از کنترلمان خارج شود، دوربین‌های تحت وب ما برای حمله به زیرساخت‌های حیاتی شهر استفاده شوند و وسایل بازی کودک بتواند به ابزاری خطرناک برای کودک تبدیل شود، بخشی از کابوس زندگی در دنیای تحت سیطره اینترنت اشیاء است.
امنیت ما در اینترنت اشیاء مستقیماً به امنیت میلیون‌ها ابزار متصل به یکدیگر وابسته است. ابزارهایی که بسیاری از آنها محصول شرکت‌هایی هستند که ممکن است تا به حال نام آنها را نشنیده باشیم، و توسط کاربرانی استفاده می‌شوند که هیچ اهمیتی به امنیت ما نمی‌دهند. میلیون‌ها دوربین‌ و روتر خانگی که عضو بات‌نت‌هایی از قبیل Mirai هستند را می‌توان از این قبیل تجهیزات دانست. اتفاقی که Mirai چند ماه قبل رقم زد و توانست سایت‌هایی از قبیل توئیتر و PayPal را در ساعات قابل توجهی از روز از دسترس خارج کند، نشان داد که اینترنت اشیاء چه پتانسیلی برای آسیب زدن به کسب و کارها برای نفوذگران ایجاد می‌کند. بسیاری از این اشیاء، متشکل از اجزایی ارزان قیمت هستند که توسط تیم‌های نه چندان حرفه‌ای در حوزه امنیت، بسته بندی و فروخته شده‌اند. این اشیاء بر خلاف کامپیوترهای گرانقیمت سنتی، وصله‌های امنیتی دریافت نمی‌کنند و برخی از آنها هیچ راهی برای به روز رسانی ندارند.
آنچه تجهیزات متصل را در اینترنت اشیاء به سلاح‌هایی مخرب بدل می‌کند، بیش از آنکه نقاط ضعف فنی باشد، ناکارآمدی قوانین و سیاست‌ها است. امروز با انبوهی از تجهیزات متصل روبرو هستیم که حاوی حفره‌های امنیتی هستند، یا احتمالاً در آینده نقاط ضعفی در آنها شناخته خواهد شد، اما امکان و انگیزه رفع این نقطه ضعف‌ها وجود ندارد. اغلب تولید کنندگان تمایلی به وارد شدن به پروسه پیچیده و گران به روزرسانی محصولات فروخته شده ندارند. بسیاری از تولید کنندگان حداکثر اقدام به انتشار نسخه‌های جدید میان‌افزار و برنامه‌های کاربردی خود می‌کنند، در حالی که نه تنها تضمینی برای عملیاتی شدن این نسخه‌های جدید وجود ندارد، بلکه روند حوادث اخیر نشان می‌دهد که رفع این آسیب پذیری‌ها چالش جدی اینترنت اشیاء است.
به روز رسانی از طریق وصله‌های نرم‌افزاری، روش استانداردی است که تولید کنندگان بزرگ صنعت کامپیوتر برای رفع آسیب‌پذیری‌های کشف شده در محصولات خود انتخاب کرده‌اند. شرکت‌هایی مثل مایکروسافت، گوگل، اپل و غیره برنامه‌ای جامع و منظم برای انتشار وصله‌ها اجرا می‌کنند که مشتمل بر تولید سریع، تست و انتشار به موقع این وصله‌ها است. به روز رسانی خودکار، هم در طرف کاربر به عنوان یک اقدام ضروری همواره توصیه شده است و هم تولید کننده به عنوان بخشی از فرآیند نگهداری محصول بر عهده گرفته است. هرچند این پروسه به روزرسانی دارای اشکالات عمده‌ای است که بسیاری از ما در زندگی شخصی و کاری با آن آشنا هستیم، اما حداقل به عنوان یک روش استاندارد و بهترین گزینه موجود، پذیرفته شده است. اما این در اینترنت اشیاء صادق نیست. یک هدفون هوشمند، تلویزیون، فریزر یا اتوموبیل هوشمند را در نظر بگیرید. در بسیاری از این محصولات با تولیدکننده‌ای سروکار داریم که حتی تیمی برای تست امنیتی محصول خود ندارند. در بعضی از این تجهیزات اصلاً نمی‌توان انتظار پشتیبانی پس از فروش را داشت. بعضی دیگر از این دستگاه‌ها اساساً قابل وصله کردن نیستند. حتی تضمینی نیست که وصله ایجاد شده را بتوان با سلامت و بدون از دست رفتن اصل محصول، پیاده‌سازی نمود. این می‌تواند ناشی از نوع طراحی محصول، کیفیت شبکه مورد اتصال یا محل استفاده از آن باشد.
دوره عمر بسیاری از تجهیزات متصل در اینترنت اشیاء طولانی‌تر از کامپیوترهای عادی است. اگر بتوان تصور کرد که بسیاری از افراد هر دو یا سه سال یک‌بار گوشی هوشمند یا لپ‌تاپ خود را تعویض کنند، این مدت برای وسایلی مثل فریزر، درب ساختمان، سیستم گرمایش و اتوموبیل می‌تواند چندین سال بیشتر باشد. وسایلی مثل اتوموبیل حتی ممکن است تا ده سال و بیشتر، دست به دست شده و استفاده شوند. حال تصور کنید که شرکت تولید کننده چنین وسایلی ورشکست شود، یا تصمیم بگیرد که از محصولات قدیمی خود پشتیبانی نکند. درست مانند عدم پشتیبانی مایکروسافت از ویندوز XP، هرچند مایکروسافت در حادثه اخیر مربوط به بدافزار WannaCry، وصله مربوط به ویندوز XP را نیز در اختیار کاربران قرار داد. حال اگر در سال ۲۰۱۷ یک برنامه نویس قطعه کدی برای سیستم کنترل هوشمند یک اتوموبیل می‌نویسد، چه کسی قرار است آن را در صورت نیاز، در سال ۲۰۳۰ یا ۲۰۴۰ وصله کند؟
بنابراین بازار اینترنت اشیاء دارای دو ویژگی چالش برانگیز در حوزه امنیت است:
۱- نگهداری امنیتی اشیاء متصل، به دلیل ماهیت آنها مشکل است.
۲- نه تولیدکنندگان و نه مصرف کنندگان در این بازار، اولویت لازم را برای امنیت اشیاء متصل قائل نیستند.
به همین دلیل، باید در حوزه قوانین و سیاست‌ها به دنبال راه حل باشیم. حاکمیت باید حداقلی از نیازمندی‌های امنیتی را برای محصولاتی که به حوزه IoT وارد می‌شوند الزام کند. همچنین باید هزینه سوء استفاده از آسیب پذیری‌های این محصولات را برای تولید کنندگان بالا ببرد. هرچند استفاده از اهرم حاکمیتی ممکن است به طور کلی راه حل ایده آل نباشد، اما چاره‌ای نیست. این راهی است که کشورهای دیگر نیز در حال قدم گذاشتن در آن هستند. کما اینکه امروز در ایالات متحده و اتحادیه اروپا، این حرکت آغاز شده است. ویژگی‌های بازار اینترنت اشیاء، حاکمیت را ناگزیر از ورود به این حوزه و تنظیم مقررات خواهد کرد. نقش حاکمیت در اینجا پیش از هر چیز، تدوین و برقرار کردن استانداردها و سیاست‌ها و اطمینان از تطبیق شرکت‌ها و سازمان‌ها با این الزامات حاکمیتی است، به نحوی که امکان سوء استفاده از این شبکه برای آسیب رساندن به شهروندان و سازمان‌ها به حداقل برسد. هدف نهایی این استانداردسازی، باید حفظ ایمنی جامعه در برابر تهدیدهای سایبری و سایبرـ‌فیزیکی اینترنت اشیاء و جلوگیری از رخدادهایی شبیه حملات بات‌نت Mirai باشد. استانداردسازی و تنظیم مقررات نه فقط از جانب حاکمیت، بلکه توسط خود بازیگران این عرصه هم باید اتفاق بیافتد. به عنوان مثال، خدمات دهندگان اینترنت باید اطمینان حاصل کنند که روترهای خانگی مشتریان، تجهیزات اینترنت بی‌سیم عمومی، دوربین‌های تحت شبکه و غیره پیش از نصب، حداقلی از تنظیمات امنیتی را تضمین می‌کنند. صنعت بیمه هم می‌تواند عهده دار بخشی از مسئولیت کاهش آسیب‌های ناشی از حملات مبتنی بر اینترنت اشیاء باشد. تنظیم مقررات اینترنت اشیاء فراتر از امنیت سایبری نیازمند توجه به ایمنی (Safety) است. همانطور که در صنایع حمل و نقل هوایی، تجهیزات بیمارستانی و دارو مقررات ایمنی وضع و اجرا می‌شود، باید در حوزه اینترنت اشیاء نیز این اتفاق رخ دهد. همچنین آزمایشگاه‌هایی باید برای اعتباربخشی و تأیید امنیتی وسایل هوشمند خانگی و دیگر تجهیزات IoT تحت حمایت حاکمیت تأسیس شوند.

* نسخه ای از این یادداشت، پیش تر در ماهنامه بانکداری الکترونیک منتشر شده است.

اشتراک گذاری

محتوای دروس رایگان دانشگاه MIT

دانشگاه MIT مجموعه ای از دروس در رشته های مختلف از جمله شبکه، امنیت، مهندسی نرم افزار، شبکه و نظریه محاسبات رو به صورت باز به همراه ویدئو و فایل های آموزشی منتشر کرده.

اشتراک گذاری

معضل ترجمه متون فنی امنیت

قبلاً گفته بودم که ترجمه متون فنی کار ساده ای نیست و پیچیدگی های خاصی داره که اگر رعایت نشه، خواننده رو به جای سهولت فهم موضوع، گمراه میکنه. از جمله همین اواخر در مورد اینکه اینترنت اشیاء درسته یا اینترنت چیزها؟

و قدیم تر درباره بعضی خبرهای ترجمه شده مثل این.

حالا به این خبر که افتانا از اینجا عیناً نقل کرده و ترجمه ای از این یادداشت هست نگاه کنیم.

این ترجمه ای که انجام شده، هم اشتباهات فاحش لغوی داره، و هم ایرادات مفهومی. مثلاً کلمه value در جمله زیر به “مقدار” ترجمه شده!

Dynamic analysis can help determine the runtime effects of a piece of malware, but with tools for sandbox detection and evasion becoming increasingly common, its value is limited.

فقط به عنوان نمونه ای از خطاهای مفهومی این ترجمه:

Besides, knowing what a piece of malware does won’t help with file similarity analysis, as there may be dozens of ways to achieve that result.

این جمله داره میگه تحلیل پویا (زمان اجرا) نمیتونه لزوماً برای قضاوت در مورد شباهت ساختاری بدافزارها مفید باشه. چرا؟ چون بدیهیه که میشه هزار تا کد ظاهراً متفاوت (یعنی با ساختار ایستای متفاوت) نوشت که رفتار زمان اجراشون مشابه باشه. کلاً هدف این مقاله تاکید بر اهمیت کشف شباهت ساختاری (ایستای) بدافزارهاست، بر خلاف روند کلی تحلیل بدافزار که بر روش های پویا (تحلیل زمان اجرا) بنا شده.

حالا ترجمه این جمله رو میبینیم:

“علاوه بر این با مقایسه‌ی مشابهت‌های بین کد بدافزارها، نمی‌توان متوجه عملکرد یک باج‌افزار شد و نیاز داریم ده‌ها روش را مورد بررسی قرار دهیم تا به این نتایج برسیم.

یعنی کلاً مفهوم مورد نظر نویسنده معکوس شد!

اشتراک گذاری

اینترنت اشیاء یا اینترنت چیزها؟ مسأله این هست و نیست!

کلمات مهم هستند. به خصوص، وقتی ترجمه شده و قرار باشه معنایی رو از زبان و فرهنگ دیگه ای منتقل کنن. Internet of Things رو هم اینترنت اشیاء ترجمه کردن و هم اینترنت چیزها. جادی در یک یادداشت و , قبل تر از اون در یک پادکست به این موضوع پرداخته که اینترنت اشیاء، در برگیرنده همه مفهوم IoT نیست و اینترنت چیزها درست هست. برداشت من اینه که شیء میتونه به هر “چیزی” اطلاق بشه، و کلاً شیء در عربی همون چیز در فارسی و Thing در انگلیسی هست. نمیدونم از لحاظ تخصصی این برداشت چقدر درست هست. اما اینکه مصطلح شدن اینترنت اشیاء به این دلیل باشه که کسی نخواد از کلمه “چیزها” استفاده کنه، و اینکه ما ایرانی ها دوست داریم مودب باشیم و … اصلاً درست نیست. جادی میگه: “… تصمیم گرفته ایم به اینترنت چیزها هم بگیم اینترنت اشیاء که اشتباه بزرگ ولی مصطلحی در بخصوص آدم‌های آکادمیک است – چون می دونین که، آدم های آکادمیک باید قشنگ حرف بزنن، حتی اگر اشتباه باشه.” فکر می کنم این قضاوت درستی نیست. در بین آدم هایی که از دید من و شما “آکادمیک” محسوب می شن، یعنی دانشگاهی هستن، مثل هر قشر دیگه ای، همه جور آدمی ممکنه پیدا بشه. ولی کسی که “ترجیح بده قشنگ حرف بزنه حتی اگه اشتباه باشه” قطعاً آکادمیک نیست، حتی اگه فارغ التحصیل یا استاد بهترین دانشگاه هم باشه. یه مثالی بزنم: همه می دونیم که یک بیماری بسیار شایع و کشنده، سرطان پستان هست، که به غلط، گاهی بهش سرطان سینه گفته می شه. من در جلسه دفاعی حضور داشتم که اولین ایرادی که یکی از استادان داور گرفت، این بود که “شما گاهی سهواً موقع ارائه به جای سرطان پستان می گی سرطان سینه”! مثال دیگه، استاد خود من هست که معتقد بودن (حداقل برداشت من از حدود ده سال کار با ایشان اینه) که ترجمه در رشته ما کار بیهوده ای هست، چون زبان علم یک زبان بین المللی هست که هر کسی باید به اون مسلط باشه تا اولاً توانایی استفاده از اصل متون علمی رو داشته باشه و ثانیاً اگر میخواد در پیشبرد علم مشارکت کنه بتونه کار خودش رو به دنیایی که اون زبان رو به رسمیت می شناسه و می فهمه ارائه کنه. با این وجود استاد من به سخت گیر بودن و دقیق بودن فوق العاده در نوشتن متن، چه به فارسی و چه انگلیسی، و استفاده از معادل های درست بسیار معروف هستن. این دو مثال رو گفتم برای اینکه لااقل من آدم های آکادمیکی رو میشناسم که مقید هستن که درست حرف بزنن، نه قشنگ. چه اینترنت اشیاء و چه اینترنت چیزها، اصل ماجرا هست که مهمه :).

 

اشتراک گذاری

گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)

همانطور که قبلاً در یادداشتهایی اشاره کرده بودم(۱و۲)، سمینار امنیت به عنوان یکی از سمینارهای رویداد تراکنش (ITE 2016) در آبان ۹۵ برگزار شد. فایل های مربوط به این سمینار که در ماهنامه بانکداری الکترونیک چاپ شده، شامل گفتگو با من و مهندس بخشایش (دبیران سمینار)، گزارش سخنرانی های انجام شده، گزارش میزگرد تخصصی و مروری بر رویدادهای مهم امنیت سایبری در دنیا رو برای دانلود قرار می دم.

گفتگو با دبیران سمینار امنیت

مروری بر برخی رویدادهای مهم امنیت سایبری

گزارش سخنرانی ها و میزگرد تخصصی سمینار امنیت

اشتراک گذاری

باگ باونتی و حواشی آن: مصائب هکرهای قانونمند!

برنامه باگ باونتی (Bug Bounty) به طرحی گفته می شه که در اون یک سازمان که میتونه شرکتی خصوصی یا نهادی دولتی باشه طبق شرایطی مشخص، از هکرها و محققین امنیت درخواست می کنه تا آسیب پذیری های امنیتی سیستم های سازمان رو در ازای دریافت پاداش، به اون گزارش کنن. از این طریق، هکرهای قانونمند به اون سازمان کمک می کنن که باگ های امنیتی خودش رو که از اونها بی اطلاع هست، کشف کنه و قبل از اینکه به هر طریقی مورد سوء استفاده قرار بگیره، اونها رو رفع کنه. این کار اولین بار توسط شرکت Netscape در دهه ۹۰ انجام شده و الان شرکت های بزرگ مثل مایکروسافت، فیسبوک، گوگل و حتی پنتاگون به طور معمول این برنامه رو اجرا می کنن. مثلاً برنامه باگ باونتی مایکروسافت برای محصولات مختلفش در اینجا اعلام شده و گفته شده که تاریخ شروع و پایان هر برنامه و حداکثر میزان پاداش برای گزارش باگ از محصولات مختلف چقدر هست. همچنین در برنامه VRP از مجموعه برنامه های موسوم به Security Reward گوگل، به طور دقیق مشخص شده که چه آسیب پذیری هایی مورد پذیرش هست، کدام سایت ها و اپلیکیشن ها مستثنا هستند و به خصوص، چه گزارش هایی از دید گوگل ارزش شرکت در این رقابت رو ندارن.
در ایران اما وضعیت به کلی متفاوت هست. همونطور که جادی در این یادداشت اشاره کرده، موارد زیادی از گزارش آسیب پذیری ها به سازمان ها مورد توجه خاصی قرار نمی گیره. نه تنها برنامه هایی که بشه به اونها باگ باونتی گفت وجود نداره (خب گوگل و مایکروسافت هم در ایران نداریم!)، اساساً در خیلی از سازمان ها برنامه مشخصی برای مواجهه با یک گزارش آسیب پذیری وجود نداره. اینکه اگر کسی ادعای وجود یک آسیب پذیری رو داشت، چه برخوردی در اون سازمان میشه و اساساً به چه کسی باید گزارش داد، اصلاً مشخص و قابل پیش بینی نیست. همین موضوع باعث می شه که برخورد با این گزارش ها کاملاً موردی و وابسته به سلیقه مدیران مربوطه باشه. باید توجه داشته باشیم که اگر سازمانی برنامه باگ باونتی اعلام نکرده باشه، و شما هم قرارداد تست نفوذ با اون سازمان نداشته باشید، اونوقت شما طبق ماده ۱ قانون جرائم رایانه ای مجرم هستید. البته نظر شخصی من این نیست، اما قانون به نظر شخصی من و شما یا اونچه که احتمالاً در بعضی کشورهای دنیا به عنوان عرف پذیرفته شده، کاری نداره!
البته تمام تقصیر رو هم بهتره به گردن سازمان ها نندازیم. بعضی از سازمان ها تجربه جذابی از مواجهه با افرادی که باگ گزارش می دن، ندارن. با این حال، تعداد افرادی که به صورت متمدنانه و قانونمند می تونن به سازمان ها کمک کنن، کم نیست و بهتره که فرهنگ باگ باونتی، یا چیزی شبیه به اون، زودتر در سازمان ها جا بیافته. حالا اگر هم برنامه ای رسمی برای جایزه دادن به هکرهای قانونمند اعلام نمی کنن، حداقل بتونن گزارش های معتبر و خیرخواهانه رو از بقیه گزارش ها تشخیص داده و برخورد مناسبی با گزارش دهنده داشته باشن.

اشتراک گذاری