طبق سند منتشر شده توسط دولت آمریکا، به نظر میرسد وزارت دفاع این کشور قصد دارد از یک سپر دفاعی مبتنی برای بلاکچین برای تامین امنیت سایبری خود استفاده کند. این سند که «استراتژی مدرنسازی دیجیتال» نام دارد، ۱۲ جولای در سایت وزارت دفاع آمریکا منتشر شد. علاوه بر راهکارهای مبتنی بر بلاکچین، این سند شامل روشهایی مبتی بر پردازش ابری و کوانتومی، هوش مصنوعی و بهبود ارتباطات از طریق دفتر کل توزیعی است.
در واقع، دپارتمان تحقیق و توسعه این وزارت (دارپا)، تست این فناوری برای ساخت یک پلتفرم امن و کارا برای پیامرسانی و انجام تراکنشها را آغاز کرده است. این واحد از سال ۲۰۰۰، به منظور رفع چالشهای مربوط به افزایش قدرت پردازشیِ رقبا، فرآیند بروزرسانی سختافزار و نرمافزارهای امنیتی خود را شروع کرده است.
این گزارش، ضمن استناد به ویژگیهای شفافیت، تغییرناپذیری و عدم اعتماد در تکنولوژی بلاک چین، این چنین نوشته است:
شبکههای مبتنی بر بلاکچین نه تنها احتمال نفوذ به سیستم را کاهش میدهند، بلکه هزینه نفوذ به سیستم را برای رقبا بسیار زیاد میکند.
همچنین این وزرات برای مدیریت چندین پتابایت داده بین ادارات مختلف این وزارت، پروژه پلتفرم بیگ دیتا (کلان داده) را شروع کرده است. این پلتفرم قابلیت تجمیع، ارتباط و بررسی روند دادهها را داشته و میتواند بوسیله تشخیص الگو، وقوع حملات را پیشبینی کند.
https://ossolutions.ir/wp-content/uploads/2019/07/pishgaman-blockchain-security.jpg600900پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-30 12:45:082019-07-30 12:45:08تصمیم وزارت دفاع آمریکا برای توسعه سپر امنیت سایبری بلاک چین
در صورتی که مدیریت سرورهای اختصاصی و مجازی را به عهده دارید، حتما با سیستم عامل لینوکس نیز سر و کار داشتهاید. گرچه سیستم عامل لینوکس و مخصوصا نسخه سرور آن، از لحاظ امنیتی بسیار مطمئنتر از سیستم عامل ویندوز سرور است، اما به صورت دورهای باید مورد بررسی و ممیزی امنیتی قرار بگیرد تا آسیبپذیریهای امنیتی و رخنههای احتمالی وصله یا پچ شوند.
برای بررسی امنیتی و مقاوم سازی سرورهای لینوکس ابزارهای زیادی وجود دارد که بررسی همهی آنها از حوصلهی مدیران و ادمینهای سرور خارج است. یکی از کاملترین آنها، OpenSCAP است که ابزارهای زیادی را برای بررسی، شناسایی، اندازهگیری و اعمال موارد امنیتی مهیا کرده است.
در این مطلب، نحوه استفاده از این ابزار را در لینوکس اوبونتو ۱۸.۰۴ آموزش خواهیم داد. این آموزش برای اکثر توزیعهای دیگر لینوکس نیز به همین صورت بوده و تنها نیازمندی آن، یک حساب کاربری با دسترسی روت است.
برای نصب این ابزار کافی است دستور زیر را در ترمینال سرور خود وارد کنید:
sudo apt-get install libopenscap8 -y
دستور بالا برای سرورهای لینوکس دبیان کاربرد دارد، در صورتی که از لینوکس مبتی بر ردهت استفاده میکنید، این دستور را وارد کنید:
sudo yum install openscap-scanner
بعد از اتمام نصب، باید پروفایل OVAL (یک زبان متن باز برای توسعه ارزیابی آسیبپذیری در سیستهای کامپیوتری) که برای بررسی آسیبپذیریهای امنیتی استفاده میشود را دانلود یا بارگذاری کنید:
حالا میتوانید با کپی کردن فایل خروجی در فولدر پابلیک html سایت خود، به راحتی به نتیجه آنالیز امنیتی سرور خود دسترسی داشته باشید. توجه کنید که اگر آدرس روت وب سرور شما متفاوت است، این آدرس را عوض کنید.
sudo cp /tmp/oscap_report.html /var/www/html/
همانطور که در نتایج گزارش مشاهده خواهید کرد، بیش از ۱۳۰۰۰ آسیب پذیری بررسی شده و به همراه نتیجه و لینک ارجاع به صفحه CVE برای وصله کردن و نصب پچهای امنیتی، لیست شدهاند.
علاوه بر استفاده از ابزار فوق، یک چک لیست امنیتی مناسب میتواند امنیت سرور شما را تا حد زیادی تامین کند. در مقاله چک لیست امنیتی سرور لینوکس میتوانید ۱۸ موردی که برای ارتقا امنیت سرور مجازی لینوکسی شما بیشترین تاثیر را دارد مشاهده کنید.
https://ossolutions.ir/wp-content/uploads/2019/07/OpenSCAP-pishgaman.jpg450800پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-29 19:31:132020-09-15 09:47:06بررسی امنیت و امن سازی سرور مجازی
سقوط ارزش بیتکوین در هفتههای اخیر باعث شد تا پایینترین قیمت در ماه گذشته برای این ارز مجازی رقم بخورد. این در حالی است که افزایش قیمت بیتکوین در ۳ ماه گذشته، رکورد جدیدی برای بیت کوین در سال جاری ثبت کرده بود. حالا پس از افزایش قیمت بیت کوین به نزدیک ۱۴۰۰۰ دلار در ماه گذشته، قیمت این ارز دیجیتال در شب گذشته به حدود ۹۰۰۰ دلار سقوط کرد. ساعاتی بعد قیمت بیت کویین به ۹۶۰۰ دلار افزایش پیدا کرد و به نظر میرسد در همین قیمت ثابت شده باشد.
این در حالی است که با معرفی ارز دیجیتال لیبرا توسط فیسبوک، بازار ارزهای مجازی بیش از پیش داغ شده است. مدیر عامل هواوی هم اخیرا در مصاحبهای اعلام کرد که دولت چین قدرت به مراتب بالاتری از کمپانی فیسبوک داشته و به راحتی میتواند با انتشار ارز مجازی خود، با لیبرا رقابت کند. گرچه هواوی با عضویت در اتحادیه هایپرلجر و ارائه خدمات ابری مبتی بر بلاکچین، قدم بزرگی به سمت فناوری بلاک چین برداشته است، به نظر نمیرسد خودش تمایلی برای انتشار ارز دیجیتال و رقابت با فیسبوک داشته باشد.
https://ossolutions.ir/wp-content/uploads/2019/07/bitcoin-price-pishgaman.jpg430860پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-29 10:24:462019-07-29 10:24:46سقوط قیمت بیت کوین به پایینترین حد خود در ماه گذشته
اسلک (Slack) طی بیانیهای اعلام کرده که رمز عبور برخی از کاربران خود را عوض کرده است. این اتفاق بعد از انتشار گزارشی در مورد یک رخنه امنیتی در سال ۲۰۱۵ رخ داده است. تمام کاربرانی که قبل از مارچ سال ۲۰۱۵ حساب کاربری اسلک خود را ساختهاند و از آن زمان، پسورد خود را عوض نکرده بودند، شامل این تغییرِ پسورد خواهند شد. اسلک میگوید حدود یک درصد از کاربرانش شامل این جریان میشوند، که طبق گزارش ZDNet، حدود ۶۵ هزار نفر هستند.
این تصمیم بعد از لو رفتن تعداد زیادی از ایمیلها و رمز عبور کاربران اتفاق افتاد. بعد از تحقیقات امنیتی انجام شده، مشخص شد که هکرها با نصب کی لاگر در نرم افزار اسلک توانسته بودند رمزهای عبور کاربران را ثبت کنند. همچنین هکرها به یک دیتابیس که شامل نام کاربری و هش رمز عبور آنها بود نیز دست یافته بودند. اسلک از کاربرانش خواسته تا برای امنیت بالاتر تایید هویت دو مرحلهای را برای اکانت خود فعال کنند.
https://ossolutions.ir/wp-content/uploads/2019/07/slack-security-pishgaman.png540960پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-21 20:43:172019-07-21 20:43:17اسلک پسورد هزاران کاربر را ۴ سال بعد از هک شدنشان عوض کرد
بعد از کشف یک باگ امنیتی در برنامه واکی تاکی اپل واچ، اپل مجبور شد تا این اپلیکیشن را روی ساعتهای هوشمند خود غیرفعال کند. این آسیبپذیری امنیتی به هکرها این اجازه را میداد تا به صورت مخفی به صحبتهای طرف مقابل گوش دهند.
طبق اعلامیه اپل، سوءاستفاده از این باگ امنیتی نیازمند شرایط خاص بوده و مدرکی هم از استفاده هکرها از این رخنه وجود ندارد، با این حال با توجه به اینکه امنیت مجازی و حریم خصوصی افراد همیشه برای اپل اولویت داشته است، اپل اقدام به غیرفعالسازی موقت این اپلیکیشن کرده است.
برنامه واکی تاکی از قابلیت تماس صوتی فیس تایم استفاده میکند و سال گذشته با آپدیت WatchOS 5 منتشر شده بود. طی این سال، این بار دومی است که اپل مجبور میشود به دلایل امنیتی یکی از ویژگیهای فیستام را غیرفعال کند. سال گذشته اپل مجبور شده بود تا سرویس تماس گروهی فیس تایم را غیر فعال کند.
https://ossolutions.ir/wp-content/uploads/2019/07/pishgaman-apple-watch-walkie-talkie.jpg467800پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-14 18:18:052019-07-14 18:18:05اپل اپلیکیشن واکی تاکیِ اپل واچ را به علت رخنه امنیتی غیرفعال کرد
طبق آخرین تحقیقات انجام شده در زمینه امنیت برنامههای موبایل، هزاران برنامه اندروید حتی زمانی که دسترسی مکان (location) آنها را رد کرده باشید، قادر به ردیابی شما خواهند بود. این برنامهها، با دسترسی به شناسه منحصر به فرد گوشی شما و بسیاری از دادههای اشتراکی، راههایی پبدا کردهاند تا با دور زدن گوگل به موقعیت مکانی شما دسترسی پیدا کنند.
حتی اگر به طور مستقیم برنامه مورد نظر را از دسترسی به شناسه گوشی خود منع کرده باشید، این برنامهها میتوانند با دسترسی به فضای اشتراکی مورد استفاده بوسیله دیگر برنامهها، به این اطلاعات دسترسی پیدا کنند. این اپلیکیشنها لزوما با یکدیگر مرتبط نیستند و تنها کافی است از یک کیت توسعه نرم افزار (SDK) برای نوشتن اپلیکیشن اندرویدی خود استفاده کرده باشند. درست مانند زمانی که کودکی توسط یکی از والدین از خوردن بستی منع شده و به سراغ دیگری میرود.
به عنوان مثال، برنامههای سامسونگ و والت دیزنی، که هر کدام بیشتر از ۱۰۰ میلیون مرتبه دانلود شدهاند، از SDK ابرشرکت چینی بایدو استفاده میکنند. این برنامهها، و البته خود شرکت بایدو، میتوانند به این اطلاعات اشتراکی دسترسی داشته و آنها را به سرورهای خود بفرستند.
جدای از این آسیبپذیری، رخنههای امنیتی دیگری نیز کشف شدهاند که سوءاستفاده اپلیکیشنهای اندرویدی از اطلاعات SSID، MAC address و دیگر پارامترهای شبکه بیسیم را مهیا میکنند. همچنین برنامههایی نیز کشف شدهاند که بدون اجازه کاربر، موقعیت مکانی افراد را از متاتگهای عکسها استخراج کرده و به سرورهای خود میفرستند.
این محققان که نتایج تحقیق خود را سال گذشته در اختیار گوگل قرار داده بودند، امیدوارند تا بسیاری از این آسیبپذیری و رخنههای امنیتی در نسخه جدید اندروید، یعنی آندروید کیو (Android Q) رفع شود. اما طبق روال گذشته میدانیم که اکثر گوشیهای اندرویدی این آپدیت را دریافت نخواهند کرد.
https://ossolutions.ir/wp-content/uploads/2019/07/android-pishgaman-security.jpg440767پیشگامانhttps://ossolutions.ir/wp-content/uploads/2020/10/pioneers-of-opensource-logo.pngپیشگامان2019-07-10 11:07:292019-07-10 11:09:21برنامههای اندرویدی بدون دسترسی مکان هم قادر به رهگیری کاربران هستند
