طبق سند منتشر شده توسط دولت آمریکا، به نظر می‌رسد وزارت دفاع این کشور قصد دارد از یک سپر دفاعی مبتنی برای بلاک‌چین برای تامین امنیت سایبری خود استفاده کند. این سند که «استراتژی مدرن‌سازی دیجیتال» نام دارد، ۱۲ جولای در سایت وزارت دفاع آمریکا منتشر شد. علاوه بر راهکارهای مبتنی بر بلاک‌چین، این سند شامل روش‌هایی مبتی بر پردازش ابری و کوانتومی، هوش مصنوعی و بهبود ارتباطات از طریق دفتر کل توزیعی است.

در واقع، دپارتمان تحقیق و توسعه این وزارت (دارپا)، تست این فناوری برای ساخت یک پلتفرم امن و کارا برای پیام‌رسانی و انجام تراکنش‌ها را آغاز کرده است. این واحد از سال ۲۰۰۰، به منظور رفع چالش‌های مربوط به افزایش قدرت پردازشیِ رقبا، فرآیند بروزرسانی سخت‌افزار و نرم‌افزارهای امنیتی خود را شروع کرده است.

این گزارش، ضمن استناد به ویژگی‌های شفافیت، تغییرناپذیری و عدم اعتماد در تکنولوژی بلاک چین، این چنین نوشته است:

شبکه‌های مبتنی بر بلاک‌چین نه تنها احتمال نفوذ به سیستم را کاهش می‌دهند، بلکه هزینه نفوذ به سیستم را برای رقبا بسیار زیاد می‌کند.

همچنین این وزرات برای مدیریت چندین پتابایت داده بین ادارات مختلف این وزارت، پروژه پلتفرم بیگ دیتا (کلان داده) را شروع کرده است. این پلتفرم قابلیت تجمیع، ارتباط و بررسی روند داده‌ها را داشته و می‌تواند بوسیله تشخیص الگو، وقوع حملات را پیشبینی کند.

در صورتی که مدیریت سرورهای اختصاصی و مجازی را به عهده دارید، حتما با سیستم عامل لینوکس نیز سر و کار داشته‌اید. گرچه سیستم عامل لینوکس و مخصوصا نسخه سرور آن، از لحاظ امنیتی بسیار مطمئن‌تر از سیستم عامل ویندوز سرور است، اما به صورت دوره‌ای باید مورد بررسی و ممیزی امنیتی قرار بگیرد تا آسیب‌پذیری‌های امنیتی و رخنه‌های احتمالی وصله یا پچ شوند.

برای بررسی امنیتی و مقاوم سازی سرورهای لینوکس ابزارهای زیادی وجود دارد که بررسی همه‌ی آن‌ها از حوصله‌ی مدیران و ادمین‌های سرور خارج است. یکی از کامل‌ترین آن‌ها، OpenSCAP است که ابزارهای زیادی را برای بررسی، شناسایی، اندازه‌گیری و اعمال موارد امنیتی مهیا کرده است.

در این مطلب، نحوه استفاده از این ابزار را در لینوکس اوبونتو ۱۸.۰۴ آموزش خواهیم داد. این آموزش برای اکثر توزیع‌های دیگر لینوکس نیز به همین صورت بوده و تنها نیازمندی آن، یک حساب کاربری با دسترسی روت است.

برای نصب این ابزار کافی است دستور زیر را در ترمینال سرور خود وارد کنید:

sudo apt-get install libopenscap8 -y

دستور بالا برای سرورهای لینوکس دبیان کاربرد دارد، در صورتی که از لینوکس مبتی بر ردهت استفاده می‌کنید، این دستور را وارد کنید:

sudo yum install openscap-scanner

بعد از اتمام نصب، باید پروفایل OVAL (یک زبان متن باز برای توسعه ارزیابی آسیب‌پذیری در سیست‌های کامپیوتری) که برای بررسی آسیبپذیری‌های امنیتی استفاده می‌شود را دانلود یا بارگذاری کنید:

wget https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml

پروفایل OVAL مربوط به توزیع ردهت و سنتوس را هم می‌توانید از آدرس زیر دانلود کنید:

wget https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2

بعد از اتمام دانلود، با دستور زیر پروفایل را اکسترکت کنید:

bunzip2 com.redhat.rhsa-RHEL7.xml.bz2

بعد از استخراج مخازن OVAL، با دستور زیر ارزیابی امنیت سرور لینوکس خود را شروع کنید. توجه داشته باشید که اجرای این دستور ممکن است زمان زیادی طول بکشد.

oscap oval eval --results /tmp/oscap_results.xml --report /tmp/oscap_report.html com.ubuntu.xenial.cve.oval.xml

حالا می‌توانید با کپی کردن فایل خروجی در فولدر پابلیک html سایت خود، به راحتی به نتیجه آنالیز امنیتی سرور خود دسترسی داشته باشید. توجه کنید که اگر آدرس روت وب سرور شما متفاوت است، این آدرس را عوض کنید.

sudo cp /tmp/oscap_report.html /var/www/html/

linux security

همانطور که در نتایج گزارش مشاهده خواهید کرد، بیش از ۱۳۰۰۰ آسیب پذیری بررسی شده و به همراه نتیجه و لینک ارجاع به صفحه CVE برای وصله کردن و نصب پچ‌های امنیتی، لیست شده‌اند.

سقوط ارزش بیت‌کوین در هفته‌های اخیر باعث شد تا پایین‌ترین قیمت در ماه گذشته برای این ارز مجازی رقم بخورد. این در حالی است که افزایش قیمت بیت‌کوین در ۳ ماه گذشته، رکورد جدیدی برای بیت کوین در سال جاری ثبت کرده بود. حالا پس از افزایش قیمت بیت کوین به نزدیک ۱۴۰۰۰ دلار در ماه گذشته، قیمت این ارز دیجیتال در شب گذشته به حدود ۹۰۰۰ دلار سقوط کرد. ساعاتی بعد قیمت بیت کویین به ۹۶۰۰ دلار افزایش پیدا کرد و به نظر می‌رسد در همین قیمت ثابت شده باشد.

این در حالی است که با معرفی ارز دیجیتال لیبرا توسط فیسبوک، بازار ارزهای مجازی بیش از پیش داغ شده است. مدیر عامل هواوی هم اخیرا در مصاحبه‌ای اعلام کرد که دولت چین قدرت به مراتب بالاتری از کمپانی فیسبوک داشته و به راحتی می‌تواند با انتشار ارز مجازی خود، با لیبرا رقابت کند. گرچه هواوی با عضویت در اتحادیه هایپرلجر و ارائه خدمات ابری مبتی بر بلاک‌چین، قدم بزرگی به سمت فناوری بلاک چین برداشته است، به نظر نمی‌رسد خودش تمایلی برای انتشار ارز دیجیتال و رقابت با فیسبوک داشته باشد.

اسلک (Slack) طی بیانیه‌ای اعلام کرده که رمز عبور برخی از کاربران خود را عوض کرده است. این اتفاق بعد از انتشار گزارشی در مورد یک رخنه امنیتی در سال ۲۰۱۵ رخ داده است. تمام کاربرانی که قبل از مارچ سال ۲۰۱۵ حساب کاربری اسلک خود را ساخته‌اند و از آن زمان، پسورد خود را عوض نکرده بودند، شامل این تغییرِ پسورد خواهند شد. اسلک می‌گوید حدود یک درصد از کاربرانش شامل این جریان می‌شوند، که طبق گزارش ZDNet، حدود ۶۵ هزار نفر هستند.

این تصمیم بعد از لو رفتن تعداد زیادی از ایمیل‌ها و رمز عبور کاربران اتفاق افتاد. بعد از تحقیقات امنیتی انجام شده، مشخص شد که هکرها با نصب کی لاگر در نرم افزار اسلک توانسته بودند رمزهای عبور کاربران را ثبت کنند. همچنین هکرها به یک دیتابیس که شامل نام کاربری و هش رمز عبور آن‌ها بود نیز دست یافته بودند. اسلک از کاربرانش خواسته تا برای امنیت بالاتر تایید هویت دو مرحله‌ای را برای اکانت خود فعال کنند.

بعد از کشف یک باگ امنیتی در برنامه واکی تاکی اپل واچ، اپل مجبور شد تا این اپلیکیشن را روی ساعت‌های هوشمند خود غیرفعال کند. این آسیب‌پذیری امنیتی به هکرها این اجازه را می‌داد تا به صورت مخفی به صحبت‌های طرف مقابل گوش دهند.

طبق اعلامیه اپل، سوءاستفاده از این باگ امنیتی نیازمند شرایط خاص بوده و مدرکی هم از استفاده هکرها از این رخنه وجود ندارد، با این حال با توجه به اینکه امنیت مجازی و حریم خصوصی افراد همیشه برای اپل اولویت داشته است، اپل اقدام به غیرفعال‌سازی موقت این اپلیکیشن کرده است.

برنامه واکی تاکی از قابلیت تماس صوتی فیس تایم استفاده می‌کند و سال گذشته با آپدیت WatchOS 5 منتشر شده بود. طی این سال، این بار دومی است که اپل مجبور می‌شود به دلایل امنیتی یکی از ویژگی‌های فیس‌تام را غیرفعال کند. سال گذشته اپل مجبور شده بود تا سرویس تماس گروهی فیس تایم را غیر فعال کند.

طبق آخرین تحقیقات انجام شده در زمینه امنیت برنامه‌های موبایل، هزاران برنامه اندروید حتی زمانی که دسترسی مکان (location) آن‌ها را رد کرده باشید، قادر به ردیابی شما خواهند بود. این برنامه‌ها، با دسترسی به شناسه منحصر به فرد گوشی شما و بسیاری از داده‌های اشتراکی، راه‌هایی پبدا کرده‌اند تا با دور زدن گوگل به موقعیت مکانی شما دسترسی پیدا کنند.

حتی اگر به طور مستقیم برنامه مورد نظر را از دسترسی به شناسه گوشی خود منع کرده باشید،‌ این برنامه‌ها می‌توانند با دسترسی به فضای اشتراکی مورد استفاده بوسیله دیگر برنامه‌ها، به این اطلاعات دسترسی پیدا کنند. این اپلیکیشن‌ها لزوما با یکدیگر مرتبط نیستند و تنها کافی است از یک کیت توسعه نرم افزار (SDK) برای نوشتن اپلیکیشن اندرویدی خود استفاده کرده باشند. درست مانند زمانی که کودکی توسط یکی از والدین از خوردن بستی منع شده و به سراغ دیگری می‌رود.

به عنوان مثال، برنامه‌های سامسونگ و والت دیزنی، که هر کدام بیشتر از ۱۰۰ میلیون مرتبه دانلود شده‌اند، از SDK ابرشرکت چینی بایدو استفاده می‌کنند. این برنامه‌ها، و البته خود شرکت بایدو، می‌توانند به این اطلاعات اشتراکی دسترسی داشته و آن‌ها را به سرورهای خود بفرستند.

جدای از این آسیب‌پذیری، رخنه‌های امنیتی دیگری نیز کشف شده‌اند که سوءاستفاده اپلیکیشن‌های اندرویدی از اطلاعات SSID، MAC address و دیگر پارامترهای شبکه بیسیم را مهیا می‌کنند. همچنین برنامه‌هایی نیز کشف شده‌اند که بدون اجازه کاربر، موقعیت مکانی افراد را از متاتگ‌های عکس‌ها استخراج کرده و به سرورهای خود می‌فرستند.

این محققان که نتایج تحقیق خود را سال گذشته در اختیار گوگل قرار داده بودند، امیدوارند تا بسیاری از این آسیب‌پذیری و رخنه‌های امنیتی در نسخه جدید اندروید، یعنی آندروید کیو (Android Q) رفع شود. اما طبق روال گذشته می‌دانیم که اکثر گوشی‌های اندرویدی این آپدیت را دریافت نخواهند کرد.

دیشب قیمت بیت کوین به ۱۱۳۰۰ دلار رسید تا رکورد جدیدی در سال گذشته ثبت کرده باشد. این اتفاق درست در نیمه شب ۲۳ ژوئن رخ داد.

این درحالی است که قیمت بیت کوین دو روز پیش به ۱۱۲۰۰ دلار رسیده بود اما دوباره به ۱۰۴۰۰ سقوط کرد و بعد از مدتی روی ۱۰۷۰۰ دلار ثابت شد. یکی از علل اصلی افزایش قیمت بیت کویین،‌ «ترس از جا ماندن» بسیاری از افرادی است که نمی‌خواهند از قافله ارزهای دیجیتال عقب بمانند. البته تاثیر سرمایه‌گذاری فیسبوک در زمینه ارزهای دیجیتال را هم نمی‌توان نادیده گرفت. فیسبوک هفته گذشته از ارز مجازی لیبرا رونمایی کرد.

ارز دیجیتال اتریوم هم با رسیدن به قیمت ۳۰۰ دلار، رکورد ۱۰ ماه گذشته خود را شکست. قیمت اتریوم که در ژانویه سال ۲۰۱۸ به ۱۴۰۰ دلار هم رسیده بود، با سقوط مداوم در سال اخیر تا ۸۰ دلار هم پایین آمد. به نظر می‌رسد در صورتی که قیمت اتریوم به ۳۶۴ دلار (یعنی مینیموم آوریل ۲۰۱۸) برسد، خط مقاومت ۴۰۰ دلاری اتریوم در معرض تغییر قرار گیرد.

رخنه امنیتی جدیدی در فایرفاکس پیدا شده است که هکرها هم اکنون در حال سوءاستفاده از آن هستند. طبق اعلام موزیلا، چنانچه از ورژن ۶۷.۰.۳ یا ESR ۶۰.۷.۱ فایرفاکس استفاده می‌کنید،‌ هر چه سریع‌تر نسبت به بروزرسانی آن اقدام کنید. موزیلا علت این آسیب‌پذیری را مشکلات Array.pop اعلام کرده که باعث می‌شود تا با دستکاری اشیاء جاوا اسکریپت،‌ از این رخنه امنیتی بهره‌برداری کرد.

شناسایی این رخنه امنیتی به ساموئل گراب،‌عضو تیم امنیتی کوین بیس (coinbase) و پروژه امنیت اطلاعات گوگل، نسبت داده شده است. هنوز مشخص نیست که هکرها با استفاده از این باگ امنیتی چه چیزی به دست آورده‌اند، اما بهترین حدس، ارزهای دیجیتال یا همان کریپتوکارنسی است.

رونمایی از ارز دیجیتال فیسبوک و اتحادیه غیرانتفاعی ناظر بر آن، گمانه‌زنی‌های بسیاری را درباره بانکداری جهانی و نقش آینده فیسبوک در آن مطرح کرده است. اما پشت جاه‌طلبی فیسبوک برای ایجاد دولتی مبتنی بر منافع شرکت‌های بزرگ، یک نقشه دیگر وجود دارد. این نقشه مخفی، پلتفرم کالیبرا است که فیسبوک امید دارد توسط میلیون‌ها کاربر در سراسر جهان مورد استفاده قرار گیرد.

همه چیز درباره کالیبرا

شرکت کالیبرا یکی از زیرمجموعه‌های فیسبوک خواهد بود که به ساخت نرم‌افزارهایی مانند کیف پول دیجیتال لیبرا و ارائه خدمات مالی روی بلاک‌چین لیبرا خواهد پرداخت. در ابتدا کیف پول دیجیتال لیبرا ممکن است یک شرکت معمولی ارائه دهنده خدمات پرداخت به نظر بیاید، اما ادغام آن با فیسبوک و کاربران آن،‌ مزیتِ غیرقابل رقابتی برای فیسبوک خواهد بود. همچنین، نزدیکی شرکت کالیبرا به روند توسعه فنی ارز مجازی لیبرا و قدرت نفوذ آن در شرکت‌های واتساپ و تلگرام، احتمال موفقیت این شرکت و تبدیل آن به ابرسرویس بعدی فیسبوک را دو چندان می‌کند.

کیف پول کالیبرا

گام اول شرکت کالیبرا ساخت یک کیف پول دیجیتال برای ارز دیجیتال لیبرا است که در مرحله بعدی با تمام محصولات فیسبوک اقدام خواهد شد. همچنین این شرکت عضو اتحادیه لیبرا در آمده و حق رای و تصمیم‌گیری برابری با شرکت‌هایی مانند پی‌پل، اوبر و دیگر شرکت‌های عضو این اتحادیه خواهد داشت. گرچه فیسبوک اعلام کرده هیج کنترلی روی ارز مجازی لیبرا نخواهد داشت، اما تا اینجای کار دو برابر شرکت‌های دیگر در اتحادیه لیبرا نماینده دارد.

اگرچه فناوری بنیادین این شبکه، بلاک چین لیبرا خواهد بود؛ اما بعد از شروع به کار آن، کیف پول کالیبرا تنها راه تعامل با ارز رمزی لیبرا خواهد بود. کیف پولی که صدها میلیون کاربر اکوسیستم فیسبوک به آن دسترسی خواهند داشت. با میلیاردها کاربر بالقوه، کالیبرا در آغاز انتشارش صدها برابر رقبای خود، مانند کیف پول دیجیتال کوین بیس، کاربر خواهد داشت.

در کنار ویژگی پرداخت با لیبرا که در واتساپ پیاده سازی خواهد شد، نسخه‌های مجزایی از اپلیکیشن کیف پول دیجیتال لیبرا نیز منتشر خواهد شد. گرچه درحال حاضر کاربران فیسبوک می‌توانند با استفاده از پیام‌رسان این شرکت پول جابجا کنند، اما این ویژگی نیازمند حساب بانکی و کارت اعتباری است که یک میلیارد و هفتصد میلیون نفر به آن دسترسی ندارند. اما با انتشار کیف پول کالیبرا و پول دیجیتال لیبرا، این ۱.۷ میلیارد نفر می‌توانند برای هر کسی روی کره زمین پول واریز کنند. این ۱.۷ میلیارد نفر تنها با یک گوشی اندرویدی ارزان می‌توانند به این ویژگی دست پیدا کنند.

امنیت کیف پول کالیبرا

در کنار این قابلیت‌ها، فیسبوک وعده‌ی امنیت اطلاعات و تایید امن تراکنش‌ها را نیز داده است. برای جلوگیری و کاهش جرم و کلاهبرداری، کیف پول کالیبرا از هویت واقعی افراد برای شناسایی آن‌ها استفاده می‌کند. اما روی کاغذ، این قابلیت برای سایر شرکت‌ها وجود دارد تا روی بلاک‌ چین لیبرا، کیف پولی با هویت‌های ناشناس ایجاد کنند. همیطور برای ثبت نام در کیف پول دیجیتال کالیبرا نیاز به مدرک شناسایی دولتی خواهید داشت. در عین حال،‌ فیسبوک قول داده تا اطلاعات مالی و تراکنش‌های کاربران را با شبکه تبلیغات خود به اشتراک نگذارد. به عبارت دیگر کلیت حساب کالیبرا، جدا از حساب فیسبوکِ کاربران خواهد بود و فیسبوک نمی‌تواند بر اساس تاریخچه خریدهای کاربران به آن‌ها تبلیغات هدفمند نشان دهد.

کارمزد ارز مجازی لیبرا

یکی دیگر از اهداف فیسبوک، کاهش کارمزدهای پرداخت است. طبق اعلام این شرکت، برای پرداخت‌های همتا به همتا (peer to peer) کارمزدی وجود نخواهد داشت. فقط برای خریدهای آنلاین باید کارمزد پرداخت کنید که ظاهرا این کارمزد هم تقریبا یک دهم کارمزدهای فعلی خواهد بود. از این کارمزدها هم برای پرداخت هزینه‌های مربوط به حفظ امنیت و جلوگیری از تقلب استفاده خواهد شد.

 در واقع، هدف اصلی پلتفرم کالیبرا، همه‌گیر کردن آن تا جایی است که بتوان یک اقتصاد مبتنی بر ارائه خدمات مالی روی آن ایجاد کرد.