نوشته‌ها

یک باگ امنیتی در سیستم G Suite گوگل باعث شده بود تا رمز عبور بسیاری از کاربران سازمانی گوگل به صورت متن ساده ذخیره شوند. گرچه این باگ از سال ۲۰۰۵ وجود داشت، گوگل گفته نشانه‌ای از لو رفتن هیچ کدام از این رمزهای عبور وجود ندارد.

G suite ترکیبی از اپلیکیشن‌ها و خدمات گوگل است که برای سازمان‌ها ارائه می‌شود. حالا با آشکار شدن این باگ امنیتی، گوگل پسوورد این سازمان‌ها را ریست کرده و در مطلبی که در وبلاگ خود منتشر کرده، ضمن ارائه جزئیات آن، از مشتریان سازمانی خود عذرخواهی کرده است و قول داده تا نهایت تلاش خود را برای امن سازی سرور و سرویس های خود انجام دهد.

یک رخنه امنیتی جدید که اخیرا در پردازشگرهای اینتل کشف شده است، هکرها را قادر می‌سازد تا به آخرین اطاعاتی که پردازشگر خوانده، دسترسی داشته باشند. این باگ امنیتی حتی برای سرورهای ابری (کلود) هم مصداق دارد، چراکه در فضای ابری پردازشگر بین سرورهای مجازی مشترک است؛ بنابراین هکر می‌تواند به اطلاعات سرورهای مجازی دیگری که روی همان سرور قرار دارند نیز دسترسی داشته باشند.

این باگ امنیتی که زامبی لود (حمله زامبی) نام گرفته است،‌ توسط کارشناسان امنیتی دانشگاه صنعتی گرز (Graz) اتریش شناسایی شده و به شرکت اینتل (Intel) نیز گزارش شده است. البته هنوز مشخص نیست که چه تعداد رایانه مورد نفوذ قرار گرفته‌اند. اینتل وصله جدیدی برای رفع این رخنه امنیتی منتشر کرده است، اما این بروزرسانی باید ابتدا توسط شرکت‌های تولیدکننده کامپیوتر منتشر شود و سپس کاربران آن را نصب کنند.

ظاهرا اپل و گوگل آپدیت‌های این آسیب‌پذیری امنیتی را منتشر کرده‌اند، مایکروسافت نیز به تازگی انتشار آن‌ها را اعلام کرده است. باگ امنیتی زامبی‌لود، تمام سی‌پی‌یوهای اینتل که از سال ۲۰۱۱ تولید شده‌اند را شامل می‌شود. این باگ از عوارض جانبی ویژگی «گمان پردازی» یا همان Speculative Execution پردازشگرهای اینتل است. این ویژگی، که در گذشته نیز منجر به آسیب‌پذیری‌های امنیتی اسپکتر و ملت‌دان شده بود، با پیش‌بینیِ آینده، دستوراتی را از پیش اجرا می‌کند. رفع این آسیب‌پذیری کمی کارایی پردازشگر را کاهش می‌دهد و نتیجه آن نیز صددرصد نیست.

از نسخه بعدی اندروید، گوگل بعضی از پچ‌ها و آپدیت‌های امنیتی اندروید را از طریق مارکت خود، یعنی گوگل پلی استور منتشر خواهد کرد. در این صورت، به روزرسانی های امنیتی بسیار سریع‌تر از حالت کنونی برای کاربران ارسال می‌شود. در حال حاضر، از زمان تولید پچ‌های امنیتی توسط گوگل تا انتشار آن توسط تولیدکنندگان گوشی همراه اندروید، مانند سونی و سامسونگ، پروسه‌ای طولانی مدت وجود دارد. گرچه طبق این گزارش، این پروسه برای همه‌ی آپدیت‌ها از بین نمی‌رود، اما روند انتشار بسیاری از آپدیت‌های امنیتی را کوتاه می‌کند.

این قابلیت جدید، پروژه مین‌لاین (Project Mainline) نام داشته و بخشی از اندروید Q (دهمین نسخه از سیستم عامل اندروید) خواهد بود. این ویژگی به گوگل اجازه می‌دهد تا برخی از بروزرسانی‌های امنیتی اندروید را از طریق پلی استور، که تقریبا روی هر گوشی اندرویدی خارج از کشور چین وجود دارد، منتشر کند. البته این سیستمِ بروزرسانی قادر به آپدیت کردن کل سیستم نیست و فقط محدود به ۱۲ ماژول است. گرچه ممکن است این راهکار برای آپدیت کردن گوشی‌های اندرویدی، جزئی به نظر برسد اما گوگل را قادر می‌سازد تا باگ‌های کوچک و باگ‌های جدی بالقوه را در اسرع وقت برطرف کند.

پروژه «مین لاین» مدیون پروژه تربل (Project Treble) است که دو سال پیش همراه با اندروید اوریو معرفی شد. این پروژه با جداسازی اجزای لایه‌های پایین سیستم، وابستگی آن‌ها به یکدیگر را کمتر کرد، که در نهایت منجر به افزایش سرعت در انتشار آپدیت‌های اندروید شد. اندروید Q و ویژگی‌های جدید آن، که در کنفرانس توسعه‌دهندگان گوگل رونمایی شد، فعلا در ورژن بتا است و نسخه اصلی آن پاییز امسال منتشر می‌شود.

هفته گذشته یک هکر با هک کردن صدها مخزن گیت، کدهای برنامه‌نویسان آن‌ها را دزدید. این هکر با سرقت کدهای این مخازن، توسعه‌دهندگان را تهدید کرده که اگر تا ده روز ۰.۱ بیت کوین به حساب آن‌ها واریز نکنند، کدهای آن‌ها را برای عموم فاش می‌کند. این برنامه‌نویسان که اکثرا از کاربران سایت‌های گیت هاب، گیت لب و بیت باکت بوده‌اند،‌ بعد از ناپدید شدن کدهای برنامه‌های خود، پیام زیر را دریافت کرده‌اند.

برای بازگشت کدهای خود و جلوگیری از افشای آن‌ها، ۰.۱ بیت کوین به آدرس ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA واریز کنید و اطلاعات لاگین و مدرک پرداخت خود را به آدرس ایمیل admin@gitsbackup.com ارسال کنید. در صورتی که شک دارید ما اطلاعات شما را داشته باشیم، با ما تماس بگیرید تا مدرک آن را برای شما بفرستیم. از تمام کدهای شما روی سرورهای ما بکاپ گرفته شده و در صورتی که تا ۱۰ روز آینده پرداخت را انجام ندهید، کدهای شما را فاش کرده یا به نحوی دیگر از آن ها استفاده می‌کنیم.

این پیام اولین بار روز جمعه مشاهده شد. در حال حاضر قیمت ۰.۱ بیت کوین معادل ۵۶۵ دلار آمریکا است. ظاهرا این هکر با پایش اطلاعات اینترنت برای فایل‌های کانفیگ گیت (git config)، پسووردهایی که به صورت متن ساده ذخیره شده بودند را به دست آورده بود. در پاسخ به این خبر، مدیر ارشد امنیت اطلاعات گیت لب توصیه کرده تا کاربران با استفاده از ابزارهای مدیریت رمز عبور، قابلیت تایید دو مرحله‌ای را برای خود فعال کنند.

به کاربرانی که قربانی این حمله سایبری شده‌اند توصیه می‌شود تا با پشتیبانی سایت گیتِ خود تماس بگیرند. همچنین می‌توانند راهکاری که یکی از کاربران استک اکسچنج برای ریکاور کردن کدها ارائه داده را امتحان کنند.

تقریبا همه‌ی کامپیوترها و لپتاپ‌های جدیدی که می‌خرید، پر از پندام‌افزار هایی (بلات‌ور bloatware) هستند که هیچ نیازی به آن‌ها ندارید. این پندام‌افزارها، که در بهترین حالت لپتاپ شما را کند می‌کنند، ممکن است باعث ریسک‌های امنیتی جدی شوند که در نهایت امنیت اطلاعات شما را تهدید خواهند کرد. بر همین اساس، چنانچه لپتاپ دل دارید، بهتر است در اولین فرصت نرم‌افزار پشتیبانی دل (Dell SupportAssist) را آپدیت کنید یا آن را از روی لپتاپ خود پاک کنید.

بر اساس گزارش یک کارشناس امنیتی هفده ساله، این بلات‌ور که در اکثر لپتاپ‌های دل به صورت پیشفرض نصب است، یک رخنه امنیتی جدی دارد که لپتاپ شما را در برابر هک آسیب‌پذیر می‌کند. این آسیب‌پذیریِ امنیتی، اکتبر سال گذشته گزارش شده بود اما کمپانی دل تازه به فکر آپدیت کردن آن افتاده است.

این باگ امنتی به طور بالقوه توانایی تخریب بسیار بالایی دارد و باید آن را جدی گرفت، چراکه نرم افزار پشتیبانی دل طوری طراحی شده تا دسترسی ادمین به سیستم عامل داشته باشد و آپدیت‌ها را به صورت خودکار نصب کند. بنابراین هکرها می‌توانند با نفوذ به سیستم شما، اقدام به نصب نرم‌افزارهای مخرب کرده و دسترسی بیشتری به سیستم شما کسب کنند. طبق این گزارش امنیتی، هکر فقط در شبکه محلی توانایی نفوذ به سیستم شما را خواهد داشت، اما این شبکه‌های محلی شامل همه‌ شبکه‌های وای فای عمومی، مثل اینترنت فرودگاه، دانشگاه و کافی‌شاپ هم می‌شود.

برای کسب اطلاعات بیشتر و مشاهده اثبات این ادعای امنیتی (proof of concept) می‌توانید بلاگ کارشناس امنیت اطلاعات افشاکننده‌ی این باگ امنیتی را مشاهده کنید.

گوگل اخیرا از ویژگی جدیدی رونمایی کرده است که به کاربران اجازه می‌دهد تا تاریچه اطلاعات مکانی و فعالیت‌های آنلاین خود را به صورت اتوماتیک پاک کنند. با استفاده از این قابلیت جدید، کابران می‌توانند با انتخاب بین گزینه‌های ۳ ماهه و ۱۸ ماهه، مدت زمانی که می‌خواهند اطلاعات مربوط به فعالیت آنلاین و تاریخچه مکانی‌شان ذخیره شود را انتخاب کنند. بر این اساس، در صورتی که گزینه ۳ ماهه را انتخاب کنید، اطلاعات قدیمی‌تر از ۳ ماه گذشته پاک شده و از این پس فقط اطلاعات ۳ ماه گذشته شما ذخیره می‌شود.

رسواییِ مربوط به ردیابی موقعیت مکانی کاربران، که سال گذشته لو رفته بود، باعث شد تا گوگل این قابلیت جدید را به سیستم خود اضافه کرده و یک گام در جهت افزایش امنیت اطلاعات سایبری کاربران و بهبود حریم خصوصی آن‌ها بردارد. طی رسوایی سال گذشته، مشخص شد که حتی در صورت غیرفعال کردن گزینه «تاریخچه مکانی»، گوگل دست از ردیابی موقعیت مکانی شما بر نمی‌دارد و برای غیر فعال کردن آن به صورت کامل باید تنظیمات مربوط به «فعالیت وب و اپ» را هم غیر فعال کنید.

این قابلیت طی هفته‌های آینده به مرور برای کاربران سرار دنیا فعال می‌شود. قابل به ذکر است که گزینه پاک کردنِ‌ دستی اطلاعات، در کنار این قابلیت جدید، همچنان وجود خواهد داشت. همچنین در صورتی که می‌خواهید به آسانی و در فاصله‌های زمانی کوتاه‌تر، تاریخچه اطلاعات و فعالیت‌های خود در گوگل را حذف کنید، می‌توانید اپلیکیشن جامبو را امتحان کنید.

اکثر فضای میزبانی در اینترنت را سرورهای اختصاصی و مجازی لینوکس تشکیل می‌دهند. همانطور که می‌دانید مدیریت و پشتیبانی سرورهای لینوکس از طریق ارتباط SSH صورت می‌گیرد. بنابراین ایمن‌سازی SSH و حفاظت از آن در برابر هک و حملات سایبری از اهمیت بالایی برخوردار است. اگر اخبار و مقالات امنیتی پیشگامان را دنبال کرده باشید، می‌دانید که در مطلب گذشته درباره ایمن‌سازی سرور لینوکس در مقابل حملات SSH نوشته بودیم. حالا در این مطلب نحوه فعال‌سازی تایید دو مرحله‌ای (Two Factor Authentication) را برای اتصالات SSH توضیح می‌دهیم که تاثیر بسیاری در امنیت سرور مجازی لینوکس خواهد داشت.

دستورات این آموزش بر مبنای توزیع فدورا هستند، اما با اندکی تغییر برای لینوکس‌های اوبونتو یا دبیان هم کاربرد دارند. قبل از شروع آموزش، پیشنهاد می‌کنیم از دسترسی فیزیکی یا کنسول به سرور لینوکس خود اطمینان حاصل کنید تا در صورت وقوع مشکل امکان بازیابی و رفع مشکل سرور خود را داشته باشید.

نصب احراز هویت دو مرحله‌ای

ابتدا یک ترمینال باز کنید و برای نصب ابزار احراز هویت گوگل، دستور زیر را وارد کنید:

sudo dnf install google-authenticator nano -y

بعد از نصب، با دستور زیر می‌توانید ابزار را اجرا کنید:

google-authenticator

سپس به دو سوال بعدی جواب مثبت دهید. در مرحله بعدی به شما یک QR کد نمایش داده می‌شود که باید با اپلیکیشن authenticator گوشی همراه خود اسکن کنید. همچنین تعدادی کد امنیتی هم به شما نمایش داده می‌شود که باید در محلی امن ذخیره کنید. در ادامه سه سوال دیگر هم از شما پرسیده می‌شود که باید جواب بله بدهید.

تنظیم SSH

به صورت پیشفرض دیمن SSH در فدورا فعال نیست. با دستورات زیر SSH را فعال کنید:

sudo systemctl start sshd
sudo systemctl enable sshd

بعد از اجرای SSH، کلیدهای خود را با دستور زیر به سرور لینوکس اضافه کنید.

ssh-copy-id USER@FEDORA_IP

بعد از اضافه کردن کلید SSH خود، حالا باید امکان تایید دو مرحله‌ای را در تنظیمات SSH سرور فعال کنید. برای این منظور دستور زیر را در ترمینال سرور لینوکس وارد کنید:

sudo nano /etc/pam.d/sshd

سپس با استفاده از علامت شارپ خط اول را کامنت کرده و خط دوم را در انتهای فایل اضافه کنید:

#auth substack password-auth
auth sufficient pam_google_authenticator.so

فایل را ذخیره کنید و آن را ببندید. حالا باید تنظیمات دیمن SSH را درست کنید. سپس تنظیمات خط‌های بعدی را به ترتیب به بله و خیر تغییر دهید:

sudo nano /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
PasswordAuthentication no

سپس خط زیر را به آخر فایل اضافه کرده و فایل را ذخیره کنید:

AuthenticationMethods publickey,password publickey,keyboard-interactive

در نهایت برای اعمال تغییرات سرویس SSH را ریست (راه‌اندازی مجدد!) کنید:

sudo systemctl restart sshd

حالا خواهید دید که بعد از SSH به سرور لینوکس، از شما کد تایید خواسته می‌شود که باید با استفاده از برنامه تایید دو مرحله‌ای که در گوشی خود دارید، آن را وارد کنید.

 

گوگل از ماژول جدیدی برای فریمورک یادگیری ماشین خود، به نام تنسورفلو (TensorFlow)، پرده‌برداری کرده که به توسعه‌دهندگان این امکان را می‌دهد تا با اضافه کردن چند خط کد به مدل‌های هوش مصنوعی خود، حریم خصوصی آن را بهبود دهند.

تنسورفلو یکی از پراستفاده‌ترین ابزارها برای ساخت برنامه‌های یادگیری ماشین است که بسیاری از توسعه‌دهندگان در سراسر جهان از آن برای ساخت برنامه‌هایی مانند الگوریتم‌های تشخیص متن، صدا و تصویر استفاده می‌کنند. با معرفی «حریم خصوصی تنسورفلو»، این توسعه‌دهندگان قادر خواهند بود تا با استفاده از یک تکنیک آماری به نام «محرمانگی تفاضلی» از اطلاعات کاربران محافظت کنند.

کری رادِبا، مدیر محصول گوگل در مصاحبه‌اش با سایت ورج گفت: «اگر این امکان را به تنسورفلو اضافه نمی‌کردیم، پیاده‌سازی آن به صورت مجزا برای تیم‌ها بسیار سخت بود. بنابراین برای ما بسیار مهم بود تا این امکان را به صورت متن باز به تنسورفلو اضافه کرده و به شروع جامعه آن کمک کنیم.»

نحوه عملکرد «محرمانگی تفاضلی» پیچیدگی زیادی دارد، اما اگر بخواهیم به زبان ساده بگوییم، «محرمانگی تفاضلی» یک رویکرد ریاضی است که با استفاده از آن مدل‌های هوش مصنوعی که با داده‌های کاربران آموزش می‌بینند، نمی‌توانند اطلاعات قابلِ شناساییِ خصوصی را کدگذاری کنند. این یکی از شیوه‌های معمول برای حفاظت از اطلاعات شخصی در ساخت هوش مصنوعی است. اولین بار اپل در سرویس‌های هوش مصنوعی iOS 10 از آن رونمایی کرد و گوگل هم در بعضی از امکانات هوش مصنوعی خود، مانند پاسخ هوشمند جیمیل، از آن استفاده می‌کرد.

برای درک بهترِ تهدیدات سرویس‌های هوش مصنوعی در حریم خصوصی، این سناریو را در نظر بگیرید:‌سرویس پاسخ هوشمند جیمیل با استفاده از داده‌هایی که از بیش از یک میلیارد کاربر جیمیل جمع‌آوری می‌کند، پاسخ‌های پیشنهادی خود را تولید می‌کند. این داده‌ها شامل شخصی‌ترین اطلاعات افراد است (هر اطلاعاتی که در ایمیل رد و بدل می‌شود). حال تصور کنید که اگر جیمیل یکی از جملات شما را، کلمه به کلمه، به عنوان پاسخ پیشنهادی به کاربران دیگر پیشنهاد دهد چه فاجعه‌ای رخ می‌دهد.

«محرمانگی تفاضلی» با استفاده از «اطمینان ریاضی» این احتمال را از بین می‌برد. به عبارت دیگر، شما خروجی خواهید داشت که مستقل از داده‌های هر فرد است. نقطه ضعف این روش این است که ممکن است بعضی از اطلاعات مورد نظر پاک شود،‌ به خصوص در مواقعی که داده‌ها فقط یک بار در دیتاست ظاهر می‌شوند.

گوگل گفته که با اضافه کردن تنها ۴ یا ۵ خط کد می‌توان از این ویژگی استفاده کرد و نهایتا، استفاده از ابزارهای متن باز باعث جذب استعدادهای بیشتری خواهد شد.