چرا نباید انگشت جوهری خود را در اینترنت منتشر کنید؟

انتخابات مجلس شورای اسلامی و مجلس خبرگان ۱۳۹۴

در روز جمعه، ۷ اسفند ماه دهمین انتخابات مجلس شورای اسلامی و پنجمین انتخابات مجلس خبرگان برگزار شد و در این میان ده‌ها کاربر ایرانی عکس‌هایی از انگشت جوهری خود در شبکه‌های اجتماعی مانند توییتر و اینستاگرام منتشر کردند؛ به عنوان مثال می‌توانم به مجموعه زیر اشاره کرد:


حال آنکه نکته‌ای که بسیاری از کاربران ایرانی (و به خصوص کسانی که با اسم مستعار در شبکه‌های اجتماعی فعالیت می‌کنند) در نظر نگرفته‌اند آن است که با انتشار انگشت خود در حقیقت اثر انگشت‌شان که برای هر فرد یکتاست را منتشر کرده‌اند و این امکان را به افراد و سازمان‌های جاسوسی/اطلاعاتی می‌دهند که به راحتی آنها را شناسایی کنند.

در اینجا شاید شما هم مانند این کاربر توییتر فکر کنید که من پارانوئید شده‌ام 🙂

اما متاسفانه واقعیت این است که این داستان کاملا جدی و قابل اجراست به گونه‌ای که در سال ۲۰۱۴ هکرهای کلوب کامپیوتری هرج و مرج (Chaos Computer Club) توانستند از طریق عکس وزیر دفاع آلمان اثر انگشت وی را شبیه‌سازی کنند و از آن به عنوان روش تایید شناسایی وی استفاده کنند.

حالا داستان زیر را فرض کنید:

شما یک کاربر توییتر هستید که به صورت ناشناس در توییتر فعالیت می‌کنید و در مورد امنیت شخصی خود بسیار محتاط هستید. حالا در انتخابات شرکت می‌کنید و انگشت جوهری خود را در توییتر منتشر می‌کنید. من به عنوان کارمند یک سازمان امنیتی مدت‌ها به دنبال شناسایی هویت شما هستم و با دیدن تصویر اثر انگشت شما و داشتن تکنولوژی VeriFinger اثر انگشت شما را از تصویر استخراج و سپس با پایگاه داده‌هایی که از مکان‌های مختلف (مثلا اداره گذرنامه) در اختیار دارم مقایسه می‌کنم و به این صورت هویت واقعی شما را شناسایی می‌کنم!

علاوه بر این فراموش نکنید که به عنوان یک سازمان جاسوسی به راحتی امکان این وجود دارد که تمامی این عکس‌ها جمع‌آوری و سپس یک پایگاه داده از آنها ایجاد شود. به همین راحتی!

خلاصه کلام آنکه امنیت دیجیتال را جدی بگیرید و از انتشار اطلاعات زیاد در اینترنت خودداری کنید.

 

نوشتن دیدگاه

۵ توییت برتر من در پاییز ۱۳۹۴

Twitter Gif

اگر از من بپرسید که محبوب‌ترین شبکه اجتماعی‌ام کدام است، به طور قطع از توییتر نام خواهم برد؛ به دلیل همین علاقه هم به صورت روزانه مطالبی که از نظرم جالب هستند را در این شبکه اجتماعی منتشر می‌کند. و در بسیاری از موارد هم با واکنش‌های مختلف از سوی کسانی که من را دنبال می‌کنند مواجه می‌شوم.

بر همین اساس دیدم بد نیست که در پایان هر فصل ۵ توییت پرطرفدارم را که بیشترین توجه را به خود جلب کرده‌اند را لیست کنم. ۵ توییتر زیر برترین توییت‌های من در پاییز ۱۳۹۴ بوده‌اند که مورد توجه بیش از ۲۷ هزار دنبال‌کننده‌ام قرار گرفته‌اند. دقت کنید که این آمار از بخش Analytics توییتر استخراج شده‌اند.

۱- نامعتبر بودن گواهینامه امنیتی TLS/SSL پلیس فتا (تعداد مشاهده: ۱۰٫۷۶۷):

۲- عدم اعتماد من به اپلیکیشن موبایل تلگرام (تعداد مشاهده: ۴٫۷۱۳):

۳- تولد آرش زاد و بی‌خبر مطلق از وی (تعداد مشاهده: ۳٫۶۳۰):

۴- نامزد شدن ابداع کننده بیت‌کوین برای جایز نوبل اقتصاد (تعداد مشاهده: ۳٫۶۱۹):

۵- عدم اطمینان من به اپلیکیشن تلگرام (تعداد مشاهده:‌۳٫۵۲۸):

نوشتن دیدگاه

یکشنبه‌ها با امنیت دیجیتال (۷)

امروز یک روز خاص برای اینترنت است و خوشبختانه هفتمین شماره یکشنبه‌ها با امنیت دیجیتال مصداف با این روز شده است؛ روز آزادی اینترنت یا Internet Freedom Day که برای مقابله با طرح قانون توقف سرقت آنلاین یا همان SOPA در سال ۲۰۱۲ نامگذاری شد و هر سال این روز توسط سازمان‌ها و شرکت‌های مختلف مورد توجه قرار می‌گیرد.

علاوه بر این توجه شما را به مطلبی که روز جمعه در مورد برتری تلگرام نسبت به وایبر نوشته‌ام جلب می‌کنم و خوشحال خواهم شد که آن را به دوستان و آشنایان خود نیز معرفی کنید.

با این مقدمه بد نیست به سراغ هفتمین شماره یکشنبه‌ها با امنیت دیجیتال بروم که بسیار پربار است 🙂


– هک شدن حساب‌های توییتر و یوتیوب مرکز فرماندهی ارتش آمریکا: در هفته گذشته حساب‌های توییتر و یوتیوب مرکز فرماندهی ارتش آمریکا (CENTCOM) که بر روی فعالیت ارتش آمریکا در کشورهای عراق و سوریه نظارت می‌کند، توسط هکرهای حامی داعش با نام CyberCaliphate هک شد.

تصویری از حساب توییتر هک شده مرکز فرماندهی ارتش آمریکا توسط هکرهای حامی داعش
تصویری از حساب توییتر هک شده مرکز فرماندهی ارتش آمریکا توسط هکرهای حامی داعش

در مدت زمانی که این حساب‌ها در کنترل هکرهای حامی داعش قرار داشت، یک سری اطلاعات از کارکنان این مرکز و همچنین پیام‌های اخطار به سربازهای ارتش آمریکا بر روی حساب توییتر و یوتیوب CENTCOM منتشر شد. البته این نکته را باید بگویم که اطلاعات منتشر شده توسط این هکر محرمانه نبوده است.

هر چند که در مورد روش نفوذ به این دو حساب مرکز فرماندهی ارتش آمریکا اطلاعات خاصی منتشر نشده است، اما حدس‌های مختلفی در این زمینه زده می‌شود مانند آنکه یکی از افرادی که دسترسی به این حساب‌ها داشته است، قربانی حمله فیشینگ شده است. علاوه بر این، براساس آنچه گاردین منتشر کرده است، به احتمال زیاد فرد پشت این حمله سایبری یک بریتانیایی است که هم اکنون در سوریه است و به داعش پیوسته است. نام این فرد جونید حسین است و در سال ۲۰۱۲ میلادی به جرم دسترسی به حساب‌های خصوصی تونی بلر، نخست وزیر سابق بریتانیا، دستگیر و به زندان محکوم شده است.

شاید گفتن این نکته هم جالب باشد که در واکنش به این حمله سایبری، گروه انانیموس بیانیه‌ای را بر روی اینترنت منتشر کرد و از آغاز حملات سایبری بر علیه داعش خبر داد. اطلاعات بیشتر…

– گوگل امنیت بیش از ۹۰۰ میلیون دستگاه اندروید را به خطر انداخت: اگر دستگاه اندورید شما از نسخه ۴.۳ یا پایین‌تر اندورید (Jelly Bean یا پایین‌تر) استفاده می‌کند، باید بدانید که به دلیل وجود یک حفره امنیتی در WebView، امکان حمله به دستگاه شما و دزدیدن اطلاعات‌تان وجود دارد! چرا؟

به این دلیل که گوگل دیگر هیچ وصله امنیتی برای WebView برای اندروید نسخه ۴.۳ و پایین‌تر نمی‌دهد هر چند که اگر فردی یا سازمان مستقلی این کار را کند، به عرضه آن کمک می‌کند. حفره امنیتی موجود در WebView توسط تاد بردسلی (Tod Beardsley)، مهندس در شرکت Rapid7 کشف شده است و مدتی قبل توسط وی به گوگل گزارش شده بود که گوگل در پاسخ وی از عدم عرضه وصله امنیتی برای WebView در اندروید ۴.۳ و پایین خبر داده است!

اگر نمی‌دانید WebView چیست باید بگویم که این امکان به شما این اجازه را می‌دهد که صفحه‌های وب را بدون نیاز به باز کردن یک مرورگر مجزا مشاهده کنید. به عنوان مثال اگر از فیدلی استفاده می‌کنید و از داخل آن می‌خواهید مطلب یک وبلاگ یا وب‌سایت را مشاهده کنید، شما از امکان WebView استفاده می‌کنید. حال آنکه اگر فردی این حفره امنیتی را شناسایی کند، با ایجاد یک صفحه حاوی بدافزار به راحتی می‌تواند میلیون دستگاه اندورید را قربانی خود کند. اطلاعات بیشتر…

– آغاز عملیات #OpCharlieHebdo گروه انانیموس بر علیه اسلامگریان تندرو: گروه انانیموس که یکی از معروف‌ترین گروه‌های هکر در دنیاست در واکنش به حمله تروریستی بر علیه دفتر مجله هفته‌نامه شارلی ابدو از آغاز #OpCharlieHebdo بر علیه حساب‌های و وب‌سایت‌های اسلامگریان تندرو خبر داد. براساس بیانیه‌ای که گروه انانیموس منتشر کرده است، این عملیات شامل تمام گروه‌های تندرو اسلامگرا مانند داعش و القاعده می‌شود. شما می‌توانید لیست حساب‌ها و وب‌سایت‌هایی که در این عملیات هک شدند را در اینجا و اینجا مشاهده کنید. البته این را هم باید بگویم که هکرهای اسلامگرا نیز در پاسخ به این عملیات، تعدادی از وب‌سایت‌های فرانسوی را هک و اصطلاحا Deface کرده‌انداطلاعات بیشتر…

– پایان پشتیبانی مایکروسافت از ویندوز ۷ در سال ۲۰۲۰ میلادی: براساس آنچه وب‌سایت مایکروسافت اعلام کرده است، مدت زمان پشتیبانی از ویندوز ۷ تنها ۵ سال دیگر خواهد بود و در روز ۲۴ دی ۱۳۹۸، مایکروسافت پشتیبانی خود از ویندوز ۷ را به صورت کامل به پایان می‌رساند. دقت کنید که اگر شما از ویندوز ۷ استفاده می‌کنید، حتما سرویس پک ۱ را بر روی آن نصب کنید در غیر این صورت از روز ۲۰ فروردین ۱۳۹۲ هیچ پشتیبانی‌ای از مایکروسافت دریافت نکرده‌اید! اطلاعات بیشتر…

زمان پایان پشتیبانی مایکروسافت از ویندوز ۷

– توضیح جان مک‌آفی در مورد هک شدن سرورهای سونی: در ۳ شماره از ۷ شماره یکشنبه‌ها با امنیت دیجیتال در مورد داستان هک شدن سونی صحبت کرده‌ام (شماره ۳، ۴ و ۶). چند روز پیش ویدیوی را دیدم که در آن جان مک‌آفی، بنیانگذار شرکت مک‌آفی که در زمینه تولید آنتی‌ویروس فعالیت می‌کند، در مورد روش احتمالی مورد استفاده هکر‌ها برای هک کردن سرورهای سونی صحبت کرده که دیدن این ویدیو خالی از لطف نیست. اهمیت این ویدیو در این است که شما خواهید فهمید که برای هک کردن یک وب‌سایت یا حساب به روش‌های خارق‌العاده و پیچیده‌ای نیاز ندارید و با فیشینگ و مهندسی اجتماعی به راحتی می‌توانید حساب‌های مختلف را هک کنید! اطلاعات بیشتر…

– حل حفره امنیتی اینستاگرام در مورد حساب‌های خصوصی: داشتن حساب خصوصی بر روی اینستاگرام در میان کاربران آن و به خصوص ایرانی‌ها بسیار محبوب است اما نکته‌ای که بسیار از این کاربران از آن خبر نداشتند این نکته بود که اگر زمانی یکی از دوستان‌شان لینک مستقیم عکسی که بر روی حساب اینستاگرام خود منتشر کرده‌اند را به صورت عمومی منتشر می‌کرد، تمام افراد حتی آنها که با وی دوست نبودند نیز می‌توانستند آن را ببیند.

خبر خوش این است که اینستاگرام پس از مدت‌ها این مشکل امنیتی را حل کرده است و از این پس اگر شما لینک مستقیم مربوط به عکس‌تان را به صورت عمومی منتشر کنید، تنها افرادی که با شما دوست هستند امکان دیدن آن را دارند 🙂 اطلاعات بیشتر…

نوشتن دیدگاه

یکشنبه‌ها با امنیت دیجیتال (۱)

هر روز به طور متوسط من حدود ۲۰ خبر در مورد امنیت دیجیتال می‌خوانم و در این میان مهمترین و جذاب‌ترین آنها را توییت می‌کنم. اما مشکلی که در این میان موجود دارد آن است که عمر هر توییت بین ۱۸ دقیقه یا ۴۸ ساعت است و به همین دلیل بسیاری از کسانی که من را در توییتر دنبال می‌کنند، ممکن است این اخبار و مطالب را نبینند.

به همین دلیل از این پس تصمیم دارم که مهمترین اخبار امنیت دیجیتال در هفته گذشته (البته از نوع غیرایرانی که هفته از دوشنبه شروع می‌شود و یکشنبه تمام می‌شود) را در یک مطلب در اینجا منتشر کنم. اگر هم شما پیشنهادی در مورد این سری مطالب هفتگی داشتید، خوشحال خواهم شد که آنها را با من در میان بگذارید.

با این مقدمه به سراغ اولین یکشنبه با امنیت دیجیتال می‌روم 🙂


– توییتی که باعث کرش کردن اپلیکشین رسمی توییتر در آی‌اواس می‌شد: باگی در اپلیکیشن رسمی توییتر برای سیستم عامل آی‌اواس در هفته گذشته کشف شد که اگر فردی لینکی را که به کمک Punycode اِنکد یا رمزگذاری و ارسال می‌کرد، اپلیکشن توییتر کرش می‌کرد. تصویر زیر نمونه‌ای از این توییت است که توییتر ساعاتی بعد از کشف این باگ آن را رفع کرد. اطلاعات بیشتر…

توییتی که باعث کرش اپلیکیشن توییتر می‌شد

– سیستم ایمیل وزارت امور خارجه آمریکا به دلیل حملات سایبری به صورت کامل خاموش شد: در هفته گذشته اعلام شد که سیستم ایمیل وزارت امور خارجه آمریکا توسط هکرهایی که احتمالا از چین یا روسیه بوده‌اند هک شده است و به همین دلیل این سیستم برای بررسی میزان نفوذ و… برای ساعاتی به صورت کامل خاموش شد. هر چند که مقامات آمریکایی به صورت رسمی این اتفاق را تایید نکرده‌اند، اما آنچه منابع مختلف به رسانه‌ها گفته‌اند این نکته است که سیستم ایمیلی که از طریق آن اطلاعات محرمانه رد و بدل می‌شده است دچار مشکلی نشده و هکرها تنها توانسته‌اند به سیستم ارسال ایمیل‌های غیرمحرمانه دسترسی پیدا کنند. اطلاعات بیشتر…

– اکثر اپلیکیشن‌های برتر آی‌اواس و اندروید هک شده‌اند: براساس گزارش که Arxan منتشر کرده است، ۸۳٪ از ۱۰۰ اپلیکیشن پولی برتر آی‌اواس و ۹۷٪ از ۱۰۰ اپلیکیشن پولی برتر اندروید هک شده‌اند. اطلاعات بیشتر…

امنیت ۱۰۰ اپلیکیشن برتر در آی‌اواس و اندروید

– تابستان ۲۰۱۵ همه می‌توانند از SSL رایگان برای وب‌سایت‌ها/وبلاگ‌هایشان استفاده کنند: بنیاد مرزهای الکترونیکی یا همان EFF با همکاری بنیاد موزیلا قصد دارد تا در تابستان ۲۰۱۵ (۱۳۹۴) امکان استفاده رایگان، هوشمند و بدون محدودیت از اس‌اس‌ال را به تمام صاحبان وب‌سایت‌ها و سرویس‌های فعال بر روی اینترنت بدهد. این امکان از این نظر جذاب است که افرادی مانند وبلاگ‌نویسان ایرانی به راحتی می‌توانند بدون هیچ هزینه‌ای این امکان را بر روی وبلاگ‌های خود فعال کنند تا به این صورت امنیت و حریم خصوصی خوانندگان خود را افزایش دهند. اطلاعات بیشتر…

– ۹۵٪ اپلیکیشن‌های رایگان آی‌اواس و اندروید دستکم یک رفتار پرخطر از خود نشان می‌دهند: براساس گزارشی که Appthority منتشر کرده است، ۹۵٪ از اپلیکیشن‌های رایگان برای آی‌اواس و اندروید یک رفتار پرخطر برای نقض حریم خصوصی یا امنیت کاربران از خود نشان می‌دهند. به عنوان مثال ۷۰٪ اپلیکیشن‌های رایگان مکان کاربر را بررسی می‌کنند. اطلاعات بیشتر…

نوشتن دیدگاه

آداب مشارکت در شبکه‌های اجتماعی اینترنتی

در هفته گذشته در برنامه پرگار بی‌بی‌سی فارسی شرکت و در مورد این نکته صحبت کردم که آیا باید نگران رفتار کاربران ایرانی در شبکه‌های اجتماعی بودن یا نه.

شما می‌توانید این برنامه را در یوتیوب از طریق این لینک مشاهده کنید و یا اگر علاقه دارید به فایل صوتی آن گوش کنید، تنها کافی است که بر روی این لینک کلیک کنید.

خوشحال خواهم شد که پس از دیدن این برنامه نظر خود را در بخش نظرات و یا از طریق توییتر با من در میان بگذارید.

نوشتن دیدگاه