Forwarded from Manoochehr
Forwarded from 💠Jalal💠
یک مجله امنیتی است که جدید است ، سال 2015 . به نظرم ارزش دیدنش را داشته باشه ، اگر بدانید من با ف ش با چه سرعتی این فایل را گرفتم ، ارزشش را بیشتر درک می کنید ، پس به تصویر اول دقت کنید تا فایل برایتون Upload بشه ببینید من چی کشیدم تا گرفتمش .
Forwarded from 💠Jalal💠
توی این مجله هم به قضیه کاسپرسکی و موضوع DUQU 2.0 و اون هک شدن کاسپرسکی یک نیم نگاهی گذرا داشته .
Forwarded from Meysam Agh
سایت علمی بیگ بنگ -
پيشگويي آينده نگرانه نیکولا تسلا | سایت علمی بیگ بنگ
بیگ بنگ: نیکولا تسلا دانشمند مشهور صربستانی-آمریکایی قرن بیستم بود که به خاطر طراحی سیستم تامین برق جریان متناوب به شهرت زیادی دست پیدا کرد. براساس گزارش تايم به نقل از همشهری، اين مهندس مشهور ميتوانست به هشت زبان زنده جهان صحبت كند، از حافظهاي باورنكردني…
Forwarded from FGH
يک رهبر خوب
اين جمله از عبدالکلام، رئيس جمهورى کشور هند است که در ٢٢ مارچ ٢٠٠٨ در يک کنفرانس اقتصادى در فيلادلفيا بيان کرد.
از او پرسيده شد: آيا مىتوانيد از بين تجربيات خودتان، مثالى بزنيد در مورد اين که رهبران چگونه بايد شکستها را مديريت کنند؟
پاسخ عبدالکلام چنين بود:
در سال ١٩٧٣ من به عنوان مدير پروژه پرتاب نخستين ماهواره هند برگزيده شدم. هدف ما قرار دادن نخستين ماهواره هند به نام «روهينى» در جوّ زمين تا سال ١٩٨٠بود. بودجه و نيروى انسانى کافى در اختيار من قرار داده شد و در عين حال، به طور شفاف و صريح به من گفته شد که بايد حتماً تا سال ١٩٨٠ ماهواره به فضا ارسال شود. هزاران نفر در قالب سيستمهاى علمى و فنى براى رسيدن به اين هدف همکارى مىکردند.
در سال ١٩٧٩- فکر مىکنم ماه آگوست بود- که ما فکر کرديم براى انجام کار آماده شدهايم. من به عنوان مدير پروژه به مرکز کنترل پرتاب ماهواره رفتم. چهار دقيقه قبل از پرتاب ماهواره، کامپيوتر شروع به کنترل کردن تمام مواردى که پيشبينى شده بود کرد. يک دقيقه بعد، کامپيوتر برنامه پرتاب را متوقف کرد و اعلام کرد که بعضى از مولفههاى کنترلى درست کار نمىکنند. کارشناسان و خبرگان فن به من گفتند که نگران نباشم. آنها همه محاسبات لازم را کردهاند و مشکلى نيست.
من با توجه به حرف آنها، کنترل سيستم را از «کامپيوترى» به حالت «دستى» تغيير دادم و دکمه پرتاب موشک را فشار دادم. در مرحله اول، همه چيز روبراه بود. امّا در مرحله دوم، مشکلى پيش آمد و به جاى آن که ماهواره در جوّ زمين قرار گيرد کل سيستم موشکى در خليج بنگال سقوط کرد. اين يک شکست بزرگ بود.
آن روز، پروفسور داوان رئيس سازمان فضايى هند از قبل ترتيب يک کنفرانس مطبوعاتى را داده بود. پرتاب در ساعت ٧ صبح بود و کنفرانس مطبوعاتى که روزنامهنگارانى از سراسر جهان در آن حضور داشتند در ساعت ٧ و ٤٥ دقيقه برگزار شد. پروفسور داوان، خودش در کنفرانس مطبوعاتى شرکت کرد و مسئوليت شکست را به عهده گرفت. او گفت تيم پروژه بسيار سخت کار کردهاند امّا هنوز از نظر فناورى به پشتيبانى بيشترى نياز دارند. او به نمايندههاى رسانههاى گروهى اطمينان داد که سال بعد، تيم پروژه حتماً موفق خواهند شد. در واقع، من مدير پروژه بودم و اين شکست، تقصير من بود امّا او به عنوان رئيس سازمان مسئوليتش را به عهده گرفت.
سال بعد، در جولاى ١٩٨٠، دوباره برنامه پرتاب ماهواره را آزمايش کرديم. اين بار همه چيز موفقيت آميز بود و تمام ملّت هند غرق در افتخار شدند. دوباره، کنفرانس مطبوعاتى ترتيب يافته بود. پروفسور داوان مرا کنارى کشيد و به من گفت: «امروز تو بايد کنفرانس مطبوعاتى را برگزار کنى.»
آن روز من درس بزرگى آموختم. هنگامى که شکست پيش آمد، رئيس سازمان مسئوليت شکست را بر عهده گرفت و هنگامى که پیروزی به دست آمد، او افتخار آن را به تيم پروژه بخشيد. 🍀🍀🍀🍀🍀
اين جمله از عبدالکلام، رئيس جمهورى کشور هند است که در ٢٢ مارچ ٢٠٠٨ در يک کنفرانس اقتصادى در فيلادلفيا بيان کرد.
از او پرسيده شد: آيا مىتوانيد از بين تجربيات خودتان، مثالى بزنيد در مورد اين که رهبران چگونه بايد شکستها را مديريت کنند؟
پاسخ عبدالکلام چنين بود:
در سال ١٩٧٣ من به عنوان مدير پروژه پرتاب نخستين ماهواره هند برگزيده شدم. هدف ما قرار دادن نخستين ماهواره هند به نام «روهينى» در جوّ زمين تا سال ١٩٨٠بود. بودجه و نيروى انسانى کافى در اختيار من قرار داده شد و در عين حال، به طور شفاف و صريح به من گفته شد که بايد حتماً تا سال ١٩٨٠ ماهواره به فضا ارسال شود. هزاران نفر در قالب سيستمهاى علمى و فنى براى رسيدن به اين هدف همکارى مىکردند.
در سال ١٩٧٩- فکر مىکنم ماه آگوست بود- که ما فکر کرديم براى انجام کار آماده شدهايم. من به عنوان مدير پروژه به مرکز کنترل پرتاب ماهواره رفتم. چهار دقيقه قبل از پرتاب ماهواره، کامپيوتر شروع به کنترل کردن تمام مواردى که پيشبينى شده بود کرد. يک دقيقه بعد، کامپيوتر برنامه پرتاب را متوقف کرد و اعلام کرد که بعضى از مولفههاى کنترلى درست کار نمىکنند. کارشناسان و خبرگان فن به من گفتند که نگران نباشم. آنها همه محاسبات لازم را کردهاند و مشکلى نيست.
من با توجه به حرف آنها، کنترل سيستم را از «کامپيوترى» به حالت «دستى» تغيير دادم و دکمه پرتاب موشک را فشار دادم. در مرحله اول، همه چيز روبراه بود. امّا در مرحله دوم، مشکلى پيش آمد و به جاى آن که ماهواره در جوّ زمين قرار گيرد کل سيستم موشکى در خليج بنگال سقوط کرد. اين يک شکست بزرگ بود.
آن روز، پروفسور داوان رئيس سازمان فضايى هند از قبل ترتيب يک کنفرانس مطبوعاتى را داده بود. پرتاب در ساعت ٧ صبح بود و کنفرانس مطبوعاتى که روزنامهنگارانى از سراسر جهان در آن حضور داشتند در ساعت ٧ و ٤٥ دقيقه برگزار شد. پروفسور داوان، خودش در کنفرانس مطبوعاتى شرکت کرد و مسئوليت شکست را به عهده گرفت. او گفت تيم پروژه بسيار سخت کار کردهاند امّا هنوز از نظر فناورى به پشتيبانى بيشترى نياز دارند. او به نمايندههاى رسانههاى گروهى اطمينان داد که سال بعد، تيم پروژه حتماً موفق خواهند شد. در واقع، من مدير پروژه بودم و اين شکست، تقصير من بود امّا او به عنوان رئيس سازمان مسئوليتش را به عهده گرفت.
سال بعد، در جولاى ١٩٨٠، دوباره برنامه پرتاب ماهواره را آزمايش کرديم. اين بار همه چيز موفقيت آميز بود و تمام ملّت هند غرق در افتخار شدند. دوباره، کنفرانس مطبوعاتى ترتيب يافته بود. پروفسور داوان مرا کنارى کشيد و به من گفت: «امروز تو بايد کنفرانس مطبوعاتى را برگزار کنى.»
آن روز من درس بزرگى آموختم. هنگامى که شکست پيش آمد، رئيس سازمان مسئوليت شکست را بر عهده گرفت و هنگامى که پیروزی به دست آمد، او افتخار آن را به تيم پروژه بخشيد. 🍀🍀🍀🍀🍀
Forwarded from 💠Jalal💠
یک کتاب Data Center Handbook جدید که در سال 2015 منتشر شده گرفتم ، انشاء الله که به درد همه اعضاء محترم گروه بخورد . 👆🏼
Forwarded from 💠Jalal💠
یک کتاب دیگر هم که در مورد نرم افزار شبیه ساز GNS3 است و مربوط به سال 2015 است را هم برای اعضاء محترم گروه باشتراک میگذارم و امیدوارم که مورد استفاده این عزیزان قرار بگیرد : 👆🏼
Forwarded from علی کیائیفر
طرح یک مسئله که یک چالش همه گیر است:
همه ما در شبکه های خود ناچاریم برای رفع نیازهای سازمانی از برخی نرم افزارهای بومی استفاده کنیم. مثل نرم افزارهای مالی و انبار و حقوق و دستمزد و کارگزینی و اتوماسیون اداری و ... .
هنگام انتخاب یک محصول بومی شاید پارامترهای مختلفی را درخصوص آن مورد توجه قرار دهیم. اما نکته مغفول موضوع امنیت است. در واقع مهمترین دارایی سازمان را در نرم افزارهایی قرار می دهیم که اطمینانی به امنیت آن نداریم.
همه روزه اخبار مختلفی از کشف آسیب پذیری های مختلف در نرم افزارهای مختلف از شرکتهای معتبر دنیا پخش می شود و این نقاط ضعف و آسیب پذیر بلافاصه توسط سازندگان برطرف می شوند. یقینا نرم افزارهای بومی هم پر از نقاط آسیب پذیر هستند. سئوال اینجاست واقعا چه کسی باید نقاط آسیب پذیر نرم افزارهای بومی را کشف و گزارش کند؟ ما چگونه حساس ترین اطلاعات سازمانی را در دل نرم افزارهایی قرار می دهیم که هیچگونه رفرنس امنیتی قابل اطمینانی در خصوص کارکرد آنها وجود ندارد؟
این نگرانی زمانی افزایش می یابد که متاسفانه اکثر نرم افزارهای ایرانی توسط اکثر آنتی ویروسها به عنوان ویروس شناخته می شوند. این نشان می دهد که اصول برنامه نویسی و امنیتی در تولید نرم افزار رعایت نشده است! شرکت های سازنده هم بدون پذیرفتن هرگونه مسئولیتی مشکل را به گردن خطای آنتی ویروسها می اندازند! و جالب اینجاست که کارشناسان امنیتی همیشه تسلیم می شوند و برای نرم افزارهای اداری یک Rule تعریف می کنند که با Folder نرم افزارهای اداری کاری نداشته باشد! یعنی آنتی ویروس نسبت به مهمترین دارایی های اطلاعاتی ما بی تفاوت باشد! هرچه بادا باد!
به عنوان یک کارشناس امنیتی برای حل این معضل همه گیر چه پیشنهادی دارید؟
همه ما در شبکه های خود ناچاریم برای رفع نیازهای سازمانی از برخی نرم افزارهای بومی استفاده کنیم. مثل نرم افزارهای مالی و انبار و حقوق و دستمزد و کارگزینی و اتوماسیون اداری و ... .
هنگام انتخاب یک محصول بومی شاید پارامترهای مختلفی را درخصوص آن مورد توجه قرار دهیم. اما نکته مغفول موضوع امنیت است. در واقع مهمترین دارایی سازمان را در نرم افزارهایی قرار می دهیم که اطمینانی به امنیت آن نداریم.
همه روزه اخبار مختلفی از کشف آسیب پذیری های مختلف در نرم افزارهای مختلف از شرکتهای معتبر دنیا پخش می شود و این نقاط ضعف و آسیب پذیر بلافاصه توسط سازندگان برطرف می شوند. یقینا نرم افزارهای بومی هم پر از نقاط آسیب پذیر هستند. سئوال اینجاست واقعا چه کسی باید نقاط آسیب پذیر نرم افزارهای بومی را کشف و گزارش کند؟ ما چگونه حساس ترین اطلاعات سازمانی را در دل نرم افزارهایی قرار می دهیم که هیچگونه رفرنس امنیتی قابل اطمینانی در خصوص کارکرد آنها وجود ندارد؟
این نگرانی زمانی افزایش می یابد که متاسفانه اکثر نرم افزارهای ایرانی توسط اکثر آنتی ویروسها به عنوان ویروس شناخته می شوند. این نشان می دهد که اصول برنامه نویسی و امنیتی در تولید نرم افزار رعایت نشده است! شرکت های سازنده هم بدون پذیرفتن هرگونه مسئولیتی مشکل را به گردن خطای آنتی ویروسها می اندازند! و جالب اینجاست که کارشناسان امنیتی همیشه تسلیم می شوند و برای نرم افزارهای اداری یک Rule تعریف می کنند که با Folder نرم افزارهای اداری کاری نداشته باشد! یعنی آنتی ویروس نسبت به مهمترین دارایی های اطلاعاتی ما بی تفاوت باشد! هرچه بادا باد!
به عنوان یک کارشناس امنیتی برای حل این معضل همه گیر چه پیشنهادی دارید؟
Forwarded from Deleted Account
با سلام و احترام ؛ معمولا این خود نرم افزار و شیوه کد زدن در فایلهای اجرایی آن نیست که بعنوان ویروس شناخته میشود معمولا رفتار غیر طبیعی و اتصالات مشکوک نرم افزارها و برخی دسترسی های سیستمی نرم افزار آنتی ویروسها رو به اشتباه می اندازد. در واقع ما یک سری الگوی امنیتی مشخص الزام آور در برنامه نویسی برای رعایت الگوی امنیتی که موجب عدم شناسایی رفتار غیر معمول به وسیله آنتی ویروسها بشه نداریم.
در خصوص تهیه نرم افزارها فکر میکنم گام اول اهمیت دادن به سه موضوع اصلی بسیار مفید میتونه باشه 1-نرم افزار دارای گواهی امنیتی از مراکز معتبر ممیزی امنیتی کشور باشه 2-از تکنولوژی بروزی برای تولید استفاده کرده باشه و پلتفرم اجرای اون دارای آسیبپذیری های کمتری باشه 3-دارای تیم توسعه و پشتیبان پیگیر و پاسخگو و همچنین متعهدی باشه و نرم افزار دارای بروزرسانی های دوره ای باشه
اگر نرم افزار برای محیط داخل شبکه محلی تهیه شده با بهره بردازی از روشهای تامین امنیت مکمل مثل utm و آنتی ویروس میشه حملات insider attack رو شناسایی و کنترل کرد و از سرورهای بانک اطلاعاتی و یا سرویس دهنده وب با طراحی زونهای مناسب مثل DMZ و...و فعالسازی ips و محدودسازی دسترسی ها و همچنین کنترل در لایه 7و ایزوله کردن دسترسی ها نگرانی ها بابت آسیب پذیری های داخلی رو برطرف کرد. حتی مستقل از سطح امنیت خود نرم افزار این میتونه کارساز باشه. اما در خصوص نرم افزارهایی که در بستر شبکه گسترده مثل اینترنت استفاده میشه به جز موارد فوق باید کانال دسترسی کدگذاری شده مثل تانلینگ های مرسوم و کنترل دسترسی چندعامله صورت بگیره تا کاربر بیرونی تا سطح یک کاربر داخلی از لحاظ امنیتی شناسایی بشه.
در خصوص تهیه نرم افزارها فکر میکنم گام اول اهمیت دادن به سه موضوع اصلی بسیار مفید میتونه باشه 1-نرم افزار دارای گواهی امنیتی از مراکز معتبر ممیزی امنیتی کشور باشه 2-از تکنولوژی بروزی برای تولید استفاده کرده باشه و پلتفرم اجرای اون دارای آسیبپذیری های کمتری باشه 3-دارای تیم توسعه و پشتیبان پیگیر و پاسخگو و همچنین متعهدی باشه و نرم افزار دارای بروزرسانی های دوره ای باشه
اگر نرم افزار برای محیط داخل شبکه محلی تهیه شده با بهره بردازی از روشهای تامین امنیت مکمل مثل utm و آنتی ویروس میشه حملات insider attack رو شناسایی و کنترل کرد و از سرورهای بانک اطلاعاتی و یا سرویس دهنده وب با طراحی زونهای مناسب مثل DMZ و...و فعالسازی ips و محدودسازی دسترسی ها و همچنین کنترل در لایه 7و ایزوله کردن دسترسی ها نگرانی ها بابت آسیب پذیری های داخلی رو برطرف کرد. حتی مستقل از سطح امنیت خود نرم افزار این میتونه کارساز باشه. اما در خصوص نرم افزارهایی که در بستر شبکه گسترده مثل اینترنت استفاده میشه به جز موارد فوق باید کانال دسترسی کدگذاری شده مثل تانلینگ های مرسوم و کنترل دسترسی چندعامله صورت بگیره تا کاربر بیرونی تا سطح یک کاربر داخلی از لحاظ امنیتی شناسایی بشه.
Forwarded from Amir Torkaman
و معمولاً هم مى بايست براى اينكه اينگونه نرم افزارها به درستى به كار خود ادامه دهند، از بروز رسانى سيستم عاملهاى آنها جلوگيرى به عمل آوريم كه همين موضوع به ريسك آنها ميفزايد.
Forwarded from علی کیائیفر
روشهایی مثل UTM و آنتی ویروس مشکل اصلی نرم افزار رو حل نمی کنه. اینها برای تامین امنیت بستر هست که ما معمولا رعایت می کنیم. من در یک نرم افزار ایرانی وب بیس که باید روی WAN باز باشه شاهد بودم که برنامه نویس یک شاه کلید برای خودش ساخته بود که از هرجایی میتونست Login کنه! توجیهش این بود برای حل مشکلات مشتری ها ازش استفاده می کنه! منظورم وجود نقاط ضعف اینچنینی داخل نرم افزارهاست که از کنترل ما خارج هست. نمونه بارزش رو در تجربه شرکت انیاک دیدیم که چه غوغایی به پا شد!
Forwarded from علی کیائیفر
👍👍👍👍
دقیقا!
شرکت سازنده تاکید میکنه به هیچ وجه Update نکنید!
سئوال اصلی اینه گروه امنیتی سازمان باید
دقیقا!
شرکت سازنده تاکید میکنه به هیچ وجه Update نکنید!
سئوال اصلی اینه گروه امنیتی سازمان باید
Forwarded from علی کیائیفر
سئوال اصلی اینه گروه امنیتی سازمان باید پیرو شرکت نرم افزاری باشه یا برعکس؟
Forwarded from PeYmAn AKB
يكجورايي مجبوري تابع شركت نرم افزاري باشي چون نياز داري بهش
Forwarded from Deleted Account
من فکر میکنم با لاگ کردن دسترسی ها روی فایروال بشه دسترسی های غیر مجاز رو شناسایی کرد و چون مثال شما وب بیس بود در نتیجه با تعریف کردن rule روی waf دسترسی برنامه نویس با شاه کلید رو هم بست. البته به شرط اینکه یکبار این لاگین انجام شده باشه.
Forwarded from Deleted Account
منم منظورم اینه که امنیت در یک نرم افزار 100 درصد نیست حتی اگه همه مراحل تست امنیتی رو گذرونده باشه. پس با تجهیزاتی مثل انواع فایروال و آنتی ویروس باید روی امنیت یک لایه مضاعف ایجاد کرد.