➡️ ادامه گفتگو با باب دیاچنکو که درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام را گزارش کرد.
◾️گفتید که اطلاعات را در هنگام جست‌وجو در اینترنت پیدا کرده‌اید. فضایی که در آن داده‌های تلگرام را پیدا کرده‌اید، چقدر برای مردم عادی قابل‌دسترس است؟
🗣این داده‌ها در فضای عمومی اینترنت و برای همه در دسترس هستند. این داده‌ها در یک فضای قانونی قرار داده شده‌اند نه مثلا در جایی که به عنوان دارک‌نت (نت تاریک)‌ معروف شده و برای دسترسی به آن از ابزارهای خاصی باید استفاده کرد. دسترسی به این داده‌ها دانش فنی خاصی نمی‌‌خواهد و برای هرکسی با مرورگرهای عادی امکان پذیر است. موتور جست‌وجویی که من در آن اطلاعات تلگرام را پیدا کردم، چیزی شبیه گوگل است، منتهی با تمرکز روی «اینترنت اشیاء» یا IoT .

◾️تقریبا همزمان با درز این داده‌ها،‌ خبر مشابه دیگری هم که مربوط به داده‌های یک شرکت در ایران بود، پخش شد. به نظرتان این همزمانی دلیل خاصی داشت یا این دو مورد، شباهتی به هم داشتند؟
🗣 فکر نمی‌کنم این درز اطلاعاتی که ناشی از پیکربندی غلط بودند، به هم ارتباطی داشتند یا از روی قصد و غرض بوده باشد. به نظرم مشکل فقط ناشی از یک جور ایراد در تنظیمات است. در تمام این موارد که گفتم، رعایت نکردن قواعد پیکربندی باعث شده چنین مشکلی پیش بیاید و ما در اصطلاح فنی به آن «پیکربندی غلط داده» می‌گوییم. به زبان ساده‌تر در تمام این موارد داده‌ها بدون هیچ رمز عبوری در یک فضای عمومی قرار دارند.

◾️این که اطلاعات مهم و حساس بدون پسورد در فضاهای عمومی قرار داشته باشند، چقدر در دنیا معمول است؟
🗣 قراردادن داده‌های حساس در یک دیتابیس در تمام دنیا یک اتفاق معمول است. اما نکته اینجاست که باید ازاین داده با دست‌کم رمز عبور حفاظت کرد و مطمئن شد که این اطلاعات در دامنه‌های عمومی در دسترس نیستند. متاسفانه این اشتباه در تمام دنیا زیاد از حد رخ می‌دهد و مربوط به یک جغرافیای خاص هم نیست. این‌که خیلی‌ها یادشان می‌رود از اطلاعات‌شان محافظت کنند.
حدود یک سال قبل هم یک درز داده بزرگ مربوط به ایران را پیدا کردم و گزارش دادم. در آن زمان اطلاعات مربوط به یک تاکسی اینترنتی در ایران بود که در شرایط حفاظت‌نشده‌ای قرار داشت. آنجا هم داده‌ها پسورد نداشتند.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️در سال 96 این مناقصه برگزار شده بود. این مناقصه اثبات میکنه که Database هایی در داخل کشور بصورت رسمی وجود دارن که با دادن ID تلگرام یک نفر بهتون شماره موبایلش و سایر مشخصاتش رو برمیگردونه.
اینکه اطلاعات منتشر شده تلگرام در نیمه اول فروردین مربوط به این دیتابیس های رسمی بوده یا پوسته های غیررسمی تلگرام الله اعلم!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️توضیح ضروری در خصوص این مناقصه:
▪️سایت ایتنا خبر این مناقصه رو در اینجا منتشر کرده بود.
▪️رگولاتوری هم در اینجا در جوابیه ای به ایتنا توضیح داده که چرا این مناقصه رو برگزار کرده و توضیح داده که مناقصه منتفی شده.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔘توضیح رئیس سازمان تنظیم‌ مقررات در خصوص مناقصه تشخیص هویت کاربران تلگرام و واتساپ:
✍«این موضوع به قبل از مسئولیت من به عنوان رئیس سازمان مربوط میشه و هیچگاه هم انجام نشده و فراخوان هم لغو شد. به یاد دارم در آغاز مسئولیت که متوجه شدم شدید برخورد کردم و این کارها هم با هر توجیهی برای همیشه متوقف شد. #حق_الناس»

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔶دعوت به همکاری
🔷تعدادی کارشناس نرم افزار با تخصص های زیر بصورت پروژه ای و دورکاری دعوت به همکاری می شود:
1️⃣ برنامه نویس Java Spring با تسلط به Database
2️⃣ برنامه نویس MVC .Net Core مایکروسافت Full-Stack
3️⃣ برنامه نویس C++/C

☑️از متقاضیان درخواست می شود رزومه خود را به آدرس Jobs@modaberan.ir ایمیل کرده و یا به ID تلگرامی @Kiaeifar ارسال نمایند.

⬛️🔘اگر می‌خواهید در بخش پشتیبانی یک ISP استخدام شوید برای وزیر رزومه بفرستید!!!

⬛️ پ. ن:
1️⃣ دوربین مخفی نیست! کاملا هم واقعیه. 😎
2️⃣ موضوع فقدان کارشناس متخصص بخصوص در سطوح بالاتر بسیار جدی و یک تهدید برای کشور است. یک آگهی بزنید ۵۰۰ تا رزومه میگیرید از بین آنها ۱۰ تا متخصص هستند. دعوت به مصاحبه میکنید فقط ۴ نفر میان. اون ۴ نفر هم احتمال زیاد مشکلات غیرفنی دارند که توسط واحد منابع انسانی رد می‌شوند!

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔘توصیه هایی برای دورکاری
☑️برای یک دورکاری موثر، فضایی را در خانه به محل کار اختصاص دهید. بهتر است یک اتاق را به عنوان دفتر کار تعیین کنید. اگر با کمبود فضا مواجه هستید یک میز را به طور خاص برای کار در نظر بگیرید.
➖➖➖➖➖➖➖➖➖➖➖
🔷🔸 شرکت مدبران بسته دورکاری کاملی را برای شرکتها و سازمانها با ویژگی های زیر طراحی کرده است:
▪️میزکار کارمندان را در بستری امن به خانه هایشان انتقال دهید.
▫️با سیستم Helpdesk درون این بسته به سیستمهای کاربران در خانه متصل شوید و مشکلات آنها را برطرف کنید.
▪️بر نحوه دورکاری کارمندان از راه دور نظارت کنید.
▫️تلفن سازمانی کارمندان را به یک Soft Phone روی گوشی کارمندان در خانه انتقال دهید.
▪️جلسات مجازی سازمان را بدون نیاز به سرویس دهندگان خارجی و بدون محدودیت در تعداد جلسات و نفرات برگزار کنید.
▫️همراه با آنتی ویروس رایگان برای سیستمهای کاربران در خانه

📌برای اطلاع از جزئیات بیشتر از ویژگیهای فنی این بسته، لطفا درخواست خود را به @Kiaeifar ارسال کنید.

⛔️ جاویدنیا: پس از راه‌اندازی VPN قانونی، مقابله با VPNهای غیرقانونی تشدید می‌شود!

🔘سرپرست معاونت فضای مجازی دادستانی کل کشور اعلام کرده که طراحی فنی VPN قانونی بر عهده وزارت ارتباطات است و هنوز وضعیت نامشخصی دارد، اما پیش‌نویس مسائل قانونی اعطای این VPNها در قوه قضاییه طراحی شده و بخش عمده آن در کارگروه تعیین مصادیق محتوای مجرمانه (کارگروه فیلترینگ) به تصویب رسیده است.

🔘او همچنین تاکید می‌کند که تمامی VPN های موجود در بازار ایران غیرقانونی هستند و در زمان آغاز به کار رسمی VPN قانونی، مقابله با آن‌ها به صورت جدی‌تری دنبال خواهد شد.

🔳پ. ن:
1⃣ به زبان ساده تر: خودمان فیلتر میکنیم و خودمان هم فیلترشکن می‌دهیم!
2⃣ تلاش برای فیلترینگ و سانسور و محدود کردن دسترسی مردم به جریان آزاد اطلاعات ۲۰ سال است که جواب نداده و باز هم جواب نخواهد داد. هر فیلترشکنی را ببندید ۱۰ فیلترشکن دیگر بوجود خواهد آمد. این تسلسل باطل جز اتلاف وقت و سرمایه مردم و بیت المال و بازی با اعصاب و روان مردم چه حاصلی دارد؟

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

بیش از یک سال قبل از این دستاورد بومی (درنشان) توسط اعضای شورای عالی فضای مجازی رونمایی شد و هنگام معرفی این دستاورد تاکید شد: «نشان‌ها دریچه‌های ذهن هستند برای برداشت‌هایی از فرهنگ فناوری که با نشانش ارتقا می‌یابد.»
منبع

◾️پ.ن:
در این یک سال اخیر جایی از این اختراع و دستاورد استفاده شده؟

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⛔️وقتی با پشتیبانی پارس آنلاین تماس میگیرید و 70 نفر در صف هستند!
⛔️مهم نیست چقدر برای وقت خود ارزش قائل هستید! اگر نیاز به پشتیبانی داشتید باید 2 ساعت در حالت انتظار پشت خط بمانید! اگر هم تلفن شما قطع شد باید برید ته صف!
⬅️ لطفا برسد به دست آقای وزیر و جذب رزومه برای بخش پشتیبانی پارس آنلاین!

@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🎥آشنایی با پروتکلهای شبکه های صنعتی و آسیب پذیری های آنها
🔸آسیب پذیری در یک پروتکل صنعتی می تواند باعث نفوذ به شبکه صنعتی یک کارخانه شده و پیامدهای ناگواری مثل انفجار و آتش سوزی در تاسیسات را موجب شود.
🎥در این ویدئوی آموزشی که بخش کوتاهی از دوره های آموزشی چهار روزه امنیت صنعتی برگزار شده توسط شرکت مدبران است با آسیب پذیریهای پروتکلهای صنعتی آشنا می شوید.
🌐 www.modaberan.ir

✅ کاربرد جالب هوش مصنوعی در تشخیص اشیاء ممنوعه زیر دستگاه X-Ray

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚫️جواد جاویدنیا، سرپرست معاونت فضای مجازی دادستانی کل کشور با انتشار متنی خبر از استعفایش داد و مثل آقای خرم آبادی رفتنی شد. حضور ایشان در این جایگاه در مقایسه با عبدالصمد خرم آبادی که در مجموع میانه خوبی با فناوری اطلاعات نداشت از دیدگاه فعالان فضای مجازی یک اتفاق مثبت بود.
▪️آقای جاویدنیا در متن خود از فیلتر نشدن Instagram انتقاد کرده است.

◾️پ.ن:
1- یکی از عجایب و تناقضات فیلترینگ در کشور این است که Youtube که بیشتر جنبه آموزشی دارد فیلتر است اما اینستاگرام که بیشتر جنبه سرگرمی و تفریح دارد فیلتر نیست!
2- شما چه در چین باشید و چه در ایران فرقی نمیکند. تنها 2 کلیک با محتوای فیلتر شده فاصله دارید. (چین بزرگترین کشور سانسور کننده اینترنت است که حتی گوگل را هم فیلتر کرده است.) بنابراین این همه انرژی و هزینه برای فیلتر کردن شبکه های اجتماعی چه تاثیری داشته است؟ توییتر را فیلتر کردید اما مسئولان از طریق آن با همدیگر صحبت می کنند.

🔷آیا وقت آن نرسیده که این همه تناقضات در سیاستهای فیلترینگ و هزینه های بی ثمر پایان یابد؟!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

#علی_کیایی‌فر، مدیر توسعه محصول #شرکت_مدبران، درباره #نشت‌های_پی‌درپی_اطلاعات_شهروندان گفته‌است: #نشت_اطلاعات از #سازمان‌های_دولتی و #استارتاپ‌ها ادامه خواهد داشت و خسارت ناشی از آن می‌تواند تبعات ‏امنیتی ‏ملی داشته‌باشد.‏

🖊اطلاعات موجب تسلط بر مردم و تاثیر در سرنوشت آنها می‌شود و حتی بر حاکمیت کشورها و ‏مدیریت‌ها تاثیر می‌گذارد، بنابراین در سطح ملی باید برای این وضعیت نابه‌سامان امنیتی فکری کرد.‏

#افتانا
#امنیت_سایبری
#امنیت_اطلاعات

متن کامل این گفت‌وگو را در لینک زیر بخوانید:

http://www.aftana.ir/fa/doc/interview/16563
@aftana

🔷پرتاب موفقیت آمیز ماهواره NOOR به لحاظ تکنولوژیکی بعد از شکست های مکرر گذشته یک موفقیت بزرگ در فضایی شدن کشور محسوب می شود. تبریک به همه دست اندرکاران و با آرزوی موفقیت های بیشتر.

◾️پ.ن: انتخاب نام NOOR برای این ماهواره ظاهرا کمی بین متخصصان بین المللی هوافضا حاشیه ساز شده. چون پیش از این آمریکا در سال 2019 دو ماهواره را با نام NOOR به فضا پرتاب کرده است. موقعیت ماهواره NOOR 1A متعلق به آمریکا را بصورت آنلاین می توانید از این لیتک ببینید.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴قابل توجه Adminهای سازمانهای دولتی
▪️اگر از هر یک از نرم افزارهای مندرج در تصویر فوق استفاده می کنید آگاه باشید که این آسیب پذیری ها Exploitهاشون روی اینترنت موجوده و به فرد مهاجم این امکان رو میده که به سادگی یک Persistent Backdoor به سیستم شما تزریق کنه.
‼️یک بررسی ساده نشون میده هم اکنون هزاران IP (هم دولتی و هم غیر دولتی) در ایران مستعد Exploit با این آسیب پذیری ها هستن.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔶بیانیه مرکز ماهر درباره نشت اطلاعات پی‌در‌پی شهروندان:
▪️ارتقای هر سیستمی، ازجمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است. پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشای داده‌های شهروندان از مرکز ماهر طرح می‌شود، این مرکز ضمن استقبال از مطالبه‌گری‌ها و حساسیت‌های شهروندان در خصوص این اخبار، لازم می‌داند تا نکات زیر را یادآوری نماید:

▪️مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور: «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، برعهده بالاترین مقام آن دستگاه خواهدبود.» به این ترتیب مسئولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات در وهله اول برعهده بالاترین مسئول دستگاه است.
🔗منبع

▪️مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله گزارش خود را در خصوص حوادث، صرفا برای مقامات مسئول ارسال می‌کند؛ هرچند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها) اقدام نماید تا به عنوان وظیفه ذاتی هر جزء از سیستم با ارائه بازخوردهای مناسب گامی جهت ارتقای و بهبود نظام حکم‌رانی داده بردارد.

▪️مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشای داده‌های شهروندان می‌شود، باید به‌صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به‌موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.

▪️مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به‌صورت مسئولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به‌صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.

▪️دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشای غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. طبیعتا اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسئول مانند مرکز ماهر یا مرکز افتا ریاست جمهوری، حرکت سازنده و همراه با مسئولیت اجتماعی محسوب نمی‌شود.

▪️در انتها به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته‌باشند. امید می‌رود صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنهاست، نه‌تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته‌باشند؛ بلکه با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم‌آورند.

◾️پانوشتی بر اطلاعیه مرکز ماهر:
1️⃣هنگام نگارش این متن، سایت مرکز ماهر در دسترس نبود! لذا منبع این اطلاعیه یکی از خبرگزاری ها معرفی شده است.
2️⃣دعوت مرکز ماهر از متخصصان برای گزارش کردن آسیب پذیری ها به این مرکز قابل تقدیر است. اما آیا نباید بستری وجود داشته باشد تا شأن متخصصان خیرخواهی که آسیب پذیری ها را گزارش می کنند حفظ شود؟
چندی پیش یک DB بدون Password با بیش از 300 گیگابایت اطلاعات روی IPهای سازمان فناوری اطلاعات کشف شد (توسط یکی از مخاطبین کانال) و بلافاصله به مرکز ماهر اطلاع رسانی شد. بعد از چند روز تاخیر مشکل برطرف شد. اما گفته شد چیز مهمی نبوده است! همزمان حداقل 5 مورد آسیب پذیری قطعی در سازمانهای دیگر به مرکز ماهر اعلام شد اما کسی مستندات را مطالبه نکرد. آیا با این رویه مرکز ماهر، انگیزه ای برای گزارش مشکلات توسط متخصصان دلسوز و هکرهای کلاه سفید باقی می ماند؟
3️⃣مرکز ماهر باید خانه امن همه متخصصان امنیت و هکرهای کلاه سفید باشد. این همکاری بدون تخصیص پاداش نه مفهومی دارد و نه دوامی. مرکز ماهر باید برای کسب موفقیت در جلب مشارکت هکرهای کلاه سفید ساز و کار مالی و بودجه در نظر بگیرد و به گزارشات Bugها پاداش متناسب بدهد. Bugها می توانند از گزارش یک آسیب پذیری کوچک در یک استارتاپ باشند تا گزارش Access level 15 به Router یک وزارتخانه!
4️⃣مجددا تاکید می شود مشکل اصلی ما ضعفهای انبوه قانونی در صیانت از حقوق شهروندان است. ما نیاز مبرم به نسخه بومی سازی شده GDPR داریم. در GDPR فقط بحث جرائم مطرح نیست. GDPR کمک می کند که سازمانها الزاماتی را در پیاده سازی رعایت کنند تا امنیت کاربران کمتر به خطر بیفتد. علاوه بر این، هیچ قانونی وجود ندارد که از هکرهای کلاه سفید محافظت کند. آیا مرکز ماهر می تواند تضمین بدهد که علیه هکرهای کلاه سفید که مشکلات امنیتی را به مرکز ماهر گزارش می دهند پرونده قضایی به جرم تلاش برای ورود غیرمجاز به سیستم های اطلاعاتی دولتی تشکیل نخواهد شد؟
5️⃣ مرکز ماهر زیر مجموعه دولت محسوب میشود. اما نباید لختی سیستم های دولتی در مرکز ماهر دیده شود. مرکز ماهر باید چابک و سریع و وسط میدان باشد و بطور موثر به موضوعات رسیدگی کرده و یا اطلاع رسانی کند.
6️⃣ امیدواریم این نقدها که صرفا از سر دلسوزی است و درد دلهای بسیاری از متخصصان دلسوز کشور است به گوش دوستان عزیز ما در مرکز ماهر و سازمان فناوری اطلاعات برسد و مرکز ماهر کمی از پشت پرده بیرون بیاید و زمینه را برای جلب مشارکت عمومی کارشناسان و متخصصان فراهم کند. آسیب پذیری ها بسیار زیاد است. خیلی فراتر از آنچه که خبرهایش منتشر می شود. مرکز ماهر نمی تواند به تنهایی از عهده این حجم از آسیب پذیری ها و رخنه ها برآید. همه ما باید به هم کمک کنیم.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⛔️وضعیت سایت مرکز ماهر
▪️وب سایت مرکز ماهر نقش کمیته بحران را در حوادث و حملات سایبری ایفا می کند. لذا انتظار می رود از پایداری بسیار بالاتری برخوردار باشد.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴کشف آسیب پذیری بحرانی در UTMهای Sophos و نحوه Patch کردن آن.
◾️شرکت سوفوس روز گذشته خبر از کشف آسیب پذیری بحرانی روی UTMهای Sophos XG داد. این آسیب پذیری در رده SQL Injection بوده و فرد مهاجم با Exploit کردن آن می تواند به Usernameها و Passwordهای Hash شده دسترسی پیدا کند. و سپس با سطح دسترسی Admin به فایروال Login کند. شرکت Sophos بلافاصله اقدام به صدور Hotfix برای رفع این آسیب پذیری کرده است.
🎥نظر به اهمیت موضوع، در این ویدیو که در کانال آپارات شرکت مدبران منتشر شده به زبان فارسی در خصوص این آسیب پذیری و نحوه Patch کردن آن توضیح داده شده است.
✅ در صورت نیاز به کمک و راهنمایی بیشتر می توانید به @Kiaeifar پیام ارسال کنید.

🆔 @SophosXG
کانال آموزشی UTMهای Sophos و Cyberoam