⚡️پیرو برخوردهای امنیتی اخیر با استارتاپ ها و کسب و کارهای اینترنتی، مطالعه مجدد این مطلب قدیمی و قابل تامل زیر به نقل از یک ایرانی مقیم آمریکا (با نام مستعار پرنس جان) خالی از لطف نیست:

«🎩  امنیت علیه امنیت
🔵برداشت اول:
یکی از ترسناک ترین بیماری ها، بیماری Autoimmune disease است. این که سیستم ایمنی بدن برعلیه اندام خود انسان می شورد. در چنین حالتی، بخش هایی که وظیفه شان حفاظت از پیکر انسان است در مقابل بیماری ها یا ورود شی خارجی به داخل بافت بدن، به جان آرامش بدن می افتند و سبب عوارضی شدید، گاه غیرقابل جبران می شوند. قصه ساده است، وزارت اطلاعات و امنیت بدن، خود سبب بهم خوردن احساس امنیت در ما می شود.

🔵برداشت دوم:
می دانم کمتر کشوری، با داشتن سازمانی مشابه با CIA آمریکا، نهادی با این عظمت، پیشرفت و توان گسترده امنیتی دارد. کمتر کشوری با داشتن سازمانی مشابه با NSA آمریکا، نهادی با این قدرت نفوذ، مانیتورینگ و حاضر در همه لایه های زندگی مردمش دارد. می دانم کمتر کشوری مشابه به آمریکا، به غیر از CIA و NSA، تا نزدیک به 15 نهاد امنیتی مستقل از هم برای تامین امنیت مردم و منافع این کشور را یک جا در خود جمع دارد. سئوال ساده ای اما وجود دارد:
چرا من در همه این سال ها زندگی در این کشور، تا به امروز، حس نکرده ام که از این نهاد ها باید بترسم، بلرزم و مراقب باشم تا به سراغ ام نیایند؟ چطور ممکن است که قدرتمندترین کشور دنیا در بحثِ امنیت، به ماموران اجازه نمی دهد مردم اش کوچکترین احساسی از این مساله داشته باشند که تحت بررسی واضح یا به سادگی مستعد متهم شدن برای رفتاری علیه امنیت ملی هستند؟ چرا اغلب ما مردم داخل آمریکا، به عنوان شهروند، در رودرویی با توان و قدرت نهادهای امنیتی این کشور، "احساس هراس" نداریم؟

قصه ساده است. یکی از نقاطی که شما پیشرفته بودن سیستم امنیت یک کشور را در بخش Public Policy اش می توانید دریابید این است که آنقدر در کار خود خبره، صاحب سبک و چون روح (Ghost) نامرئی باشند که نه مردم، تنها افراد شرور واقعی احساس خطر و عدم امنیت کنند.

اغلب کارمندان، مدیران و افراد حاضر در نهادهای امنیتی آمریکا، چنان آموزش های مدون، دقیق و قانون مندانه دیده اند درباره این که قرار است مثل یک "روح نامرئی" حافظ امنیت باشند که این در رفتارهای آن ها با مردم نهادینه شده است.

چرا آن ها مثل دسته ای از جنگجوهای وایکینگ که ممکن است هر لحظه بر سر دفتر روزنامه ای، درب خانه ای یا محل کاری حاضرشوند خود را نشان نمی دهند؟ چون وظیفه شان "ترساندن" نیست! وظیفه شان دادن احساس "مراقبت" و "حمایت" است.

🔵برداشت آخر:
از شانس های خوب زندگی ام سال ها زندگی در ایران است. خوب این اظهر من الشمس است که من از مخالفان حکومت ایران نیستم. از آن واضح تر این که اعتقاد دارم مانند بسیاری از کشورهای جهان وجود نهادهای امنیتی متفاوت به قدر ضرورت در این حکومت لازم است و لزوما موازی کاری نیست. اما نقدی به شیوه برگزاری امنیت در ایران نیز دارم. احساس می کنم آن ها هنوز آنقدر که به ایجاد امنیت (از دیدگاه خودشان) اهمیت می دهند، فرهنگِ درست "رفتار امنیتی" درون شان به پختگی نرسیده. این یعنی چه؟

یعنی این که در برقراری امنیت، خیلی اوقات نه ظرافت دارند، نه smart هستند. یک مویی را که باید با موچین جدا کنند می آیند و گاهی با قیچی باغبانی بیرون می کشند. هنوز در رفتارها برای برقراری امنیت آزمون و خطایی عمل می شود و بیشتر از آن که میکرو گرمی کار شود، کیلوگرمی رفتار می شود. دست کم از بیرون این گونه به نظر می آید.

"هجوم"، "شبیخون زدن" و "به ناکجاآباد بردن"، "پرونده سازی"  واژه هایی است که بیشتر ذهن ایرانیان را درگیر می کند وقتی به نهادهای امنیتی شان فکر می کنند تا کلماتی مثل "آرامش" ، "خاطرجمعی" و "حمایت شدن". این واقعیت است. و سئوال این است که چرا؟ چرا برخی فکر می کنیم رفتار درست امنیتی این است که پروپاگانداهای ترسناک درست کنیم، خوشه ای بگیریم و ببندیم و درو کنیم؟

خیال می کنم نهاد امنیتی هوشمند، هنرش به قدرت نمایی و حمله وری روی سطح نیست، که کارش را با آرامش، و بدون تنش وارد کردن به Public انجام می دهد.

نهاد امنیتی که خود تشویش و احساس عدم امنیت ایجاد می کند در مردم و سبب هزاران حرف و حدیث می شود، چه تفاوت دارد با آن سیستم ایمنی بدن که به خیالش می خواهد درست عمل کند و اما به خودِ بدن حمله ور می شود؟ آیا اگر مردم کشوری از نهادهای امنیتی شان بترسند و بلرزند، این نشانه ای خوب است؟ درباره اش فکر کنیم.»

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🚨اختلال اینجا، اختلال آنجا، اختلال همه جا!
⚠️‏از اختلال در زیرساخت رسیدیم به اختلال در دیتاسنترها
▪️قطع برق و گرما در چند دیتاسنتر موجب خاموشی آن‌ها شد و اختلال دوباره در شبکه اینترنت را در پی داشت.
▪️همزمان با قطع برق در مناطقی از تهران، برخی دیتاسنترهای پایتخت با قطعی مواجه شدند و سرویس‌دهی آن‌ها مختل شده‌است.
▪️آنطور که سخنگوی صنعت برق گفته بر اثر صاعقه، رله حفاظتی پست نیروگاه شهید رجایی عمل کرده و این مسئله موجب شد نقاطی از شهر تهران، برای دقایقی برق نداشته باشند. این موضوع مشکلاتی برای دیتاسنترها نیز به وجود آورده است و باعث گرم شدن آن‌ها و در نتیجه خاموش شدنشان شده است.
▪️طی ساعت گذشته دیتاسنترهایی چون آسیاتک، افرانت، آوابرید و... دچار مشکل شدند. گفته می‌شود به علت بالا رفتن حرارت در این مراکز و رسید دما به نزدیک ۵۰ درجه در برخی از آن‌ها ، سرورها خاموش شدند. با وجود اینکه در حال حاضر برق برخی از مراکز متصل شده اما همچنان برخی از آن‌ها با مشکل گرما و قطعی روبرو هستند. بالا نیامدن برخی از پلتفرم‌ها و سایت‌های اینترنتی طی ساعات گذشته نیز به همین دلیل بوده است./دیجیاتو

⬛️پ. ن:
به عنوان یک اصل مهم: اگر یک میلیارد تومن بودجه برای دیتاسنتر دارید 900 میلیون تومن آنرا خرج کولینگ و Power کنید.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔺میزان Downtime سالانه قابل تحمل در Tierهای مختلف دیتاسنتر (اطلاعات بیشتر)
👈دیتاسنترهای TIRE 3 باید بتوانند تا 72 ساعت بی برقی را تحمل کنند.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

💿اهمیت اطلاعات سازمان شما چقدر است؟
📌در این فیلم، عکس العمل جالب مدیر IT یکی از گروه های صنعتی بزرگ کشور در لحظه بازیابی اطلاعات سرورهای مجازی از استوریج ایشان توسط شرکت رسانه افزار به نمایش درآمده است. این لحظه زیبا پایانی است بر استرسها و فشارهای عصبی ناشی از فقدان اطلاعات حیاتی استوریج این سازمان.
☄️ بدلیل خرابی هارددیسکها و پیچیدگی پیکر بندیهای آن، ناامیدی و استرس در بازیابی اطلاعات بالا گرفته بود و تلاش اول برای بازیابی اطلاعات، با شکست روبرو شده بود ولی در تلاش دوم و با روشن شدن بعضی از زوایای پنهان پیکربندیهای آن سیستم، اطلاعات بطور کامل سر جای خود بشکل اول بازیابی و قابل دسترس قرار گرفت و تحویل ایشان شد.

⬛️پ. ن:
❕خراب شدن تجهیزات و از دست رفتن اطلاعات یک رخداد طبیعی است. آماده نبودن ما برای مواجهه با این رخداد، غیرطبیعی است. با چاره اندیشی مناسب و تهیه Backup منظم، ریسک از دست دادن اطلاعات را کاهش دهید.
❕ما بیش از آنچه تصور می کنیم به اطلاعات و فایلهایمان وابسته هستیم. اما متاسفانه زمانی متوجه این وابستگی میشویم که آنها را از دست داده باشیم.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔽یک رخداد، بار اول اتفاقی است. بعد از آن دیگر هیچ اتفاقی، اتفاقی نیست!

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️اعلام 6 آسیب پذیری جدید برای Microsoft Exchange
❕مایکروسافت این ماه 72 آسیب‌پذیری جدید روی محصولات خود را Patch کرده است. در این میان باز هم Exchange جایگاه خود را در محصولات آسیب‌پذیر حفظ کرد.
⚠️6 آسیب‌پذیری جدید روی Exchange گزارش شده است که یکی از آنها امتیاز بحرانی 9.8 را کسب کرده است!
❌آسیب‌پذیری‌های جدید Exchange عبارتند از:
🔴CVE-2023-21709 ُScore: 9.8
🔴CVE-2023-38181 Score: 8.8
🔴CVE-2023-38185 Score: 8.8
🔴CVE-2023-35368 Score: 8.8
🔴CVE-2023-35388 Score: 8.0
🔴CVE-2023-38182 Score: 8.0
❌علت اصلی این همه آسیب‌پذیری‌های فراوان و بی‌انتهای Exchange و خطرناک بودن آنها سه عامل زیر است:
1- معماری پیچیده
2- ارتباطات عمیق آن با اکتیودایرکتوری
3- پیش‌نیازهای نرم‌افزاری متعدد آن برای نصب که سطح آسیب‌پذیری‌ها را افزایش می‌دهد مثل:
✔️.NET Framework
✔️Visual C++ Redistributable Package
✔️IIS Rewrite Module
✔️Server Media Foundation
✔️Unified Communications Managed API
✔️Remote Server Administration Toolkit
❌به عبارت بهتر اگر در هر کدام از این ماژولها آسیب‌پذیری وجود داشته باشد Exchange شما هم آسیب پذیر خواهد بود و به این ترتیب Attack surface افزایش خواهد یافت. از آنجا که Exchange با اکتیودایرکتوری درهم‌تنیدگی زیادی دارد هک شدن Exchange اغلب برابر است با دسترسی هکر به اکتیودایرکتوری!
🔚توصیه می‌شود بجای Patch کردن Exchange، دل از این دروازه نفوذ پاک کنید و به سایر Mail Serverها که معماری ساده‌تر و آسیب‌پذیری کمتری دارند مهاجرت کنید.
⚠️فراموش نکنید هکرها به محصولات و شبکه‌هایی که معماری پیچیده تری دارند علاقمندتر هستند. چون یافتن پیکربندی اشتباه و روزنه نفوذ در آنها آسان‌تر است.
⚠️مجددا قابل ذکر است که اخیرا بدلیل همین آسیب‌پذیری‌های بی‌انتهای Exchange، نهادهای نظارتی نصب آن را در زیرساخت‌های حیاتی کشور ممنوع اعلام کرده‌اند.

💁‍♀️کلام آخر:
در حوزه فناوری، عاشق چشم و ابروی هیچ برند و هیچ شرکتی نباشید. هر محصول تا زمانی که نسبت به رقبایش مزیت نسبی دارد انتخاب مناسبی است. وفاداری به یک محصول یا یک برند در عالم حرفه‌ای هیچ جایگاهی ندارد. این تصور هم که چون Exchange محصول مایکروسافت است پس انتخاب بهتری برای یک شبکه مایکروسافتی است اساسا اشتباه است. IE هم محصول مایکروسافت بود اما همه ما از Firefox و Chrome استفاده می کردیم. اگر Exchange طلا هم باشد با این همه آسیب‌پذیری استفاده از آن منطقی نیست.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🌐Gartner® Magic Quadrant™
for Enterprise Backup and Recovery Software Solutions 2023

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🌍 اینترنت ماهواره ای خانواده گرفتار در آتش‌سوزی هاوایی را نجات داد

🔵جنگل‌سوزی در جزیره‌ی تفریحی مائوئی آمریکا، در روزهای اخیر جان ده‌ها نفر را گرفته و صدمات زیادی بر جای گذاشته است.
🔵پس از آغاز آتش‌سوزی، پنج نفر که در داخل یک خودرو بودند، گرفتار آتش شدند. در آن ناحیه، پوشش‌دهی شبکه‌ی موبایل وجود نداشت و به‌همین‌دلیل کسانی که در خودرو بودند، از قابلیت ارتباط ماهواره‌ای آیفون استفاده کردند.
🔵ارتباط ماهواره‌ای آیفون، موقعیت مکانی دقیق خودرو را برای اورژانس و آتش‌نشانی فرستاد. در عرض تنها ۳۰ دقیقه، تیم آتش‌نشانی به خودرو رسید و ساکنان را نجات داد.
🔵سیستم ارتباط ماهواره‌ای اپل که Emergency SOS via Satellite نام دارد، صرفا در گوشی‌های سری آیفون ۱۴ ارائه می‌شود و تاکنون چند بار جان افراد را نجات داده است.
🔵 آیفون ۱۵ که اواخر شهریور رونمایی می‌شود نیز ارتباط ماهوار‌ه‌ای خواهد داشت./جماران

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🗣️ تنها سیستمی که واقعا امن است سیستمی است که خاموش باشد و در یک محفظه بتونی و در یک اتاق سربی مهر و موم شده با محافظان مسلح قرار گرفته باشد! با این حال باز هم هنوز شک دارم که کاملا امن باشد!
✍️یوجین اسپافورد، کارشناس مشهور امنیت

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🟣نقشه کابلهای فیبرنوری بین الملل فعال در خلیج فارس و دریای عمان (منبع)

⬛️پ.ن:
اندوه بزرگیست که کشورت بزرگترین سهم از سواحل خلیج فارس و دریای عمان را داشته باشد اما از کمترین سهم از ارتباطات بین الملل بهره مند باشد!

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🥳به مناسبت 10 ساله شدن تلگرام
❤10 سال قبل در چنین روزی تلگرام متولد شد. یک پلتفرم ارتباطی جدید که نیاز مخاطبانش را کاملا می‌شناخت و فراتر از رقبایش رشد می‌کرد.
❤بدون شک تلگرام باعث ارتقاء سطح کیفی زندگی در فضای مجازی بسیاری از ما شده است.
❤تلگرام نه فقط یک پیام رسان بلکه یک پلتفرم ارتباطی جامع شده است.
❤تلگرام الگوی خوبی برای «بهبود مستمر» است. به نظر می رسد مهمترین نقطه قوت تلگرام «اتاق فکر» این پلتفرم است که دقیقا در مسیر صحیح در حال توسعه این پلتفرم است. هرچند برخی از بلندپروازی های تلگرام مثل پروژه TON به نتیجه نرسید اما بدون شک تلگرام یک سر و گردن بالاتر از رقبای خود به پیش می رود.
❤امروز تلگرام به بهترین و سریعترین و جامع ترین پلتفرم ارتباطی خبرگزاری ها تبدیل شده است. حتی خبرگزاری‌های تندرو و صدا و سیما و همه آنهایی که مخالف تلگرام هستند در تلگرام حضور فعال دارند و این راز قدرت و محبوبیت تلگرام است.

❤از تلگرام ممنونیم که ارتباطات میان مردم را اینچنین آسان کرده.
❤از تلگرام ممنونیم که این همه حجم ذخیره سازی نامحدود را در اختیار همه گذاشته
❤از تلگرام ممنونیم که به آرشیو پیام‌ها و فایلهای حجیم 10 سال قبل هم هنوز به آسانی دسترسی داریم.
❤از تلگرام ممنونیم که نیاز کاربران را زودتر از خودشان تشخیص می‌دهد.
❤از تلگرام ممنونیم که نرم افزارش را بصورت متن باز در اختیار همه گذاشته تا شفاف تر باشد.
❤از تلگرام ممنونیم که خبررسانی و دریافت خبر را ساده تر کرده.
❤از تلگرام ممنونیم که به تعاملات گروهی و پروژه‌ محور کمک شایانی کرده.
❤از تلگرام ممنونیم که در اوج فیلترینگ هم به ساده ترین شکل ممکن در اختیار همه بود.
❤از تلگرام ممنونیم که باعث شد بیشتر بدانیم و بیشتر یاد بگیریم.
❤از تلگرام ممنونیم که باعث شد با افراد جدیدی آشنا شویم که تاثیر مثبت در زندگی ما ایجاد کرده اند.

⬛️پ. ن:
تلگرام در سال 92 متولد شد و من در سال 93 عضو آن شدم. در تاریخ 2 مهر 94 (دقیقا در روزی که قابلیت ایجاد کانال در تلگرام رونمایی شد.) این کانال هم ایجاد شد. اگر دوست داشتید در بخش نظرات بنویسید که شما کی به تلگرام Join شدید.
➖با این ربات میتونید تاریخ دقیق ثبت نام خودتون در تلگرام رو ببینید:
@creationdatebot

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

❗پروتکلهای ناامن در صنعت
❕اغلب پروتکلهای مهم و رایج بکار رفته در سیستمهای کنترل صنعتی شامل Modbus، Profibus، Profinet و DNP3 به شدت ناامن هستند. اگر چه پروتکلهای امن مثل OPCUA برای استفاده در صنعت معرفی شده اند اما چالش اصلی این است که تجهیزات کنترلی که در صنایع استفاده می شوند اغلب قدیمی هستند و قابلیت پشتیبانی از پروتکلهای امن را ندارند.
❕به نظر شما این چالش راه حلی دارد؟

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🟡ادعای هک کردن Exchange Server بانک ملی
🔴یک گروه هکری با انتشار این تصویر ادعا کرده Exchange Server بانک ملی ایران (داده ورزی سداد) را هک کرده است. بانک ملی تاکنون واکنش رسمی به این ادعا ارائه نداده است.

⬛️پ. ن:
➖تصویر منتشر شده مربوط به Exchange نیست و به نظر می‌رسد نسخه فارسی شده (بومی شده) Zimbra است. دسترسی هم در سطح Admin نیست. بلکه Inbox یک کاربر معمولی باز شده است.
➖ گفتنی است که Zimbra هم اخیرا آسیب پذیری بحرانی داشته که در اینجا هم درخصوص آن اطلاع رسانی شده بود.
➖تحلیل این ماجرا از روی تصویر این است که هیچ هکی صورت نگرفته. نام کاربری و Password یک کاربر به هر طریقی لو رفته و یک نفر با آن لاگین کرده و عکس گرفته است.
✅روشهای احراز هویت دوعاملی چنین مشکلاتی را مرتفع می کند.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🟡تکمیلی:
▪️پیرو خبر قبلی، صفحه اول لاگین Mail Server بانک ملی نشان می دهد که بانک ملی در حال حاضر از محصول بومی توکا استفاده می کند. به نظر می رسد نرم افزار توکا نسخه توسعه یافته Zimbra است:
https://mail.bmi.ir/
📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔹هوش مصنوعی می تواند CAPTCHA ها را بهتر از انسان تشخیص دهد!
▪️در یک مطالعه مشخص شده است که هوش مصنوعی میتواند پیچیده ترین CAPTCHAها را تشخیص دهد. پیچیده تر کردن CAPTCHA ها تنها باعث میشود هوش انسانی به چالش و خطا بیفتد و تاثیر چندانی بر عملکرد هوش مصنوعی ندارد!
🔺در این باره بیشتر بخوانید...

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

#تبلیغات
🔸برای اطلاع از شرایط تبلیغات در کانال @PingChannel لطفا به @Kiaeifar پیام بفرستید.
⭐درآمد حاصل از تبلیغات در این کانال به امور خیریه اختصاص دارد. تبلیغ کنندگان می‌توانند هزینه تبلیغات را مستقیما به حساب موسسه خیریه حمایت از کودکان مبتلا به سرطان محک و یا سایر موسسات رسمی خیریه به انتخاب خودشان واریز کنند.

🔴کشف آسیب پذیری بحرانی جدید روی Citrix
⚠️یک آسیب پذیری بحرانی با امتیاز 9.8 روی Citrix ShareFile کشف شده که Exploit آن موجود است. این آسیب پذیری موجب صدور هشدار از سوی CISA شده است.

📱 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات