🔼ارزشمندترین تخصصها در سال 2030

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🎙نظر «یووال نوح هراری» درباره تاثیر #هوش_مصنوعی بر مذهب!
❓آیا هوش مصنوعی می تواند جای روحانیت و مرجعیت دینی را در ادیان مختلف بگیرد؟

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

✔️بانوان ایرانی و امنیت سایبری
◀️خانم نوشین شباب، از پژوهشگران ارشد امنیت شرکت #کسپرسکی، توضیح می‌دهد که مهاجمان سایبری چگونه از هوش مصنوعی مولد (GenAI) و مدل‌های زبانی بزرگ (LLMها) برای انجام حملات هدفمندتر، مقیاس‌پذیرتر و متقاعدکننده‌تر استفاده می‌کنند.
◀️او همچنین تازه‌ترین فعالیت‌های مجرمانه سایبری کشف‌شده توسط پژوهشگران کسپرسکی را به اشتراک می‌گذارد و نشان می‌دهد که مجرمان چگونه از این فناوری‌ها سوءاستفاده می‌کنند و شما باید برای چه تهدیدهایی آماده باشید.

✔️حضور بانوان متخصص و افتخار آفرین ایرانی در شرکتهای بزرگ امنیت سایبری دنیا در کنار آقایان مایه افتخار است. #روز_زن و #روز_مادر بر بانوان افتخار آفرین ایرانی بویژه فعالان حوزه #امنیت_سایبری مبارک باد.

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🏳️‍🌈 بررسی Microsoft Patch Tuesday دسامبر ۲۰۲۵
⏺​مایکروسافت در آخرین به‌روزرسانی سال ۲۰۲۵، اصلاحیه‌هایی برای محصولات مختلف خود منتشر کرد. در این بین، ۳ آسیب‌پذیری Zero-day وجود دارد که یکی از آن‌ها هم‌اکنون دارای اکسپلویت فعال است.
1️⃣خطر Outlook (CVE-2025-62562): یک آسیب‌پذیری RCE در اوت‌لوک. اگر کارمند شما ایمیل مخربی را باز کند (یا حتی در برخی شرایط فقط دریافت کند)، هکر می‌تواند کد دلخواه روی سیستم اجرا کند.
3️⃣ زیرو-دی فعال (CVE-2025-62221): این باگ در درایور Cloud Files ویندوز همین الان توسط هکرها برای ارتقای دسترسی (Privilege Escalation) استفاده می‌شود. مایکروسافت تایید کرده که اکسپلویت آن در اینترنت موجود است.
3️⃣ و باز هم Exchange Server: سه آسیب‌پذیری Elevation of Privilege جدید در اکسچنج سرور. اگر هنوز اکسچنج On-Premise دارید، همین الان آپدیت کنید. البته توجه داشته باشید که چون Exchange 2016/2019 در اکتبر امسال EOS (End of Support) شدند، این پچ‌ها به صورت Public در دسترس نیستند. فایل‌های آپدیت صرفاً برای مشترکین دارای پنل ESU (Extended Security Update) و کاربران نسخه Exchange SE (Subnoscription Edition) قابل دریافت است. اگر لایسنس ESU ندارید، سرور شما در برابر این باگ‌ها Unpatched باقی می‌ماند!

🗣 نکته فنی: به‌روزرسانی‌های این ماه سرویس Print Spooler را نیز مجدداً هدف قرار داده‌اند. پس از اعمال پچ، حتماً تنظیمات GPO مربوط به Point and Print را چک کنید تا پرینترهای شبکه از کار نیفتند.

🗣 توصیه اکید: قبل از دیپلوی کردن روی پروداکشن، حتماً روی محیط تست بررسی کنید (گزارش‌هایی از کرش کردن درایورهای قدیمی کارت گرافیک روی ویندوز ۱۱ بیلد 25H2 شنیده شده است).

​#Microsoft #PatchTuesday #RCE #ZeroDay #ExchangeServer #ESU

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🔴حمله به سیستمهای کنترل صنعتی از طریق VNC
🚫شاید تصور کنید هیچ سیستم کنترلی وجود نداره که به اینترنت وصل باشه! اما اینطوری نیست. برای امتحان این موضوع یک اسکن ساده انجام شد و با استفاده از VNC چندین سیستم کنترل Live در ایران پیدا شد! آنهم بدون Password !
⏺آژانس CISA هم اخیرا هشدار داده که گروه‌های هکتیویست (به‌ویژه گروه‌های طرفدار روسیه مثل "Cyber Army of Russia Reborn") با تغییر تاکتیک، تمرکز خود را از حملات DDoS به نفوذ مستقیم به HMIها معطوف کرده‌اند.
⏺مهاجمان با اسکن اینترنت به دنبال پورت‌های باز VNC (معمولاً ۵۹۰۰) روی سیستم‌های HMI می‌گردند که پسورد ضعیف یا پیش‌فرض دارند. پس از نفوذ، با دستکاری پارامترهای فیزیکی (مثل دما یا فشار پمپ‌ها) باعث "آسیب فیزیکی" به تجهیزات می‌شوند.

🔴در تصویر فوق یک سیستم HMI در شهر پراگ در جمهوری چک رو مشاهده می کنید که با استفاده از VNC Viewer و بدون Password بهش میشه متصل شد!
🔴پمپ‌های کوچک سبز رنگ Dosing 1 & 2 برای تزریق مواد شیمیایی (مثل کلر، ضد رسوب یا منعقدکننده‌ها) به جریان آب استفاده میشه. این بخش از نظر ایمنی بسیار حساسه! یک نفوذگر می‌تونه با کلیک روی Settings پارامترهای حیاتی سیستم رو تغییر بده یا با دستکاری پمپ‌های Dosing، ترکیب شیمیایی آب را به هم بزنه و شهروندان رو مسموم کنه!
◀️به همین دلیل هست که مباحث امنیت در OT حساسیت بسیار بیشتری نسبت به IT داره.
◀️اینکه از VNC خیلی قدیمی (نسخه 1.60) هم همچنان دارن استفاده می کنن خودش یک به تنهایی یک داستانه!

◀️یک نمونه دیگه از این HMIها که بصورت خطرناکی از طریق VNC در دسترس هستند در پست بعدی منتشر خواهد شد.

#OTSecurity #ICS #HMI #VNC #SCADA #امنیت_صنعتی #امنیت_سایبری #کنترل_صنعتی

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🙃یک سازه بادی روی هوا!
⬅️این تصویر پنل کنترلی یک سازه بادی یا Air Dome در کانادا است. این پنل وظیفه دارد با تنظیم فشار هوای داخل سازه، آن را «باد شده» و ایستاده نگه دارد. برخلاف ساختمان‌های معمولی، این سازه‌ها ستون ندارند و فقط با فشار هوا سرپا هستند. این سازه های بادی معمولا در سالنهای ورزشی یا انبارهای عظیم استفاده می شوند.
⬅️پنل کنترل این سازه بادی در لحظه نگارش این مطلب از طریق VNC بدون Password در دسترس همگان است!

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🔘هوش مصنوعی، مشاغلی که نابود می کند و مشاغلی که می آفریند.
🔵بر اساس پیش بینی #گارتنر از سال 2029 تعداد فرصتهای شغلی جدیدی که به واسطه #هوش_مصنوعی ایجاد می شوند از تعداد مشاغلی که بواسطه هوش مصنوعی نابود می شوند پیشی خواهد گرفت.
⁉️آیا سیستم آموزشی دانشگاه های ما برای تربیت نیروی انسانی مورد نیاز در مشاغل جدید، برنامه ریزی لازم را کرده اند؟ یا همچنان در حال تربیت نیروی کار برای مشاغلی هستند که به زودی نابود خواهند شد؟

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

لوگوی جدید کانال. با تشکر از Gemini 😉

⚙شبکه های اسکادا بیشتر قربانی معماری ناامن خودشان می شوند و نه نبوغ هکرها!
⏺گزارش‌های اخیر CISA و ENISA نشان می‌دهد حملات به زیرساخت‌های انرژی (پست‌های برق و تلمتری) شدت گرفته است. اما نکته ترسناک ماجرا این نیست که هکرها قوی‌تر شده‌اند؛ بلکه آن‌ها دارند از «ضعف‌های ذاتی» سیستم‌های OT استفاده می‌کنند.
⏺مشکل اصلی اینجاست که پروتکل‌های صنعتی مثل Modbus, DNP3, IEC-104 که به وفور در صنعت استفاده می شوند بر اساس «اعتماد کامل» طراحی شده‌اند و نه «بدبینی امنیتی».

⚙ ۵ اقدام مهم که می تواند به امنیت شبکه اسکادا کمک کند:
1️⃣ مانیتورینگ ترافیک صنعتی را در شبکه اسکادا ایجاد کنید. خیلی مهم است که بدانید در شبکه صنعتی شما چه ترافیکی از کدام مبدأ به کدام مقصد و روی چه پروتکلی در جریان است. هرگونه تغییر ترافیک را به دقت بررسی کنید. در شبکه صنعتی، هرگونه تغییر ترافیک می تواند نشانه یک نفوذ باشد.
3️⃣تایید اصالت دستور (Command Verification): پروتکل‌های قدیمی ذاتاً نمی‌دانند دستور از کجا آمده. اگر امکان پیاده‌سازی Certificate روی PLCها و کنترلرهای قدیمی را ندارید، باید از فایروالهای صنعتی که قابلیت Ruleنویسی روی پروتکلهای صنعتی دارند استفاده کنید تا دستورات مشکوک را قبل از رسیدن به مقصد بلاک کنند. فایروال صنعتی سایبان که دارای مجوز افتا هم هست یکی از بهترین گزینه ها برای Ruleنویسی روی پروتکلهای صنعتی است.
3️⃣ تفکیک نقش‌ها (RBAC): دوران «یک User و Password روی کاغذ چسبیده به مانیتور» تمام شده. دسترسی مهندس، اپراتور و ادمین باید حتی در سطح HMI جدا شود.
4️⃣ پیاده سازی Zone بندی: قبل از بستن پورت‌ها بین Zoneها، ابتدا با مانیتورینگ شبکه با ابزارهای مناسب یک «نقشه جریان ترافیک» تهیه کنید. و سپس با بستن مسیر ترافیک غیرضروری بین Zoneها مقاوم سازی را انجام دهید.
5️⃣ برطرف کردن آسیب پذیریها را به عنوان یک رویه تعریف کنید. Patchها را در محیط آزمایشگاهی حتما اول تست کنید و در دوره Overhaul در محیط عملیاتی نصب کنید. حتما شرایط Rollback را پیش بینی کنید.

◀️ بخاطر بسپارید: اگر سیستم SCADA شما نمی‌تواند فرق «دستور اپراتور» را از «دستور هکر» تشخیص دهد، مشکل شما APT و هکرهای دولتی نیستند؛ مشکل از معماری شبکه صنعتی شماست!

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

#SCADA #OTSecurity #ICS #CyberSecurity #Modbus

🏐 ۶۰۰,۰۰۰,۰۰۰ تومان جایزه‌ی نقدی مسابقه باگ‌بانتی | کلاه سفیدت رو سرت بذار

🔐 مسابقه‌ی کشف آسیب‌پذیری آروان‌کلاد که سال‌هاست با همراهی هکرهای کلاه‌سفید برگزار می‌شود، امسال سقف پاداش‌های خود را به ۶۰۰ میلیون تومان افزایش داد.

💻 در این برنامه، پژوهشگران امنیت بسته به شدت و اهمیت آسیب‌پذیری، از پاداش‌های نقدی و غیرنقدی بهره‌مند خواهند شد. کیفیت گزارش و جزییات اریه‌شده نیز در افزایش اعتبار حساب کاربری پژوهشگران موثر است.

🔍 برای شرکت در مسابقه چند نکته‌ی زیر را مدنظر قرار دهید:
🔘 تنها دامنه‌ها و قلمروهای مجاز قابل بررسی هستند.
🔘 برخی موارد به‌طور مشخص در قلمرو ناپذیرفتنی قرار دارند.
🔘 هر گزارش باید شامل یک آسیب‌پذیری، متریک‌های کامل CVSS 3.1، مستندات (عکس، ویدیو، PoC) و توضیحات لازم برای بازسازی حمله باشد.

💰 پاداش نهایی بر اساس فرمول استاندارد CVSS و ضریب دارایی برای هر دامنه محاسبه می‌شود.

🔗 برای شروع و ارسال گزارش وارد صفحه مسابقه شوید:

🌐 r1c.ir/bugbounty

☁️ @Arvancloud

➖➖➖➖➖➖

⚠️ هشدار مقام اسرائیلی درباره نخستین جنگ سایبری تمام‌عیار
🔴 مدیرکل اداره ملی سایبری رژیم اسرائیل در اظهاراتی هشدار داده است که جهان به‌سمت نخستین جنگ مبتنی بر سایبر حرکت می‌کند؛ جنگی که بدون شلیک حتی یک گلوله می‌تواند یک کشور را از کار بیندازد.
به گفته او، در چنین سناریویی ممکن است:
▪️ نیروگاه‌ها خاموش شوند.
▪️ ارتباطات و اینترنت قطع شود.
▪️ حمل‌ونقل مختل گردد.
▪️ حتی منابع آب و سامانه‌های حیاتی دچار آلودگی یا اختلال شوند.
او این وضعیت را «محاصره دیجیتال» توصیف کرده و تأکید کرده است:

«این یک سناریوی تخیلی نیست، بلکه مسیری واقعی است که جهان در آن قرار گرفته.»

⚠️ این هشدار در شرایطی مطرح می‌شود که حملات سایبری به زیرساخت‌های حیاتی، به‌ویژه در خاورمیانه، به‌طور محسوسی افزایش یافته و جنگ‌های آینده بیش از هر زمان دیگری به فضای سایبری وابسته شده‌اند.

🔤🔤🔤 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

✔️بازیگران اصلی در بازار DLP در دنیا

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🗣محدودیت در ثبت‌نام نمایشگاه‌های بین‌المللی دبی؛ آغاز موج جدید محدودیت‌ها برای ایرانیان؟
◀️بر اساس گزارش‌های واصله از بازدیدکنندگان ایرانی و پاسخ‌های رسمی تیم پشتیبانی نمایشگاه جهانی بهداشت و سلامت دبی (WHX Dubai 2026)، سیستم ثبت‌نام آنلاین این رویداد بزرگ حوزه سلامت، در اقدامی عجیب از پذیرش و تایید درخواست‌های ثبت نام کاربران ایرانی خودداری می‌کند! و متقاضیان باید کشوری بجز ایران را هنگام ثبت نام انتخاب کنند.
◀️این نمایشگاه که قرار است در بهمن‌ماه ۱۴۰۴ برگزار شود، علت این اقدام را پایبندی به تحریم‌های تجاری بین‌المللی علیه ایران اعلام کرده است.
◀️سئوال این است آیا ممکن است رویه‌های مشابهی در سایر رویدادهای استراتژیک دبی (مانند جیتکس) نیز اعمال شود؟

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

⭕️ MITRE's 2025 CWE Top Most Dangerous Software Weaknesses

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

🔴دور زدن احراز هویت دومرحله‌ای در Fortigate! فورتینت Exploit فعال را تأیید کرد.
⏺شرکت فورتینت تأیید کرده است که یک آسیب‌پذیری در SSL VPN سیستم‌عامل FortiOS به‌طور فعال در حال سوءاستفاده است که امکان دور زدن احراز هویت دومرحله‌ای (2FA) را فراهم می‌کند.
⏺آسیب‌پذیری CVE-2020-12812 به مهاجمان اجازه می‌دهد در صورت پیکربندی نادرست LDAP، تنها با تغییر حروف بزرگ و کوچک نام کاربری (case sensitivity) وارد سیستم شوند.
⏺این نقص امنیتی می‌تواند منجر به دسترسی Admin یا دسترسی به VPN بدون انجام بررسی مرحله دوم احراز هویت شود. (اطلاعات بیشتر)

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

💚💛💙-امکان تغییرنام آدرس Gmail بدون ساخت اکانت جدید!
🏳️‍🌈گوگل به‌زودی قابلیتی را فعال می‌کند که کاربران بتوانند نام کاربری (آدرس ایمیل) حساب Google خود را تغییر دهند؛ بدون از دست رفتن اطلاعات و بدون ساخت اکانت جدید. (منبع)

🏳️‍🌈 شرایط و دسترسی:
⬅️این قابلیت فقط برای حساب‌هایی با آدرس @gmail.com فعال است
⬅️آدرس جدید هم باید @gmail.com باشد

🏳️‍🌈مسیر بررسی فعال شدن:
Google Account > Personal Info > Email
⬅️(قابلیت به‌صورت تدریجی فعال می‌شود)

🏳️‍🌈 بعد از تغییر ایمیل چه اتفاقی می‌افتد؟
⬅️ایمیل قدیمی به‌عنوان Recovery Email باقی می‌ماند
⬅️ایمیل‌ها از هر دو آدرس (قدیمی و جدید) دریافت می‌شوند
⬅️تمام داده‌ها، سرویس‌ها و تنظیمات حساب حفظ می‌شوند
⬅️تا ۱۲ ماه امکان ساخت ایمیل جدید دیگر وجود ندارد
⬅️امکان بازگشت به ایمیل قبلی وجود دارد
⬅️ورود به حساب با هر دو آدرس امکان‌پذیر است

🏳️‍🌈 محدودیت‌ها و نکات مهم
⬅️هر حساب #گوگل حداکثر اجازه ۳ بار تغییر/ایجاد ایمیل جدید را دارد (غیرقابل بازگشت)
⬅️کاربران ChromeOS حتماً قبل از تغییر، بکاپ کامل بگیرند
⬅️(پس از تغییر باید اکانت حذف و مجدداً با ایمیل جدید اضافه شود)
⬅️ممکن است برخی تنظیمات اپلیکیشن‌ها ریست شوند
⬅️ایمیل قدیمی همچنان در رویدادهای قدیمی تقویم و محتوای قبلی نمایش داده می‌شود

🏳️‍🌈 قابلیتی کاربردی برای کسانی که سال‌هاست از یک Gmail قدیمی استفاده می‌کنند و حالا می‌خواهند آن را حرفه‌ای‌تر یا شخصی‌سازی کنند.

🌌@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🌌🌌🌌🌌

✅شرکت مدبران تولید کننده محصولات و ارائه دهنده خدمات مهندسی امنیت سیستمهای کنترل صنعتی با افتخار از شما جهت بازدید از غرفه این شرکت در هفتمین نمایشگاه تخصصی فناوری اطلاعات، حراست و HSE دعوت می‌نماید.

🗓زمان: ۷ الی ۱۰ دی ماه ١۴٠۴
📍مکان: منطقه ویژه اقتصادی پارس - عسلویه
🌐 www.modaberan-ics.com
🌐 www.modaberan.ir