arash
سلام، بدون توجه به اینکه اساسا پیام های رسان های داخلی ( اگر بتونیم نام داخلی رو ترجمه کنیم و بنا بر اون تعریف به نرم افزارهایی مثل موارد نامبرده بگیم بومی) امن هستند یا نه بایدعرض کنم، تحلیلهایی که انجام شده در این نوشته، چندان هم صحیح نیست. در بخش رمز نگاری، اشاره شد که پروتکل SSL یا TLS، کاملا امن و غیرقابل نفوذ / شنود است که میدونیم متاسفانه فرض نادرستیه. در صورتی که شک دارید یا فراموش کردید لطفا به آسیب پذیری های چند سال اخیر یه نگاهی بندازید. صرفنظر از این، پیاده سازی پروتکل در تمامی نقاط میانی حایز اهمیته، شاهدیم که در بخش های متعددی، اساسا ترافیک آفلود میشه، یا از گواهینامه Self Sign استفاده میشه، گواهینامه صادر شده مشکلاتی داره ( توسط CA چندان معتبری امضا نشده) / پیکربندی نادرست / فعال بودن الگوریتم های قدیمی در بخش Key Agreement / Encryption / Sign پروتکل رو آسیب پذیری کرده و .... / در نظر داشته باشید فرض اینکه تمامی سرویس های مهم دنیا بر بستر فقط SSL/TLS در حال ارایه خدمات هستند فرض نادرستیه. لطفا برای این منظور مراجعه کنید به پیکربندی شبکه پرداخت و تجهیزات مورد استفاده. در استانداردی مثل PCI DSS اشاره شده رمزنگاری End to End. در واقع SSL/TLS رمزنگاری Point to Point محسوب میشه نه E2EE. فکر نمیکنم نیازی به تشریح تفاوت این دو باشه. حالا اگر برگردیم به بحث اپلیکیشن های پیام رسان، اولا استفاده از SSL/TLS حداقل الزام امنیتی محسوب میشه نه نهایت امنیت. میدونید که میشه روی اون هم MITM انجام داد. به عنوان مثال اگر اپلیکیشن حساسی SSL Pinning رو به درستی انجام نده امکان اجرای همچین حملاتی افزایش پیدا میکنه ( ضمن اینکه با وجود اون هم در برخی موارد روش های دور زدن گزارش شده). در عین حال، این نیاز برای پیام رسان وجود داره که از رمزنگاری E2E پشتیبانی کنه به صورتی که واقعا سرویس دهنده هم حتی قادر نباشه پیام رو رمزگشایی کنه. این یه ضرورت هست نه یه گزینه قابل انتخاب. مشابه این مورد در Signal Protocol یا MTProto. برای من سوال واقعا چطور و بر اساس چه تحلیل رمزنگاری گفته شده که پروتگل های مورد استفاده در تلگرام یا واتس آپ یا سیگنال امن نیست! یا SSL از اون امن تره. آیا به تا حال حجم عظیم مستندات مربوط به پیاده سازی رمزنگاری End2End مورد استفاده در این پروتکل ها که به شدت هم پیچیده و تحلیل رمزنگاری اون واقعا فقط در توان معدود متخصصین رمزنگاریه، مطالعه شده؟ کلی مقاله در این زمینه داریم تو سطح اینترنت. لطفا یه بررسی بفرمایید اول و بعد تحلیل و مقایسه بفرمایید. ار طرفی برای پیاده ساز یاین چنین پروتکل پیچیده و حساسی جزئیات فوق العاده حساسی برای پیاده سازی وجود داره . از تولید و تبادل / توافق مستمر کلید، تولید سکرت،، مشتق سازی کلید رمزنگاری متقارن، امضا کلید و ... کلی مساله دیگه که مطمئنا در حال حاضر در پیام های رسان که چه عرض کنم در خیلی از پیام های معمولی در دنیا هم وجود نداره و در نقطه مقابل پروتکل های فوق العاده امنی مثل Axolotl یا MTProto. به نظر وقتش یا دست از تحلیل اشتباه بکشیم یا اینکه بپذیریم فعلا توانمون این هست.
سلام، بدون توجه به اینکه اساسا پیام های رسان های داخلی ( اگر بتونیم نام داخلی رو ترجمه کنیم و بنا بر اون تعریف به نرم افزارهایی مثل موارد نامبرده بگیم بومی) امن هستند یا نه بایدعرض کنم، تحلیلهایی که انجام شده در این نوشته، چندان هم صحیح نیست. در بخش رمز نگاری، اشاره شد که پروتکل SSL یا TLS، کاملا امن و غیرقابل نفوذ / شنود است که میدونیم متاسفانه فرض نادرستیه. در صورتی که شک دارید یا فراموش کردید لطفا به آسیب پذیری های چند سال اخیر یه نگاهی بندازید. صرفنظر از این، پیاده سازی پروتکل در تمامی نقاط میانی حایز اهمیته، شاهدیم که در بخش های متعددی، اساسا ترافیک آفلود میشه، یا از گواهینامه Self Sign استفاده میشه، گواهینامه صادر شده مشکلاتی داره ( توسط CA چندان معتبری امضا نشده) / پیکربندی نادرست / فعال بودن الگوریتم های قدیمی در بخش Key Agreement / Encryption / Sign پروتکل رو آسیب پذیری کرده و .... / در نظر داشته باشید فرض اینکه تمامی سرویس های مهم دنیا بر بستر فقط SSL/TLS در حال ارایه خدمات هستند فرض نادرستیه. لطفا برای این منظور مراجعه کنید به پیکربندی شبکه پرداخت و تجهیزات مورد استفاده. در استانداردی مثل PCI DSS اشاره شده رمزنگاری End to End. در واقع SSL/TLS رمزنگاری Point to Point محسوب میشه نه E2EE. فکر نمیکنم نیازی به تشریح تفاوت این دو باشه. حالا اگر برگردیم به بحث اپلیکیشن های پیام رسان، اولا استفاده از SSL/TLS حداقل الزام امنیتی محسوب میشه نه نهایت امنیت. میدونید که میشه روی اون هم MITM انجام داد. به عنوان مثال اگر اپلیکیشن حساسی SSL Pinning رو به درستی انجام نده امکان اجرای همچین حملاتی افزایش پیدا میکنه ( ضمن اینکه با وجود اون هم در برخی موارد روش های دور زدن گزارش شده). در عین حال، این نیاز برای پیام رسان وجود داره که از رمزنگاری E2E پشتیبانی کنه به صورتی که واقعا سرویس دهنده هم حتی قادر نباشه پیام رو رمزگشایی کنه. این یه ضرورت هست نه یه گزینه قابل انتخاب. مشابه این مورد در Signal Protocol یا MTProto. برای من سوال واقعا چطور و بر اساس چه تحلیل رمزنگاری گفته شده که پروتگل های مورد استفاده در تلگرام یا واتس آپ یا سیگنال امن نیست! یا SSL از اون امن تره. آیا به تا حال حجم عظیم مستندات مربوط به پیاده سازی رمزنگاری End2End مورد استفاده در این پروتکل ها که به شدت هم پیچیده و تحلیل رمزنگاری اون واقعا فقط در توان معدود متخصصین رمزنگاریه، مطالعه شده؟ کلی مقاله در این زمینه داریم تو سطح اینترنت. لطفا یه بررسی بفرمایید اول و بعد تحلیل و مقایسه بفرمایید. ار طرفی برای پیاده ساز یاین چنین پروتکل پیچیده و حساسی جزئیات فوق العاده حساسی برای پیاده سازی وجود داره . از تولید و تبادل / توافق مستمر کلید، تولید سکرت،، مشتق سازی کلید رمزنگاری متقارن، امضا کلید و ... کلی مساله دیگه که مطمئنا در حال حاضر در پیام های رسان که چه عرض کنم در خیلی از پیام های معمولی در دنیا هم وجود نداره و در نقطه مقابل پروتکل های فوق العاده امنی مثل Axolotl یا MTProto. به نظر وقتش یا دست از تحلیل اشتباه بکشیم یا اینکه بپذیریم فعلا توانمون این هست.
arash
در عین حال، در secret chat تلگرام شما فقط رمزنگاری End to End رو ندارید. شما Perfect Forward Secrecy هم می بینید. هر پیام افشا شده ( به فرض موفق بودن حمله روی کلید رمزنگاری مثلا AES-256-CBC) تنها منجر به افشای یک پیام میشه نه پیام قبلی و نه بعدی.
بله SSL/TLS پروتکل های امنی محسوب میشن هیچ شکی نیست ولی برای خیلی سناریوها فقط الزامی هستند نه کافی.
در عین حال، در secret chat تلگرام شما فقط رمزنگاری End to End رو ندارید. شما Perfect Forward Secrecy هم می بینید. هر پیام افشا شده ( به فرض موفق بودن حمله روی کلید رمزنگاری مثلا AES-256-CBC) تنها منجر به افشای یک پیام میشه نه پیام قبلی و نه بعدی.
بله SSL/TLS پروتکل های امنی محسوب میشن هیچ شکی نیست ولی برای خیلی سناریوها فقط الزامی هستند نه کافی.
👆👆👆👆یک کپی از گفتمان بین کاربران متخصص امنیت در خصوص امنیت پیام رسانهای داخلی
Forwarded from آکادمی آموزش روزبه 📚
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from آکادمی آموزش روزبه 📚
Please open Telegram to view this post
VIEW IN TELEGRAM
مقاله تحقیقی:
دزدیدن اطلاعات از کارت اعتباری دارای بلوتوث
@roozbeh_learning 👈🏼
با تشکر از جناب مقداد شمسایی بابت اشتراک مطلب
https://blog.ice9.us/2018/04/stealing-credit-cards-from-fuze-bluetooth.html?m=1
دزدیدن اطلاعات از کارت اعتباری دارای بلوتوث
@roozbeh_learning 👈🏼
با تشکر از جناب مقداد شمسایی بابت اشتراک مطلب
https://blog.ice9.us/2018/04/stealing-credit-cards-from-fuze-bluetooth.html?m=1
blog.ice9.us
Stealing Credit Cards from FUZE via Bluetooth
This article covers FUZE Card , a Bluetooth-enabled reprogrammable credit card. The size and shape of a regular credit card, FUZE promises t...
🔵 دوستانی که هم اکنون در مدیریت بحران رخ داده در زیرساخت ارتباطی کشور در حال کمک هستید ؛ سعی کنید ضمن انجام وظایف، درس آموخته ها (Lesson learnt) را جمع آوری و ثبت کنید.
اگر برنامه BCP/ DRPمدونی ندارید پس نکته زیر را درپیش بگیرید:
فعلا زمان و فرصت سرزنش کسی نیست .
تحلیل و بررسی رو به زمانی دیگر موکول کنید . اکنون زمان جمع کردن اوضاع است .
مدیریت بحران ، علم و هنر است.
@roozbeh_learning 👈🏼
📚آموزش روزبه
همیشه بیاموز
اگر برنامه BCP/ DRPمدونی ندارید پس نکته زیر را درپیش بگیرید:
فعلا زمان و فرصت سرزنش کسی نیست .
تحلیل و بررسی رو به زمانی دیگر موکول کنید . اکنون زمان جمع کردن اوضاع است .
مدیریت بحران ، علم و هنر است.
@roozbeh_learning 👈🏼
📚آموزش روزبه
همیشه بیاموز
❇️ بررسی خلاصه حادثه دیشب :
از منظر علمی ؛ دلیل⚠️ ریشه ای بحران دیشب ، فقدان طرح ادامه کسب و کار (BCP) و بازیابی از حادثه(DRP) در سازمانها و شرکت های بعضا ملی بود . این مهم آنجا دردناک تر است که مرکز ماهر که خود وظیفه خطیری در بحرانها و حوادث دارد نیز از مورد دیشب در امان نماند .
◀️شایان ذکر است دلایل دیگری نیز چون عدم وجود طرح عملیاتی" مدیریت وصله ها" نیز عامل حادثه بوده است که بایستی بررسی گردد که چرا این موضوع در دستور کارسازمانها نبوده یا انجام نشده است ؟
ولی چرا اینجانب دلیل اصلی را مورد BCP/DRP اعلام میکنم ؟
چون درنظر بگیرید اگر آسیب پذیری از قبل اعلام نشده بود آنوقت طرح مدیرت وصله هم ناکارامد بود.
🔵انشالله تدوین و تست و به روز رسانی
BCP/DRP
در دستور کار سازمانها ؛ نهاد ها و شرکت ها قرار گیرد.
💠ضمنا جمع آوری و مستند سازی درس آموخته (Lesson Learnt ) های حادثه دیشب میتواند منبع غنی از دانش برای کارشناسان و مدیران فعلی و آینده باشد.
روزبه نوروزی
۱۸ فروردین ۱۳۹۷
@roozbeh_learning 👈🏼
از منظر علمی ؛ دلیل⚠️ ریشه ای بحران دیشب ، فقدان طرح ادامه کسب و کار (BCP) و بازیابی از حادثه(DRP) در سازمانها و شرکت های بعضا ملی بود . این مهم آنجا دردناک تر است که مرکز ماهر که خود وظیفه خطیری در بحرانها و حوادث دارد نیز از مورد دیشب در امان نماند .
◀️شایان ذکر است دلایل دیگری نیز چون عدم وجود طرح عملیاتی" مدیریت وصله ها" نیز عامل حادثه بوده است که بایستی بررسی گردد که چرا این موضوع در دستور کارسازمانها نبوده یا انجام نشده است ؟
ولی چرا اینجانب دلیل اصلی را مورد BCP/DRP اعلام میکنم ؟
چون درنظر بگیرید اگر آسیب پذیری از قبل اعلام نشده بود آنوقت طرح مدیرت وصله هم ناکارامد بود.
🔵انشالله تدوین و تست و به روز رسانی
BCP/DRP
در دستور کار سازمانها ؛ نهاد ها و شرکت ها قرار گیرد.
💠ضمنا جمع آوری و مستند سازی درس آموخته (Lesson Learnt ) های حادثه دیشب میتواند منبع غنی از دانش برای کارشناسان و مدیران فعلی و آینده باشد.
روزبه نوروزی
۱۸ فروردین ۱۳۹۷
@roozbeh_learning 👈🏼
اگر هنوز اقدامی در زمینه کنترل آسیب پذیری مورد بحث در پست های قبل انجام نداده اید ، این لینک را به دقت مطالعه نمایید :
@roozbeh_learning 👈🏼
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
@roozbeh_learning 👈🏼
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
Cisco
Cisco Security Advisory: Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability
A vulnerability in the Smart Install feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to trigger a reload of an affected device, resulting in a denial of service (DoS) condition, or to execute arbitrary…
Forwarded from آکادمی آموزش روزبه 📚
🔮کمبود متخصص امنیت مشهود است .
📌 ما ایران را آموزش میدهیم .
📚آکادمی آموزش روزبه
مجری تخصصی دوره های فناوری و امنیت اطلاعات
@roozbeh_learning👈🏼
📌 ما ایران را آموزش میدهیم .
📚آکادمی آموزش روزبه
مجری تخصصی دوره های فناوری و امنیت اطلاعات
@roozbeh_learning👈🏼
ظاهرا متخصص در لایه شبکه هم خیلی کم است تا چه برسد به گرایش های دیگر امنیت وگرنه وضع این نبود، اینهمه پورت باز
با تشکر از جناب اشکان نجاریان
@roozbeh_learning 👈🏼
با تشکر از جناب اشکان نجاریان
@roozbeh_learning 👈🏼
🏆جایزه ای برای تمام فصول🏆
چیزی که از دیشب ذهن را مشغول کرده این است که چرا در لایه شبکه که یک لایه زیرساختی هست یک آسیب پذیری چنین مشکلی ایجاد کند ؟
حال ما با این وضعیت به دنبال کشف حملات پیچیده و APT ها هستیم ؟ ؟!
حدیث مفصل است ولی نتیجه گیری سریعی داشته باشیم از یک منظر برای لب مطلبی که مطرح میشود ؛
با وسعت اثری که در اثر یک آسیب پذیری معمول دیده شد ۵ نکته کاملا عیان گردید :
۱- نبود ساختار و سازمان ( تشکیلات ) امنیت به نحو بهینه در بخشها، نهادها ، سازمانها و حتی ISP های مطرح کشور
۲- نبود فرآیند های مدون و استاندارد ( حداکثر بسنده کردن به استاندارد هایی چون ایزو ۲۷۰۰۱ در اسکپ محدود)
۳- کمبود عامل انسانی( موردی که در بسیاری جاهها بعنوان دلیل عدم به روزرسانی در لایه های میانی عنوان شده است )
۴- نبود مقررات تشویقی و تنبیهی و نبود ممیزی
۵ -نبود درک صحیح از امنیت بعنوان ترکیبی از فناوری، عامل انسانی و فرآیند
🏵لذا بهتر است به سازمانها و شرکت هایی که از حادثه دیشب متاثر نشدند واقعا جایزه داد که در این اوضاع پر مشکل ، از حداقل هایی برخوردار هستند . و این جایزه دادن ادامه داشته باشد تا بلکه مشوقی باشد برای همگان .
@roozbeh_learning 👈🏼
چیزی که از دیشب ذهن را مشغول کرده این است که چرا در لایه شبکه که یک لایه زیرساختی هست یک آسیب پذیری چنین مشکلی ایجاد کند ؟
حال ما با این وضعیت به دنبال کشف حملات پیچیده و APT ها هستیم ؟ ؟!
حدیث مفصل است ولی نتیجه گیری سریعی داشته باشیم از یک منظر برای لب مطلبی که مطرح میشود ؛
با وسعت اثری که در اثر یک آسیب پذیری معمول دیده شد ۵ نکته کاملا عیان گردید :
۱- نبود ساختار و سازمان ( تشکیلات ) امنیت به نحو بهینه در بخشها، نهادها ، سازمانها و حتی ISP های مطرح کشور
۲- نبود فرآیند های مدون و استاندارد ( حداکثر بسنده کردن به استاندارد هایی چون ایزو ۲۷۰۰۱ در اسکپ محدود)
۳- کمبود عامل انسانی( موردی که در بسیاری جاهها بعنوان دلیل عدم به روزرسانی در لایه های میانی عنوان شده است )
۴- نبود مقررات تشویقی و تنبیهی و نبود ممیزی
۵ -نبود درک صحیح از امنیت بعنوان ترکیبی از فناوری، عامل انسانی و فرآیند
🏵لذا بهتر است به سازمانها و شرکت هایی که از حادثه دیشب متاثر نشدند واقعا جایزه داد که در این اوضاع پر مشکل ، از حداقل هایی برخوردار هستند . و این جایزه دادن ادامه داشته باشد تا بلکه مشوقی باشد برای همگان .
@roozbeh_learning 👈🏼
🚨 امنیت خود را به حراج نگذارید !
همه سازمانها و شرکت ها باید مدیر امنیت داشته باشند.
بنا به بهروشها؛ باید ساختار واحد امنیت شما، مستقیما زیر نظر مدیر عامل باشد.
@roozbeh_learning 👈🏼
همه سازمانها و شرکت ها باید مدیر امنیت داشته باشند.
بنا به بهروشها؛ باید ساختار واحد امنیت شما، مستقیما زیر نظر مدیر عامل باشد.
@roozbeh_learning 👈🏼
آکادمی آموزش روزبه ، برای گسترش فعالیت های خود ؛ از اساتید با تجربه پس از ارزیابی ، همکار میپذیرد.
دانشجویان سالهای قبل آکادمی ؛ در اولویت هستند .
ارسال CV به مدیر کانال .
@roozbeh_learning 👈🏼
دانشجویان سالهای قبل آکادمی ؛ در اولویت هستند .
ارسال CV به مدیر کانال .
@roozbeh_learning 👈🏼
آکادمی آموزش روزبه 📚 pinned «دعوت به همکاری تمام وقت یا پاره وقت Android Developer iOS Developer ارسال CV به : 🆔 @Adm_roozbeh»