Forwarded from امنیت برای همه (Mahdi Hatami)
TIP:
What is password salting
It adds a salt (salt here means some bits) to a cryptographic function such as a cipher or hashing algorithm.
اضافه کردن چند بیت قبل از انجام مثلا hashing موجب میشود hash به کلی بهم بریزد و حتی با rainbow table نیز قابل بدست اوردن نباشد.
What is password salting
It adds a salt (salt here means some bits) to a cryptographic function such as a cipher or hashing algorithm.
اضافه کردن چند بیت قبل از انجام مثلا hashing موجب میشود hash به کلی بهم بریزد و حتی با rainbow table نیز قابل بدست اوردن نباشد.
Forwarded from امنیت برای همه (روزبه نوروزی)
قابلیت جدید اندروید ( اضافه شده توسط گوگل ) برای تشخیص بد افزارها
گوشی خود را به روز نگهدارید
گوشی خود را به روز نگهدارید
✳️ گستره رشته "امنیت اطلاعات" از منظر ISC2
*برای درک بهتر، عناوین ۲۰۱۳ درج شده است . آخرین ورژن در سایت ISC2 موجود است
@roozbeh_learning 👈🏼
🔵Access Control
🔵Telecommunications and Network Security
🔵Information Security Governance and Risk Management
🔵Software Development Security
🔵Cryptography
🔵Security Architecture and Design
🔵Operations Security
🔵Business Continuity and Disaster Recovery Planning
🔵Legal, Regulations, Investigations and Compliance
🔵Physical (Environmental) Security
📚آکادمی آموزش روزبه
*برای درک بهتر، عناوین ۲۰۱۳ درج شده است . آخرین ورژن در سایت ISC2 موجود است
@roozbeh_learning 👈🏼
🔵Access Control
🔵Telecommunications and Network Security
🔵Information Security Governance and Risk Management
🔵Software Development Security
🔵Cryptography
🔵Security Architecture and Design
🔵Operations Security
🔵Business Continuity and Disaster Recovery Planning
🔵Legal, Regulations, Investigations and Compliance
🔵Physical (Environmental) Security
📚آکادمی آموزش روزبه
نسخه نهایی ورژن ۱.۱ استاندارد جدید امنیت سایبری(NIST CSF) از سوی موسسه استاندارد امریکا منتشر شد
@roozbeh_learning 👈🏼
https://www.helpnetsecurity.com/2018/04/19/nist-releases-cybersecurity-framework-1-1/
@roozbeh_learning 👈🏼
https://www.helpnetsecurity.com/2018/04/19/nist-releases-cybersecurity-framework-1-1/
Help Net Security
NIST releases Cybersecurity Framework 1.1 - Help Net Security
The US Commerce Department’s National Institute of Standards and Technology (NIST) has announces the release of version 1.1 of its popular Framework for Improving Critical Infrastructure Cybersecurity, more widely known as the Cybersecurity Framework.
Forwarded from روزنامه فناوران اطلاعات
🔸نظر صریح روحانی درباره فیلتر تلگرام
رییس جمهور با انتشار این پست در اینستاگرام اعلام کرد که رفع انحصار به معنی محدودسازی سایر شبکههای اجتماعی نیست
@FanavaranNewspaper
رییس جمهور با انتشار این پست در اینستاگرام اعلام کرد که رفع انحصار به معنی محدودسازی سایر شبکههای اجتماعی نیست
@FanavaranNewspaper
به وظیفه خود عمل کنیم !
برای پیاده سازی برخی مفاهیم جامعه سالم هرکس باید از خود شروع کند و از اطرافیان .
فساد در انجام امور فقط بهره کشی مالی نیست . وقتی در شخصی توان انجام امور را نمیبینید ، باید بایستید . شاید همان ناتوانی او، پلی برای سوء استفاده از خودش شده است . این سوء استفاده حتی میتواند از سوی یک مشاوری امین باشد .
وقتی جلوی خوردن حق خود هم نمی ایستید هم کمک به مفسد کرده اید چون کمک میکنید او به مفسده اش ادامه دهد .
این فساد ها در پی اش علاوه بر فساد های مالی ، نا امیدی جامعه را می اورد .
خطرناک ترین نوع فساد ، فساد سیستماتیک است که در یک دوری کامل یک سلسله عوامل با هم در ارتباط هستند که هر نوع غیر مفسدی کنار زده شود.
مزید بر این دور ها و باند های فساد ، ناکارامد بودن سیستم های نظارتی ( ناظر کارفرما / واحد بازرسی و حراست ) است که اصولا به دلیل کم سوادی است .
ناظران باید از مفسدان باسواد تر باشند وگرنه امکان کشف وجود ندارد .یکی از بزرگترینِ این مسایل ، نبود دانش در تیم نظارتی است که خود باعث رفتار کبک وار تیم های نظارتی شده است .
یک نوع فساد از نوع فنی، فسادی است که در زمان خود مسایل و مشکلات فنی حل نشوند و بازگو نگردند و راه حل ارایه نشود تا در زمانی دیگر از آن بهره برداری شود .
این مورد در بین رابطه برخی مشاوران و کارفرما ها وجود دارد .کارفرما نمیداند سرش کلاه میرود و عملا مشاور هم در ظاهر فسادی نکرده ، اما با در اختیار نگذاشتن راه حل در موقع مناسب، خود یک فسادی را مرتکب شده است .
عمل برخی در حوزه فنی در قالب آیه ۱۵۲ شریفه سوره «شعراء» است :
«الَّذِینَ یُفْسِدُونَ فِى الارْضِ وَ لایُصْلِحُونَ»؛ (آنها که در زمین فساد مى کنند و اصلاح نمى کنند).
نگذاریم عادی شدن فساد باعث شود کسانی که قصد اصلاح دارند به کناری رانده شوند .
فقط جک نسازیم چون :
فقط یه ایرانی میتونه قمار بازی کنه و تو دلش صلوات بفرسته که برنده بشه
بله این مصداق داره ولی از خود شروع کنیم .
@roozbeh_learning 👈🏼
برای پیاده سازی برخی مفاهیم جامعه سالم هرکس باید از خود شروع کند و از اطرافیان .
فساد در انجام امور فقط بهره کشی مالی نیست . وقتی در شخصی توان انجام امور را نمیبینید ، باید بایستید . شاید همان ناتوانی او، پلی برای سوء استفاده از خودش شده است . این سوء استفاده حتی میتواند از سوی یک مشاوری امین باشد .
وقتی جلوی خوردن حق خود هم نمی ایستید هم کمک به مفسد کرده اید چون کمک میکنید او به مفسده اش ادامه دهد .
این فساد ها در پی اش علاوه بر فساد های مالی ، نا امیدی جامعه را می اورد .
خطرناک ترین نوع فساد ، فساد سیستماتیک است که در یک دوری کامل یک سلسله عوامل با هم در ارتباط هستند که هر نوع غیر مفسدی کنار زده شود.
مزید بر این دور ها و باند های فساد ، ناکارامد بودن سیستم های نظارتی ( ناظر کارفرما / واحد بازرسی و حراست ) است که اصولا به دلیل کم سوادی است .
ناظران باید از مفسدان باسواد تر باشند وگرنه امکان کشف وجود ندارد .یکی از بزرگترینِ این مسایل ، نبود دانش در تیم نظارتی است که خود باعث رفتار کبک وار تیم های نظارتی شده است .
یک نوع فساد از نوع فنی، فسادی است که در زمان خود مسایل و مشکلات فنی حل نشوند و بازگو نگردند و راه حل ارایه نشود تا در زمانی دیگر از آن بهره برداری شود .
این مورد در بین رابطه برخی مشاوران و کارفرما ها وجود دارد .کارفرما نمیداند سرش کلاه میرود و عملا مشاور هم در ظاهر فسادی نکرده ، اما با در اختیار نگذاشتن راه حل در موقع مناسب، خود یک فسادی را مرتکب شده است .
عمل برخی در حوزه فنی در قالب آیه ۱۵۲ شریفه سوره «شعراء» است :
«الَّذِینَ یُفْسِدُونَ فِى الارْضِ وَ لایُصْلِحُونَ»؛ (آنها که در زمین فساد مى کنند و اصلاح نمى کنند).
نگذاریم عادی شدن فساد باعث شود کسانی که قصد اصلاح دارند به کناری رانده شوند .
فقط جک نسازیم چون :
فقط یه ایرانی میتونه قمار بازی کنه و تو دلش صلوات بفرسته که برنده بشه
بله این مصداق داره ولی از خود شروع کنیم .
@roozbeh_learning 👈🏼
جنگ علیه فساد ، اعتماد را به جامعه برمیگرداند
@roozbeh_learning 👈🏼
https://transparency.eu/the-fight-against-corruption-can-rebuild-trust-in-the-european-project/
@roozbeh_learning 👈🏼
https://transparency.eu/the-fight-against-corruption-can-rebuild-trust-in-the-european-project/
Transparency International EU
The fight against corruption can rebuild trust in the EU
Today, 22nd of June 2017, the European Parliament's Committee on Petitions held a public hearing on the subject of 'restoring citizens' trust in the European Project'.
The European Ombudsman Ms. Emily O'Reilly and experts from a wide variety of civil society…
The European Ombudsman Ms. Emily O'Reilly and experts from a wide variety of civil society…
لزوم استفاده از ماژول UBA در SIEM؛ برای مانیتورینگ کاربرانی که دسترسی های بالایی در سازمان دارند
@roozbeh_learnimg 👈🏼
@roozbeh_learnimg 👈🏼
پروتکل خودکار سازی امنیت محتوا؛ SCAP
شامل مجموعه استاندارد هایی است که بسیار توسط سازمانها مورد استفاده قرار میگیرند تا کنترل و تنظیمات امنیتی سیستمهای کامپیوتری و برنامه ها را بصورت دایمی اندازه گیری و پایش کنند تا خطاهای برنامه نویسی و موارد امتیتی مرتبط با تنظیمات را بیابید
@roozbeh_learning 👈🏼
اعمال SCAP در RedHat
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sect-using_oscap
شامل مجموعه استاندارد هایی است که بسیار توسط سازمانها مورد استفاده قرار میگیرند تا کنترل و تنظیمات امنیتی سیستمهای کامپیوتری و برنامه ها را بصورت دایمی اندازه گیری و پایش کنند تا خطاهای برنامه نویسی و موارد امتیتی مرتبط با تنظیمات را بیابید
@roozbeh_learning 👈🏼
اعمال SCAP در RedHat
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sect-using_oscap
☺️خبر خوب :
خدای را شاکریم که یک CISSP دیگر به تعداد CISSP های ایران اضافه شد 🌺
با تبریک به جناب مهندس نوید برادران بابت این دستیابی بزرگ و اخذ مدرک عالی امنیت اطلاعات CISSP 👏👏👏
https://www.linkedin.com/in/navidbaradaran
@roozbeh_learning 👈🏼
📚اکادمی آموزش روزبه
🇮🇷ایرانِ سربلند
خدای را شاکریم که یک CISSP دیگر به تعداد CISSP های ایران اضافه شد 🌺
با تبریک به جناب مهندس نوید برادران بابت این دستیابی بزرگ و اخذ مدرک عالی امنیت اطلاعات CISSP 👏👏👏
https://www.linkedin.com/in/navidbaradaran
@roozbeh_learning 👈🏼
📚اکادمی آموزش روزبه
🇮🇷ایرانِ سربلند
عباس عطار
یکی از برترین عکاسان ایرانی در ۷۴ سالگی درگذشت.
اگر به عکاسی علاقمندید، مجموعه عکسهایش ، منجمله عکسهای هنگامه انقلاب را در این آدرس ببینید
http://abbas.site/
@roozbeh_learning 👈🏼
یکی از برترین عکاسان ایرانی در ۷۴ سالگی درگذشت.
اگر به عکاسی علاقمندید، مجموعه عکسهایش ، منجمله عکسهای هنگامه انقلاب را در این آدرس ببینید
http://abbas.site/
@roozbeh_learning 👈🏼
مراحل امن سازی سایتهای WordPress
@roozbeh_learning 👈🏼
https://securityaffairs.co/wordpress/71675/security/secure-wordpress-website.html
@roozbeh_learning 👈🏼
https://securityaffairs.co/wordpress/71675/security/secure-wordpress-website.html
Security Affairs
Take These Steps to Secure Your WordPress Website Before It's Too Late
You might have heard that WordPress security is often referred to as hardening, WordPress website security is all about putting locks on doors and windows and having lookouts on each of your "towers."
زیر بخش امنیت در بیت کوین
یک بهروش در این فضا، نگهداری قسمتی از ارز بصورت افلاین است .
اما مگر هکر میگذارد جوهر قلم امنیت چی واسه راه حل داده شده خشک بشه ؟
@roozbeh_learning 👈🏼
میگین نه ببینین :
اینم دورزدن ذخیره سازی آفلاین ارز
https://securityaffairs.co/wordpress/71728/hacking/beatcoin-cold-wallet-hack.html
یک بهروش در این فضا، نگهداری قسمتی از ارز بصورت افلاین است .
اما مگر هکر میگذارد جوهر قلم امنیت چی واسه راه حل داده شده خشک بشه ؟
@roozbeh_learning 👈🏼
میگین نه ببینین :
اینم دورزدن ذخیره سازی آفلاین ارز
https://securityaffairs.co/wordpress/71728/hacking/beatcoin-cold-wallet-hack.html
Security Affairs
BeatCoin - Researchers demonstrate how to steal Cold Wallet Keys from Air-Gapped PCs
Israeli researchers presented their new research named BeatCoin, it is an experiment wherein they demonstrate how to steal private keys for a cryptocurrency wallet installed on cold storage.
❇️ فیلترینگ در اختیار وزارت ارتباطات نیست
💬وزیر ارتباطات: دولت از فضای مجازی صیانت می کند
◽️مسایل مربوط به فیلترینگ در اختیار وزارت ارتباطات نبوده بلکه تصمیم در این زمینه توسط کارگروهی متشکل از 12 عضو صورت می گیرد که وزیر ارتباطات یکی از آنهاست./ایرنا
@fararunews
@roozbeh_learning 👈🏼
💬وزیر ارتباطات: دولت از فضای مجازی صیانت می کند
◽️مسایل مربوط به فیلترینگ در اختیار وزارت ارتباطات نبوده بلکه تصمیم در این زمینه توسط کارگروهی متشکل از 12 عضو صورت می گیرد که وزیر ارتباطات یکی از آنهاست./ایرنا
@fararunews
@roozbeh_learning 👈🏼
هرچه سریعتر زیرساخت مدیریت محتوای خود را اگر برپایه دروپال است به روز کنید . خطرات جدی در کمین اند
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
بررسی یک نوع حمله که علیه سایتهایی که از CDN استفاده میکنند.
معمولا ترافیک های HTTP/S و DNS از CDN ها روت میگردد ولی ترافیک هایی چون FTP ، صداو ایمیل از مسیر معمول حرکت میکنند .
در این میان هکر سعی میکند به نقطه ای که ترافیک های سازمان مجتمع میشود حمله ای را علیه برای مثال سرویس FTP سامان دهد لذا کل سرویسهای سازمان غیر قابل دسترس خواهد شد .
@roozbeh_learning 👈🏼
معمولا ترافیک های HTTP/S و DNS از CDN ها روت میگردد ولی ترافیک هایی چون FTP ، صداو ایمیل از مسیر معمول حرکت میکنند .
در این میان هکر سعی میکند به نقطه ای که ترافیک های سازمان مجتمع میشود حمله ای را علیه برای مثال سرویس FTP سامان دهد لذا کل سرویسهای سازمان غیر قابل دسترس خواهد شد .
@roozbeh_learning 👈🏼
این روزها ؛ ترافیک ها به سمت رمز شدن در حرکت اند . خصوصا استفاده از پروتکل HTTPS بسیار شایع شده است.
اگر اقداماتی برای بازرسی عمیق بسته های HTTPS در نظر نگیرید (DPI)، عملا تجهیزاتی چون IPS نسبت به بسیاری از حملات کور خواهند بود چراکه برای مثال در ترافیک رمز شده ، IPS نمیتواند امضای مرتبط با یک حمله را بیابد .
راهنمای انجام DPI
http://blog.catchpoint.com/2017/07/19/guide-deep-packet-inspection/
@roozbeh_learning 👈🏼
نکته قابل توجه آن است که در هنگام انجام DPI بایستی به حقوق شخصی و اطلاعات آنها ( Privacy ) توجه داشته باشید .
اگر اقداماتی برای بازرسی عمیق بسته های HTTPS در نظر نگیرید (DPI)، عملا تجهیزاتی چون IPS نسبت به بسیاری از حملات کور خواهند بود چراکه برای مثال در ترافیک رمز شده ، IPS نمیتواند امضای مرتبط با یک حمله را بیابد .
راهنمای انجام DPI
http://blog.catchpoint.com/2017/07/19/guide-deep-packet-inspection/
@roozbeh_learning 👈🏼
نکته قابل توجه آن است که در هنگام انجام DPI بایستی به حقوق شخصی و اطلاعات آنها ( Privacy ) توجه داشته باشید .
Catchpoint's Blog - Web Performance Monitoring
A Guide to Deep Packet Inspection - Catchpoint's Blog - Web Performance Monitoring
Deep Packet Inspection (DPI) is used for in-depth analysis of the packets sent over the internet. All the communication that happens over the internet makes use of ‘packets’ to transfer data. It includes our VOIP calls (like Skype), websites we visit, and…
Forwarded from ناویا، ماشین کاوش اپلای
مهم: به نظر میآید نهادی/گروهی با دسترسی به مخابرات و بوسیلهی حائل شدن/شنود بین پیامک دریافتی شخص از تلگرام و دیگر حسابها، به حساب اشخاص و جریاناتی نفوذ کردهاند. مراقب باشیم! @offsecmag