اگر اهل دانلود باشید با تارنت آشنایید و البته با بیت تارنت که یه توسعه دهنده نرم افزارهای اشتراک گذاری فایله.

این گروه به تازگی سرویسی رو معرفی کرده برای پیام رسانی (یا همون چت خودمون) که نیازی به سرور نداره بلکه از همون شبکه P2P استفاده میکنه.

این عدم نیاز به سرور برای کنترل تماس ها و انتقال اطلاعات باعث می شه که نقطه ضعف سیستم های دیگه اینجا وجود نداشته باشه: خطر لو رفتن اطلاعات ذخیره شده در سرور.

این سرویس که همکنون در مرحله پیش از آلفا قرار داره، همگانی نیست و برای استفاده نیاز به دعوت نامه دارید. اطلاعات منتقل شده به روش AES-256 کد گذاری می شن و هدف شرکت هم طبق گفته خودشون اینه که مردم مطمئن باشند که چت “خصوصی، امن و رایگان” دارند.

روش اینه که هر کاربر یک فولدر inbox و یک فولدر outbox داره. برای چت بین دو (یا چند نفر) کافیه که طرف دوم به کاربر اول اجازه بده که به صورت read only فولدر outbox رو بخونه که البته برای اینکار هم یک کلید در اختیارش قرار می ده. متن چت ها به صورت فایل های کوچیک تکست توی فولدر  outbox قرار می گیرند و دریافت کننده می تونه این فایل ها رو با شبکه P2P دریافت کنه.

تماس دونفره

در مورد تماس های چند نفره نیز همین روش فقط با تعداد ارتباطات بیشتر انجام می شه:

تماس چند نفره

در این حالت چون ۳ نفر با فرستنده پیام در تماسند، حتی اگر فرستنده آفلاین بشه و یکی از گیرنده ها فایل رو به صورت کامل دریافت کرده باشه، بقیه نیز اون فایل رو دریافت می کنند (شبیه تارنته، نه؟) و چون دسترسیشون read only است اگر در کپی خودشون تغییر بدن، اطلاعات دریافتی دیگران تغییر نخواهد کرد.

محیط کاربری

تنها نکته مبهم این روش در بحث امنیتی (فعلا البته) طبق گفته کسی که ایده اصلی رو داده، اینه که اگر کسی اون کلید اولیه رو در اختیار داشته باشه می تونه اطلاعات منتقل شده رو رمز گشایی کنه.

این روش حتی می تونه به عنوان روشی نوین در وبلاگ نویسی باشه. فرض کنید تماس یک طرفه باشه. یعنی فقط یک نفر outbox رو برای تعداد زیادی به اشتراک بذاره و کلید رو به همه بده و دیگران هم فقط inbox رو داشته باشند. حالا هرچیزی که اون نفر اول بنویسه بین کاربرها پخش می شه و حتی دیگه نیاز هم نیست همیشه آنلاین باشه. اون مطلب به سرعت بین کاربرها پخش می شه. دیگه چیزی به عنوان دان شدن سرور بی معنی می شه. جالبه نیست؟

البته اینا همه ایده است. ایده ای که قدم اولش برداشته شده خوشبختانه و فکر می کنم می تونه به سرعت همه گیر بشه. وبلاگ نویسی امن بدون نگرانی از نظارت ادمین سرور بر اطلاعات، بدون نگرانی از آپ تایم سرور. چه دنیای ایده آلی 🙂

منبع و منبع

این پست بر اساس مقاله ای در سایت “گزارش ملی” نوشته شده و مسئولیت صحت ادعای مصاحبه با این سایت خواهد بود.

از زمانی که اپل از گوشی های جدیدش رونمایی کرد کارشناسان امنیتی نگرانی های مختلفی رو مطرح کردن، از امن نبودن استفاده از اثر انگشت به عنوان پسورد تا امکان به اشتراک گذاری دیتابیس اثر انگشت کاربرها با مقامات دولتی. با توجه به افشاگری های اسنودن چندان دور از ذهن نبود که به این نتیجه برسیم مقامات آمریکایی از اطلاعات جمع آوری شده وسیل اپل استفاده خواهد کرد.

چند روز پیش خانم جین اگنی از نویسندگان سایت ” گزارش ملی” دنبال این قضیه رو گرفت و با تلاش و تماس های مکرر بالاخره تونست جوابی واضح از آقای تیم ریچاردسن، مدیر منطقه ای واحد مارکتینگ آمریکای شمالی در شرکت اپل بگیره: “مسلما دیتابیس ها ادغام خواهند شد”

این مدیر شرکت اپل همچنین اعتراف کرده که: “ایده استفاده از اثر انگشت از سوی شخصی از درون دولت داده شد. می دونی، اونا فقط انتظار نداشتن که اسنودن افشاگری کنه.”
همچنین توضیح داده که NSA و FBI حدود یکساله که دیبایسی رو جمع آوری کردن که در تکنولوژی جدید شرکت اپل ادغام بشه. اثر انگشت از سرتاسر کشور: پرونده های بدون نتیجه، فرار کننده های از قانون و افراد گمشده.

آیفون ۵s یک منبع تغذیه پشتیبان داره که نمیذاره کاملا خاموش بشه.با این منبع تغذیه و استفاده از GPS گوشی، پلیس می تونه به سرعت و با دقت مکان تبهکار ها رو پیدا کنه. مقامات انتظار دارند که در ماه اول استفاده از این روش صدها متهم رو دستگیر کنند.

وقتی که گزارگر در مورد پاسخ به افرادی که نگران حفظ حریم شخصیشون هستند پرسیده، آقای ریچاردسن جواب داده:
“راستش اگه کسی اونقدر احمقه که چیزی خاص و قابل شناسایی مثل اثر انگشتش رو در اختیار مقامات دولتی و شرکت ها قرار بده خب نمی تونی ما رو برای استفاده از اون سرزنش کنی، نه؟ شخصا فکر می کنم که این تلاش ها یک نتیجه خوب رو به دنبال خواهد داشت. خیلی از کسانی که دستگیر خواهند شد آدمای واقعا خطرناکی هستند. غیر از اونکه همچین چیزی در قانون اساسی نیومده.”

گزارشگر ادعای ریچاردسون در جمله آخر رو تایید می کنه که در قانون اساسی آمریکا چیزی در مورد ممنوعیت استفاده از اثر انگشت مردمی که اون رو خود خواسته در اختیار مقامات قرار دادند، وجود نداره. در حالیکه ممکنه NSA و Apple  کاملا حق داشته باشند که از این اثر انگشت ها استفاده کنند، برخی از خریداران از این قضیه راضی نیستند.

آیفون ها می تونند تبدیل بشن به دستگاههای همراه ثبت اثرانگشت، همونطور که می تونن یه جی پی اس مخفی و البته رایگان باشند برای ردیابی هر کاربری که پلیس نیاز داره. و مهم تر از همه یه ضرب المثله در دنیای امنیت که می گه شما نمی تونی یه در مخفی بذاری برای استفاده خودت و مطمئن باشی که کسی ازش سو استفاده نمی کنه. فرض کنیم FBI و NSA خیلی آدم های خوبی اند و Apple هم فقط برای کمک به دستگیری آدم بدها این ابزارها رو در اختیار پلیس گذاشته، اگر آدم بدهای داستان کنترل این فیچر رو به دست بگیرن چی؟

آدم ها حق دارند که دیده نشن و حق دارند که جایی رو برای خودشون داشته باشند بدون نظارت دولت وآدم خوب ها و آدم بدها. ولی گسترش روزانه دیوایس هایی که کنترلش دست ما نیست این حق رو تهدید می کنه. ابزارهای دو گانه که نه می شه به طور کامل ازشون چشم پوشید و نه اینطور بی مهابا بهشون اجازه نفوذ داد. راهش قانون گذاری و کنترله. همون کاری که داره در مورد دوربین های مدار بسته می شه (منبع).

در هفته گذشته از دوتا IP در چین تلاش هایی بود برای حدس زدن پسورد وبلاگم. این IP ها بلاک شدن. اینجا هم میذارم که شما هم پیش دستی کنید و بلاکشون کنید.

بعد از این حملات به فکر افتادم یه جستجویی بکنم که آیا حمله مشابهی این روزها صورت گرفته یا نه. چون خیلی بعید به نظر می رسه که یک هکر از چین به صورت مشخص بخواد وبلاگ من رو هک کنه پس به این نتیجه رسیدم که احتمالا حمله ای کور و فقط بر اساس CMS ای است که استفاده می کنم.

اوایل امثال بود که سرویس دهنده ixwebhosting اعلام کرد سایت های وردپرسی که روی سرورهای این سرویس دهنده اند تحت حملات Brute Force (حدس زدن پسورد) قرار گرفته اند.
طبق اطلاعات اعلام شده این سرویس دهنده و بررسی هایی که آن زمان انجام شد مشخص گشت که هکرها با استفاده از سرورهایی که پیشتر هک کرده بودند و به کاربردن یک ربات، این حملات گسترده را علیه میلیون ها سایت تدارک دیده اند. در این حمله بیش از ۹۰ هزار سرور هک شده شرکت داشتند. به دلیل تعدد IP ها دفاع کمی سخت شد.
یکی از روش هایی که من در وبلاگم به کاربردم برای جلوگیری از بروت فورس، استفاده از پلاگین هایی نظیر better-wp-security برای محدود کردن تعداد دفعاتیست که هر IP می تونه پسورد اشتباه برای لاگین امتحان کنه. وقتی هکر ۱۰۰ هزار IP داشته باشه عملا این دفاع رو از کار میندازه. و نکته منفی هم اینجاست که وقتی سایت ها رو هک می کنه، ابزارش گسترده تر می شه و می تونه سرعت حملات رو بالاتر ببره.
در این حمله که گفتم، تعداد دفعات بروت فورس در شروع حملات ۳۰ تا ۴۰ هزار بار در روز بوده که پس از مدتی این تعداد به طور ناگهانی به ۱۰۰ هزارتا می رسه.

هم اکنون نیز یک حمله گسترده علیه وب سایت های وردپرسی در جریانه. مطابق اطلاعات جمع آوری شده از IP هایی که در این حملات شرکت کرده اند، هکر ها از تعداد بسیار زیادی سایت های وردپرسی هک شده استفاده می کنند.
آنالیز این اطلاعات نشون می ده که هکر می تونه طی ۲۶ ثانیه از ۵۶۹ سایت هک شده به هدف حمله کنه، سایت هایی نظیر:

حمله کننده از تعداد زیادی سرورهای پرقدرت استفاده می کنه برای به دست گرفتن سرورهای دیگه و گسترش ابزار هک.

این هک به صورت وسیعی در جریانه و محدود به کشور خاص و یا سرویس دهنده خاصی نیست. با توجه وسیع بودن دامنه حمله و محوده جغرافیایی HP های شرکت کننده در آن، جلوگیری از هک کمی سخته.

من برای راحتی کار شما، لیستی از این IP ها آماده کردم که بتونید تا پایان یافتن حمله جاری اونها رو بلاک کنید.

طبق آماری که به تازگی ارائه شده از مجموع ۴۲۱۰۶ وب سایت وردپرسی که در جمع یک میلیون وبسایت برتر آلکسا قراردارند، ۳۰۸۲۳ وب سایت معادل ۷۳.۲% از نسخه های قدیمی وردپرس استفاده می کنند که ضعف های امنیتی شناخته شده دارند و به راحتی توسط ابزار های رایگان قابل شناسایی اند.

لیستی از نسخه های پرکاربرد

حدود ۲ در صد از این سایت ها همچنان از نسخه های پایه ۲ استفاده می کنند.

اگر وبسایتی با استفاده از وردپرس دارید این موارد را رعایت کنید:

وردپرس را به آخرین نسخه به روز کنید
تمامی پلاگین ها و تم ها را به روز کنید
از نام کاربری غیر از admin استفاده کنید
پسورد خود را تغییر داده و از پسوردی با حداقل ۸ کاراکتر شامل حروف کوچک و بزرگ، اعداد و کاراکترهای خاص مثل^%$#&@* استفاده کنید
آدرس صفحه لاگین را تغییر دهید

منبع ، منبع و منبع