امن - صفحه 2 از 2

نوشته شده توسط داود مظفری

06 نوامبر

تلگرام را هک کنید تا ۱میلیارد تومان جایزه بگیرید

اپلیکیشن پیام رسان تلگرام که قبلاً نیز آن را در پارسیش معرفی کردیم، حالا در وبلاگ رسمی خود اعلام کرده است که به مخرب‌ترین حمله‌ی ای که به این اپلیکیشن صورت بگیرد ۳۰۰ هزار دلار (در حدود ۱ میلیارد تومان) جایزه خواهد داد. بر این اساس در این مسابقه باید در نقش یک موجود مخرب برای در اختیار گرفتن کنترل کامل خطوط ارتباطی و سرورهایی که توسط دو کاربر آزمایشی در تلگرام مورد استفاده قرار می‌گیرد باشید تا این جایزه بزرگ را برنده شوید.

تلگرام سرویسی است که تمرکز اصلی خود را بر امنیت و سرعت قرار داده، قبلاً هم نیز مسابقه دیگری برای رمزگشایی ترافیک جابجا شده اپلیکیشن گذاشته بود که برنده ای نداشت. اما برنده‌ی این مسابقه این سری شخصی خواهد بود که از طریق بخش‌هایی که توسعه‌دهندگان برنامه سعی در حفاظت از آن داشته‌اند، راهی برای نفوذ به این سرویس بیابد. از شرکت‌کنندگان در این مسابقه درخواست شده به ایجاد یک چت آزمایشی میان دو کاربر فرضی نظیر نیک و پائول بپردازند و ضمن تبادل پیام، با انواع روش های حمله نظیر MITM, KPA, CPA و نظایر آنها محتوای پیغام‌های آن‌ها را هک کرده و آدرس ایمیل را استخراج نمایند.

قبل از آنکه تلگرام به شما بابت این هک کردن پولی پرداخت کند باید ثابت کنید که شما در حقیقت این گفتگوی امن را با موفقیت هک کرده‌اید و این اطلاعات را به آنها ارائه کنید:

متن پیغام درون ایمیل محرمانه
لاگ‌های نشست مربوطه که منجر به حمله‌ی موفق شده و به ID خود شما اختصاص دارد
توضیحات در خصوص اینکه چگونه حمله را اجرا کرده‌اید
اطلاعات حساب بانکی برای دریافت جایزه

این مسابقه‌ تا ۱۵ بهمن ادامه خواهد داشت پس هر چه سریعتر اگر فکر می کنید دستی بر نفوذ و شنود دارید وارد عمل شوید و این جایزه را از آن خود کنید. برای کسب اطلاعات بیشتر در این زمینه، به صفحه‌ی مربوطه در وب‌سایت رسمی تلگرام مراجعه کنید.

0 ۳ 52750 06 نوامبر, 2014 اخبار, کوتاه بیشتر

نوشته شده توسط محبوبه حاتمی

25 اکتبر

آسیب‌پذیری جدید داده‌های رمزشده

محققان گوگل اخیرا در مورد پیدایش یک مشکل جدید در پروتکل SSL 3.0 خبر داده‌اند که به هکرها اجازه می‌دهد داده‌های رمزشده را رمزگشایی کنند. این کدهای مخرب (اکسپلویت) جهت ردیابی داده‌های مهم و حیاتی که بین سرور و کلاینت رمزگذاری شده‌اند مورد استفاده قرار می‌گیرند.

کدهای مخرب ابتدا به مهاجمین اجازه می‌دهد فرآیندی به نام «downgrade dance» را آغاز کنند که به کلاینت (سرویس گیرنده) فرمان می‌دهد به پروتکل SSL 3.0 وصل شود چون سرور، پروتکل TLS را ساپورت نمی‌کند. سپس از آنجا حمله‌‌ای از نوع man-in-the-middle کوکی‌های امن ddle می‌تواند کوکی‌های امن HTTP را رمزگشایی کند. گوگل اسم این حملات و آسیب پذیری را به عنوان POODLE ( مخفف Padding Oracle On Downgraded Legacy Encryption) معرفی کرده است.

به عبارت دیگر اطلاعات شما دیگر رمز شده نیست. ساده‌ترین راه حلی که تعدادی از محققان گوگل توصیه کرده‌اند غیر فعال کردن پروتکل SSL 3.0 بر روی سرور و کلاینت می‌باشد. سرور و کلاینت به طور پیش‌فرض پروتکل امن‌تر TSL را انتخاب می‌کنند و نفوذ کدهای مخرب را غیرممکن می‌سازند.

بنابراین اگر مرورگرکاربران نهایی از پروتکل SSL 3.0 پشتیبانی می‌کند باید آن را غیر فعال کنند یا بهتر است از ابزاری استفاده کنند که TLS_FALLBACK_SCSV را ساپورت می‌کند. این راه حل از حملات downgrade جلوگیری می‌کند. گوگل به زودی تغییراتی در کروم ایجاد خواهد کرد که در آن پروتکل SSL 3.0 غیرفعال شده و هیچکدام از محصولاتش دیگر این پروتکل را ساپورت نمی‌کنند. در حال حاضر یک پچ کرومیوم موجود است که می‌تواند پروتکل SSL 3.0 را غیر فعال می ‌کند.

کمپانی موزیلا نیز در واکنش به اخبار اخیر قصد دارد این پروتکل را در مرورگر فایرفاکس خاموش کند و در یکی از پست‌هایش عنوان کرده: «پروتکل SSL v3 به طور پیش‌فرض از فایرفاکس ورژن ۳۴ که در ۲۵ نوامبر به بازار اینترنت خواهد آمد غیرفعال می‌شود». کد غیرفعالسازی این پروتکل امشب توسط Nighty در دسترس خواهد بود.

هرکس مایل است پروتکل SSL 3.0 را همین الان غیرفعال کند می‌تواند با افزودن SSL Version Control به فایرفاکس این کار را انجام دهد.

پروتکل SSL3.0 در سال ۱۹۹۶ معرفی شد تا برقراری ارتباط را بدون ترس از استرلق سمع امکان‌پذیر کند چون اطلاعاتی که به اشتراک گذاشته می‌شود رمزگذاری شده است. وقتی یک کلاینت (مثل مرورگر، اپلیکیشن و غیره) به سرور پینگ می‌شود درگیر یک handshake امنیتی می‌شود که کلیدهایی را جهت رمزگذاری و رمزگشایی اطلاعاتی که رد و بدل می‌شود ایجاد می‌کند.

0 ۰ 14940 25 اکتبر, 2014 اخبار, کوتاه بیشتر

نوشته شده توسط سجاد بدیعی

04 جولای

پیش فروش گوشی ایمن محور بلک فون

بلک فون گوشی اندرویدی ایمن محوری است که در ماه ژانویه از موجودیت آن پرده برداری شد. گوشی بلک فون حاصل تلفیق کاری دو شرکت “سایلنت سرکل” که شرکت رمزگذار اطلاعات بود و مجری یک ارتباط ایمن بین پلت فرم های مختلف گوشی های هوشمند بود. این شرکت در لیست کارهای خود برنامه هایی چون “سایلنت فون” (رمزگذاری ارتباط تلفنی صدا و تصویر)، “سایلنت تکست” (رمزگذاری ارسال پیامک) و سایلنت میل را دارد. شرکت دیگری که در ساخت BlackPhone سهیم بوده، شرکت اسپانیایی گیکزفون است که شرکتی متعلق به سال ۲۰۰۹ است و در لیست کارهای خود محصولاتی بر پایه اندروید دارد که برخی هنوز عرضه نشده اند و برخی دیگر از دور تولید خارج شده اند. از جمله گوشی هایی که این شرکت قصد عرضه انها را دارد یکی بلک فون است و دیگری Revolution. حاصل تلفیق این دو شرکت، شرکتی با نام SGP Technologies شده است شرکتی که مسئولیت اجرا و عرضه بلک فون را برعهده دارد. حال این شرکت اسپانیایی اعلام کرده است (۱۱ تیر) که مشتریان و علاقه مندان به این گوشی ایمن محور می توانند آن را پیش خرید نمایند. پروسه پیش فروش بسیار زمان بر بوده چرا که در جریان کنگره MWC در بارسلونای اسپانیا قرار بود پیش فروش این گوشی از ماه فوریه شروع شود همچنین وعده داده شده بود که تحویل آنها در ماه آپریل خواهد بود.

0 ۰ 28330 04 جولای, 2014 اخبار, جهان بیشتر

نوشته شده توسط امین اشکوری

01 ژوئن

تلگرام: پیام رسانی مطمئن و سریع

پس از اینکه شنود و تجسس سازمان جاسوسی آمریکا (NSA) در تمامی حوزه‌های ارتباطی ما افشا شد، نسل جدیدی از اپلیکیشن‌ها پدیدار شدند که کانون توجه آن‌ها بر روی امنیت و رمزنگاری است. اپلیکیشن چت تلگرام یکی از تازه واردهای این حوزه است که خدمات ارتباطی غیرقابل شنود ارائه می‌کند که علاوه بر رمزنگاری و قابلیت چت مستقیم بدون دخالت هیچ سروری، سرعت تحویل پیام بالایی دارد.

تلگرام یک اپلیکیشن چت ساده است که از قابلیت‌های معمول مانند شکلک‌ها، چت گروهی و یکپارچگی با شبکه‌های اجتماعی دیگر را داراست. در حال حاضر تلگرام بر خلاف دیگر اپلیکیشن‌های بزرگ در این حوزه، از ارتباط صوتی و تصویری پشتیبانی نمی‌کند. اما یکی از مؤسسین آن ادعا کرده است به کسی که بتواند رمزنگاری تلگرام را بشکند ۲۰۰.۰۰۰ دلار جایزه خواهد داد. این نشان دهنده اعتماد بالای مؤسسین به الگوریتم رمزنگاری آن برای محرمانه نگه داشتن مکالمات کاربران است.

2 ۰ 81090 01 ژوئن, 2014 اپلیکیشن, معرفی بیشتر