حجت الاسلام والمسلمین حمید شهریاری معاون رییس قوه قضاییه و رییس مرکز آمار و فناوری اطلاعات قوه قضاییه، در خصوص آزمون نفوذ سامانهها و پایگاههای کلیه سازمانها و ارگانها، نکاتی را مطرح کرد.
وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها و نهادها توصیه کرد که از امنیت پایگاههای مورد استفاده خود مطمئن شوند.
شهریاری اضافه کرد: با توجه به ظرفیتی که به تائید این مرکز رسیده است از بستر محصولات امنیت داخلی، مانند کلاه سفید که جهت تست نفوذ و باگهای امنیتی طراحی شده است، کمک بگیرند.
معاون رئیس قوه قضاییه گفت: یکی از مهمترین عوامل موفقیت یک کسب و کار حفظ امنیت اطلاعات و کاهش ریسکهای امنیتی است. سامانه کلاه سفید بستری فراهم میآورد تا با حداقل هزینه، آسیبپذیریهای سامانه ها، کشف و برطرف شود.
رئیس مرکز آمار و فناوری قوه قضاییه تصریح کرد: سامانه کلاه سفید به نوعی طراحی شده که جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند و در صورت یافتن باگ، آن را اطلاع رسانی و در نهایت با همکاری داوران انتخابی از مرکز آپا دانشگاه صنعتی امیر کبیر، مهمترین باگها شناسایی و برگزیده میشوند و جوایزی به آنان اعطا میشود.
گفتنی است هکرهای سفید و نیز سازمانهای درخواست کننده برای بررسی امنیتی پایگاههای خود میتوانند جهت ثبت نام به نشانی https://www.kolahsefid.org که برای این فعالیت دارای مجوز رسمی از مقامات ذی صلاح است، مراجعه نمایند.
منبع:
https://fna.ir/bp0gw7
#news
#iran
#hackerone
#bugbounty
@sec_nerd
وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها و نهادها توصیه کرد که از امنیت پایگاههای مورد استفاده خود مطمئن شوند.
شهریاری اضافه کرد: با توجه به ظرفیتی که به تائید این مرکز رسیده است از بستر محصولات امنیت داخلی، مانند کلاه سفید که جهت تست نفوذ و باگهای امنیتی طراحی شده است، کمک بگیرند.
معاون رئیس قوه قضاییه گفت: یکی از مهمترین عوامل موفقیت یک کسب و کار حفظ امنیت اطلاعات و کاهش ریسکهای امنیتی است. سامانه کلاه سفید بستری فراهم میآورد تا با حداقل هزینه، آسیبپذیریهای سامانه ها، کشف و برطرف شود.
رئیس مرکز آمار و فناوری قوه قضاییه تصریح کرد: سامانه کلاه سفید به نوعی طراحی شده که جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند و در صورت یافتن باگ، آن را اطلاع رسانی و در نهایت با همکاری داوران انتخابی از مرکز آپا دانشگاه صنعتی امیر کبیر، مهمترین باگها شناسایی و برگزیده میشوند و جوایزی به آنان اعطا میشود.
گفتنی است هکرهای سفید و نیز سازمانهای درخواست کننده برای بررسی امنیتی پایگاههای خود میتوانند جهت ثبت نام به نشانی https://www.kolahsefid.org که برای این فعالیت دارای مجوز رسمی از مقامات ذی صلاح است، مراجعه نمایند.
منبع:
https://fna.ir/bp0gw7
#news
#iran
#hackerone
#bugbounty
@sec_nerd
خبرگزاری فارس
رییس مرکز آمار و فناوری اطلاعات قوه قضاییه: هکرهای سفید در مسابقه کشف باگ شرکت کنند
رییس مرکز آمار و فناوری اطلاعات قوه قضاییه گفت: جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، در سامانه کلاه سفید ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند.
پنج روش برای دستیابی به ادمین دامین در شبکه داخلی
https://medium.com/@adam.toscher/top-five-ways-i-got-domain-admin-on-your-internal-network-before-lunch-2018-edition-82259ab73aaa
#windows
#network
#pivoting
#privesc
@sec_nerd
https://medium.com/@adam.toscher/top-five-ways-i-got-domain-admin-on-your-internal-network-before-lunch-2018-edition-82259ab73aaa
#windows
#network
#pivoting
#privesc
@sec_nerd
Medium
Top Five Ways I Got Domain Admin on Your Internal Network before Lunch (2018 Edition)
Yes it’s still easy to get Domain Admin “before lunch” as it was when I first started.
امنیت اطلاعات
حجت الاسلام والمسلمین حمید شهریاری معاون رییس قوه قضاییه و رییس مرکز آمار و فناوری اطلاعات قوه قضاییه، در خصوص آزمون نفوذ سامانهها و پایگاههای کلیه سازمانها و ارگانها، نکاتی را مطرح کرد. وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها…
سلام
احتمالا امروز بعد از دیدن این خبر شما هم سری به وب سایت کلاه سفید (معادل ایرانی hackerone) زدید که شرکتها و سازمانها قراره که وب سایتهای خودشون رو در ازای پرداخت جایزه و بصورت قانونی در معرض آزمایشات نفوذگرانی که هویت اونها در فرم ثبت نام با اطلاعاتی مثل کدملی و شماره تماس مشخص میشه، قرار بدن.
حالا در یک چنین طرحی، شناسایی هویت واقعی افراد چقدر موضوعیت داره برای من جای سوال هست!
نکته بعدی درصدهایی هست که وبسایت کلاه سفید از مبالغ جایزه برای خودش برمیداره. اگر سازمان یا شرکت درخواست کننده کل مبلغ رو یکجا قبل از شروع مسابقه پرداخت کنه، کلاه سفید ده درصد برمیداره!
اگر ۵۰ درصد رو بده کلاه سفید ۱۸ درصد کارمزد میگیره و اگر ۲۵ درصد رو شرکت پرداخت کنه کلاه سفید کل اون ۲۵ درصد رو بعنوان کارمزد برمیداره (حالا شما منطق این مقادیر رو اگر متوجه شدید به ما هم بگید)
خوب تا حالا تعداد شرکتها و سازمانهای درخواست دهنده دو رقمی نشده و روی ۹ تا مونده که امیدواریم اطلاعیه امروز قوه قضاییه (که خودش هم پیشقدم شده و ۴ میلیون هم جایزه گذاشته) یکمی رونق بده به این مسابقات.
خوب برای همین رقابتی که درگاه ملی قوه قضاییه هدف اون هست به آسیب پذیری از نوع RCE یک میلیون تومن و LFD و اینجکت هم ۵۰۰ هزار تومن پرداخت میشه و الی آخر که بعد از XSS دیگه مبلغ پرداختی در یک بازه قرار میگیره و به نوعی به تشخیص کارشناس کلاه سفید پول پرداخت میشه! (در هکر وان دسته بندی ها کمی متفاوت هست و در گروه های high و medium و .. جوایز از قبل بصورت دقیق مشخص هستن)
در بخش وضعیت گزارشات اما هنوز جای کار وجود داره. در هکر وان هکر میتونه ریپورت خودش رو با حفظ موارد امنیتی که برای شرکت مورد نظر مشکلی ایجاد نکنه و بعد از فیکس شدن مشکل، منتشر کنه و جزییاتی رو که بدست آورده به اشتراک بگذاره و این برای معرفی توانایی های هکر بصورت حرفه ای و احتمال بدست آوردن موقعیت های شغلی مناسب، مفید هست.
در خیلی از گزارشات کلاه سفید با عبارت Access Control Bugs به عنوان یک باگ برخورد میکنید که هیچ ایده ای به شما در خصوص اینکه مشکل چی بوده، نمیده!
علیرغم اینکه مبالغ جوایز برای باگهایی مثل RCE و SQLi کم هست ولی امیدواریم با ورود وبسایتها و سازمانهای بزرگ به این کارزار، شاهد پیشرفت امنیت سامانه های کشور باشیم.
#iran
@sec_nerd
احتمالا امروز بعد از دیدن این خبر شما هم سری به وب سایت کلاه سفید (معادل ایرانی hackerone) زدید که شرکتها و سازمانها قراره که وب سایتهای خودشون رو در ازای پرداخت جایزه و بصورت قانونی در معرض آزمایشات نفوذگرانی که هویت اونها در فرم ثبت نام با اطلاعاتی مثل کدملی و شماره تماس مشخص میشه، قرار بدن.
حالا در یک چنین طرحی، شناسایی هویت واقعی افراد چقدر موضوعیت داره برای من جای سوال هست!
نکته بعدی درصدهایی هست که وبسایت کلاه سفید از مبالغ جایزه برای خودش برمیداره. اگر سازمان یا شرکت درخواست کننده کل مبلغ رو یکجا قبل از شروع مسابقه پرداخت کنه، کلاه سفید ده درصد برمیداره!
اگر ۵۰ درصد رو بده کلاه سفید ۱۸ درصد کارمزد میگیره و اگر ۲۵ درصد رو شرکت پرداخت کنه کلاه سفید کل اون ۲۵ درصد رو بعنوان کارمزد برمیداره (حالا شما منطق این مقادیر رو اگر متوجه شدید به ما هم بگید)
خوب تا حالا تعداد شرکتها و سازمانهای درخواست دهنده دو رقمی نشده و روی ۹ تا مونده که امیدواریم اطلاعیه امروز قوه قضاییه (که خودش هم پیشقدم شده و ۴ میلیون هم جایزه گذاشته) یکمی رونق بده به این مسابقات.
خوب برای همین رقابتی که درگاه ملی قوه قضاییه هدف اون هست به آسیب پذیری از نوع RCE یک میلیون تومن و LFD و اینجکت هم ۵۰۰ هزار تومن پرداخت میشه و الی آخر که بعد از XSS دیگه مبلغ پرداختی در یک بازه قرار میگیره و به نوعی به تشخیص کارشناس کلاه سفید پول پرداخت میشه! (در هکر وان دسته بندی ها کمی متفاوت هست و در گروه های high و medium و .. جوایز از قبل بصورت دقیق مشخص هستن)
در بخش وضعیت گزارشات اما هنوز جای کار وجود داره. در هکر وان هکر میتونه ریپورت خودش رو با حفظ موارد امنیتی که برای شرکت مورد نظر مشکلی ایجاد نکنه و بعد از فیکس شدن مشکل، منتشر کنه و جزییاتی رو که بدست آورده به اشتراک بگذاره و این برای معرفی توانایی های هکر بصورت حرفه ای و احتمال بدست آوردن موقعیت های شغلی مناسب، مفید هست.
در خیلی از گزارشات کلاه سفید با عبارت Access Control Bugs به عنوان یک باگ برخورد میکنید که هیچ ایده ای به شما در خصوص اینکه مشکل چی بوده، نمیده!
علیرغم اینکه مبالغ جوایز برای باگهایی مثل RCE و SQLi کم هست ولی امیدواریم با ورود وبسایتها و سازمانهای بزرگ به این کارزار، شاهد پیشرفت امنیت سامانه های کشور باشیم.
#iran
@sec_nerd
گری دیویس ایرلندی که با نام Libertas نیز شناخته میشود به ۲۰ سال زندان محکوم شد!
گری ادمین وبسایت Silk Road (جاده ابریشم) در دارک نت بود. این وبسایت بزرگترین وبسایت فروش مواد مخدر در جهان بود که در سال ۲۰۱۳ توسط FBI از خط خارج شد و همچنین حساب بیت کوین به میزان ۳۳.۶ میلیون دلار نیز توسط FBI تصاحب شد.
موسس این سایت که Ross William نام داشت در سال ۲۰۱۳ به حبس ابد محکوم شده بود.
منبع:
https://www.hackread.com/silk-road-admin-pleads-guilty-20-years-jail-time/
#news
#darknet
#silkroad
#drugs
#usa
@sec_nerd
گری ادمین وبسایت Silk Road (جاده ابریشم) در دارک نت بود. این وبسایت بزرگترین وبسایت فروش مواد مخدر در جهان بود که در سال ۲۰۱۳ توسط FBI از خط خارج شد و همچنین حساب بیت کوین به میزان ۳۳.۶ میلیون دلار نیز توسط FBI تصاحب شد.
موسس این سایت که Ross William نام داشت در سال ۲۰۱۳ به حبس ابد محکوم شده بود.
منبع:
https://www.hackread.com/silk-road-admin-pleads-guilty-20-years-jail-time/
#news
#darknet
#silkroad
#drugs
#usa
@sec_nerd
HackRead
Silk Road Admin Pleads Guilty- Might Receive 20 Years Jail Time
It was long time coming.
اسکنر و اکسپلویت کننده باگ های آپلود فایل
https://github.com/almandin/fuxploider
#web
#pentest
#file_upload
@sec_nerd
https://github.com/almandin/fuxploider
#web
#pentest
#file_upload
@sec_nerd
👍1
نسخه رسمی tor browser برای اندروید منتشر شد
https://play.google.com/store/apps/details?id=org.torproject.torbrowser_alpha
#tor
#android
#darknet
@sec_nerd
https://play.google.com/store/apps/details?id=org.torproject.torbrowser_alpha
#tor
#android
#darknet
@sec_nerd
گوگل سرویس شبکه اجتماعی خود یعنی گوگل پلاس را از خط خارج میکند!
این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است.
این خبر توسط بن اسمیت، کارمند و معاون بخش مهندسی گوگل اعلام شده است. وی افزود اپلیکیشن های ثالث با استفاده از این باگ توانسته اند اطلاعات خصوصی کاربران را بدست آورند.
این اطلاعات خصوصی شامل نام، ایمیل، شغل، جنسیت، سن، نام نمایشی و تاریخ تولد بوده است.
این باگ از مارس ۲۰۱۷ برطرف شده است اما احتمال وجود آن از سال ۲۰۱۵ در سرویس گوگل پلاس میرود.
اسمیت گفت طی ده ماه آینده (آگوست ۲۰۱۹) این سرویس تعطیل خواهد شد و کاربران تا آن زمان فرصت دارند اطلاعات خود را دانلود کنند.
https://www.blog.google/technology/safety-security/project-strobe/
https://www.zdnet.com/article/google-shuts-down-google-after-api-bug-exposed-details-for-over-500000-users/
#news
#google
#breach
@sec_nerd
این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است.
این خبر توسط بن اسمیت، کارمند و معاون بخش مهندسی گوگل اعلام شده است. وی افزود اپلیکیشن های ثالث با استفاده از این باگ توانسته اند اطلاعات خصوصی کاربران را بدست آورند.
این اطلاعات خصوصی شامل نام، ایمیل، شغل، جنسیت، سن، نام نمایشی و تاریخ تولد بوده است.
این باگ از مارس ۲۰۱۷ برطرف شده است اما احتمال وجود آن از سال ۲۰۱۵ در سرویس گوگل پلاس میرود.
اسمیت گفت طی ده ماه آینده (آگوست ۲۰۱۹) این سرویس تعطیل خواهد شد و کاربران تا آن زمان فرصت دارند اطلاعات خود را دانلود کنند.
https://www.blog.google/technology/safety-security/project-strobe/
https://www.zdnet.com/article/google-shuts-down-google-after-api-bug-exposed-details-for-over-500000-users/
#news
#breach
@sec_nerd
Google
Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+
Findings and actions from Project Strobe—a root-and-branch review of third-party developer access to Google account and Android device data and of our philosophy around apps’ data access.
امنیت اطلاعات
گوگل سرویس شبکه اجتماعی خود یعنی گوگل پلاس را از خط خارج میکند! این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است. این خبر توسط بن اسمیت،…
نظر شخصی:
گوگل پلاس در برابر فیسبوک و توییتر هرگز فرصت خودنمایی پیدا نکرد و حذف این سرویس از خدمات گوگل شوک چندان بزرگی برای فضای مجازی به حساب نمیاد.
نظر یکی از کاربران توییتر در این خصوص جالب هست:
Google+ is shutting down.
This is like when a band announces they’re splitting up and your first reaction is, “oh, didn’t realise they were still going”
«مثل این هست که یک باند موسیقی اعلام میکنه که داره منحل میشه و اولین واکنش شما اینه : اوه، نمیدونستم هنوز هم داشتن کار میکردن!»
#news
#google
@sec_nerd
گوگل پلاس در برابر فیسبوک و توییتر هرگز فرصت خودنمایی پیدا نکرد و حذف این سرویس از خدمات گوگل شوک چندان بزرگی برای فضای مجازی به حساب نمیاد.
نظر یکی از کاربران توییتر در این خصوص جالب هست:
Google+ is shutting down.
This is like when a band announces they’re splitting up and your first reaction is, “oh, didn’t realise they were still going”
«مثل این هست که یک باند موسیقی اعلام میکنه که داره منحل میشه و اولین واکنش شما اینه : اوه، نمیدونستم هنوز هم داشتن کار میکردن!»
#news
@sec_nerd
دور زدن WAF با استفاده از افزونه Hackvertor در burpsuite
https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor
#web
#pentest
#waf
#burpsuite
@sec_nerd
https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor
#web
#pentest
#waf
#burpsuite
@sec_nerd
ابزار Cutter که یک رابط کاربری مناسب برای radare2 می باشد. رادار۲ ابزاری برای مهندسی معکوس است.
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
ایجاد و اجرای سرویس های مخفی onion با استفاده از داکر
(وب سرور nginx)
https://github.com/opsxcq/docker-tor-hiddenservice-nginx
#tor
#onion
#docker
@sec_nerd
(وب سرور nginx)
https://github.com/opsxcq/docker-tor-hiddenservice-nginx
#tor
#onion
#docker
@sec_nerd
GitHub
GitHub - opsxcq/docker-tor-hiddenservice-nginx: Easily setup a hidden service inside the Tor network
Easily setup a hidden service inside the Tor network - opsxcq/docker-tor-hiddenservice-nginx
هکرهای گروه تپندگان که با نفوذ به مانیتورهای فرودگاه مشهد و تبریز شناخته میشوند توسط پلیس فتا شناسایی و دستگیر شدند.
سردار سید کمال هادیان فر با بیان این خبر اعلام کرد هکرهای مورد اشاره تحویل مقام قضایی شده اند.
منبع:
https://www.seratnews.com/fa/news/434725/%D8%AF%D8%B3%D8%AA%DA%AF%DB%8C%D8%B1%DB%8C-%D8%B9%D8%A7%D9%85%D9%84%D8%A7%D9%86-%D8%AD%D9%85%D9%84%D9%87-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B4%D8%B1%DA%A9%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%81%D8%B1%D9%88%D8%AF%DA%AF%D8%A7%D9%87%DB%8C-%D9%85%D8%B4%D9%87%D8%AF-%D9%88-%D8%AA%D8%A8%D8%B1%DB%8C%D8%B2
#news
#iran
#fata
@sec_nerd
سردار سید کمال هادیان فر با بیان این خبر اعلام کرد هکرهای مورد اشاره تحویل مقام قضایی شده اند.
منبع:
https://www.seratnews.com/fa/news/434725/%D8%AF%D8%B3%D8%AA%DA%AF%DB%8C%D8%B1%DB%8C-%D8%B9%D8%A7%D9%85%D9%84%D8%A7%D9%86-%D8%AD%D9%85%D9%84%D9%87-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B4%D8%B1%DA%A9%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%81%D8%B1%D9%88%D8%AF%DA%AF%D8%A7%D9%87%DB%8C-%D9%85%D8%B4%D9%87%D8%AF-%D9%88-%D8%AA%D8%A8%D8%B1%DB%8C%D8%B2
#news
#iran
#fata
@sec_nerd
صراط نیوز | Seratnews.com
دستگیری عاملان حمله سایبری به شرکتهای فرودگاهی مشهد و تبریز
رئیس پلیس فتا به عملکرد این پلیس در حوزه سکه و مبارزه با التهابآفرینان پرداخت و اظهار داشت: هزار و ۳۸۱ سایت و کانال و گروه شناسایی شدند.
Forwarded from vulners
By the Way: MicroTik RouterOS < 6.43rc3 - Remote Root public exploit
By the Way is an exploit coded in C++ that enables a root shell on Mikrotik devices running RouterOS versions:
Longterm: 6.30.1 - 6.40.7
Stable: 6.29 - 6.42
Beta: 6.29rc1 - 6.43rc3
The exploit leverages the path traversal vulnerability CVE-2018-14847 to extract the admin password and create an "option" package to enable the developer backdoor. Post exploitation the attacker can connect to Telnet or SSH using the root user "devel" with the admin's password.
Download exploit!
By the Way is an exploit coded in C++ that enables a root shell on Mikrotik devices running RouterOS versions:
Longterm: 6.30.1 - 6.40.7
Stable: 6.29 - 6.42
Beta: 6.29rc1 - 6.43rc3
The exploit leverages the path traversal vulnerability CVE-2018-14847 to extract the admin password and create an "option" package to enable the developer backdoor. Post exploitation the attacker can connect to Telnet or SSH using the root user "devel" with the admin's password.
Download exploit!
حمله به سازوکارهای قدیمی رمزنگاری در اپلیکیشن های ColdFusion
https://www.synacktiv.com/posts/pentest/coldfusion-cfmx_compat-lolcryption.html
#coldfusion
#adobe
#java
@sec_nerd
https://www.synacktiv.com/posts/pentest/coldfusion-cfmx_compat-lolcryption.html
#coldfusion
#adobe
#java
@sec_nerd
رایت آپ بالابردن سطح دسترسی در سرویس AWS
https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/
#writeup
#amazon
#aws
#privesc
@sec_nerd
https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/
#writeup
#amazon
#aws
#privesc
@sec_nerd
Rhino Security Labs
AWS IAM Privilege Escalation – Methods and Mitigation
At Rhino Security Labs, our focus is AWS penetration testing and AWS security research. This AWS IAM shows privilege escalation in AWS and other clouds.
یک روس دیگر در لندن به قتل رسید.
نیکولای گلاشکف ۶۸ ساله که جزو اپوزیسیون دولت روسیه است در خانه خودش با قلاده ی سگ کشته شد. در رسانه های روس مرگ این فرد با دلیل «as a homosexual tryst gone wrong» منتشر شده است.
یک ون مشکی رنگ پیش از حادثه در مقابل منزل گلاشکف دیده شده.
پس از قتل اسکریپال، این دومین قتل مشکوک یک روس در انگلیس است!
https://www.wsj.com/articles/a-trio-of-wealthy-russians-made-an-enemy-of-putin-now-theyre-all-dead-1539181416
tryst: ملاقات عاشقانه
#news
#russia
#uk
@sec_nerd
نیکولای گلاشکف ۶۸ ساله که جزو اپوزیسیون دولت روسیه است در خانه خودش با قلاده ی سگ کشته شد. در رسانه های روس مرگ این فرد با دلیل «as a homosexual tryst gone wrong» منتشر شده است.
یک ون مشکی رنگ پیش از حادثه در مقابل منزل گلاشکف دیده شده.
پس از قتل اسکریپال، این دومین قتل مشکوک یک روس در انگلیس است!
https://www.wsj.com/articles/a-trio-of-wealthy-russians-made-an-enemy-of-putin-now-theyre-all-dead-1539181416
tryst: ملاقات عاشقانه
#news
#russia
#uk
@sec_nerd
WSJ
A Trio of Wealthy Russians Made an Enemy of Putin. Now They’re All Dead.
Nikolai Glushkov, a close associate of the late oligarch Boris Berezovsky, was preparing to testify that Aeroflot was a corrupt instrument of Russian intelligence. Then, on the eve of his court date, he was strangled to death with a dog leash.
احتمالا خبر جنجالی جاسوسی چینی ها از کمپانی های بزرگ امریکایی مانند اپل و آمازون، بوسیله چیپ های جاسوسی که بر روی مادربرد سرورها قرار داده بودند را شنیده اید.
بلومبرگ گزارش داد که سخت افزارهای آلوده توسط مخابرات امریکا شناسایی و از سرورها جدا شده اند اما Motherboard در بررسی های خود از ۱۰ شرکت زیرساختی امریکا به جوابی دست نیافت و همه ی آنها آلوده شدن سیستم های خود را تکذیب کردند.
اما طبق اعلام های بعدی بلومبرگ مشخص شد که این چیپ های جاسوسی بر روی مادربردهای ساخت شرکت سوپرمیکرو قرار گرفته اند و این مادربرد توسط شرکتهای مختلف امریکایی از جمله اپل و آمازون مورد استفاده قرار گرفته.
نکته مبهم اما اینجاست که George Stathakopoulos مسئول امنیت اطلاعات شرکت اپل گفت هیچ اثری از چیپ های آلوده در تجهیزات اپل یافت نشده است! اپل هیچگاه اطلاعی به FBI در این خصوص نداده و FBI نیز ارتباطی با اپل در این خصوص برقرار نکرده است.
پس از انتشار خبرهای ضد و نقیض هر سه شرکت اپل، آمازون و سوپرمیکرو بشدت اخبار منتشر شده را تکذیب کردند و سپس مرکز NCSC انگلیس که بازوی دفاعی آژانس GCHQ به حساب می آید، با انتشار بیانیه ای تاکید کرد که هیچ دلیلی برای تکذیب گفته های این سه شرکت وجود ندارد، اما بلومبرگ کماکان اصرار دارد که این خبر صحت داشته و مدارکی نیز برای اثبات آن در دست دارد.
جزییات بیشتر را در لینک زیر بخوانید:
https://motherboard.vice.com/en_us/article/qv9npv/bloomberg-china-supermicro-apple-hack
نظر نویسنده:
نکته جالب این اخبار این است که نویسنده هردو مطلب در بلومبرگ یک نفر است و احتمال سیاسی بودن این اتهامات، با توجه به اختلافات اخیر مابین چین و ایالات متحده وجود دارد. تجربه های قبلی از اتهاماتی که ایالات متحده به سمت کشورهای مخالف خودش روانه میکند، این بازی را به یک الگوی تکراری تبدیل کرده است.
از جمله کشف گروه های هکری دولتی (apt) در برحه های زمانی خاص از کشورهای کره شمالی، روسیه، ایران و اخیرا هم چین. پیش از این کسپرسکای نیز آماج اتهامات امریکا قرار گرفت و این اتهامات اگرچه ممکن است در اقتصاد تاثیر مستقیمی نداشته باشد اما ایجاد جو روانی علیه محصولات یک کشور، مخصوصا در بخش حریم خصوصی، ممکن است تاثیر روانی غیرمستقیمی بر میزان مشارکت چینی ها در بازار امریکا بگذارد.
#news
#usa
#china
#apple
#amazon
@sec_nerd
بلومبرگ گزارش داد که سخت افزارهای آلوده توسط مخابرات امریکا شناسایی و از سرورها جدا شده اند اما Motherboard در بررسی های خود از ۱۰ شرکت زیرساختی امریکا به جوابی دست نیافت و همه ی آنها آلوده شدن سیستم های خود را تکذیب کردند.
اما طبق اعلام های بعدی بلومبرگ مشخص شد که این چیپ های جاسوسی بر روی مادربردهای ساخت شرکت سوپرمیکرو قرار گرفته اند و این مادربرد توسط شرکتهای مختلف امریکایی از جمله اپل و آمازون مورد استفاده قرار گرفته.
نکته مبهم اما اینجاست که George Stathakopoulos مسئول امنیت اطلاعات شرکت اپل گفت هیچ اثری از چیپ های آلوده در تجهیزات اپل یافت نشده است! اپل هیچگاه اطلاعی به FBI در این خصوص نداده و FBI نیز ارتباطی با اپل در این خصوص برقرار نکرده است.
پس از انتشار خبرهای ضد و نقیض هر سه شرکت اپل، آمازون و سوپرمیکرو بشدت اخبار منتشر شده را تکذیب کردند و سپس مرکز NCSC انگلیس که بازوی دفاعی آژانس GCHQ به حساب می آید، با انتشار بیانیه ای تاکید کرد که هیچ دلیلی برای تکذیب گفته های این سه شرکت وجود ندارد، اما بلومبرگ کماکان اصرار دارد که این خبر صحت داشته و مدارکی نیز برای اثبات آن در دست دارد.
جزییات بیشتر را در لینک زیر بخوانید:
https://motherboard.vice.com/en_us/article/qv9npv/bloomberg-china-supermicro-apple-hack
نظر نویسنده:
نکته جالب این اخبار این است که نویسنده هردو مطلب در بلومبرگ یک نفر است و احتمال سیاسی بودن این اتهامات، با توجه به اختلافات اخیر مابین چین و ایالات متحده وجود دارد. تجربه های قبلی از اتهاماتی که ایالات متحده به سمت کشورهای مخالف خودش روانه میکند، این بازی را به یک الگوی تکراری تبدیل کرده است.
از جمله کشف گروه های هکری دولتی (apt) در برحه های زمانی خاص از کشورهای کره شمالی، روسیه، ایران و اخیرا هم چین. پیش از این کسپرسکای نیز آماج اتهامات امریکا قرار گرفت و این اتهامات اگرچه ممکن است در اقتصاد تاثیر مستقیمی نداشته باشد اما ایجاد جو روانی علیه محصولات یک کشور، مخصوصا در بخش حریم خصوصی، ممکن است تاثیر روانی غیرمستقیمی بر میزان مشارکت چینی ها در بازار امریکا بگذارد.
#news
#usa
#china
#apple
#amazon
@sec_nerd
Vice
The Cybersecurity World Is Debating WTF Is Going on With Bloomberg’s Chinese Microchip Stories
No one is really sure who to believe after Businessweek's bombshell story on an alleged Chinese supply chain attack against Apple, Amazon, and others.