OWASP ASVS-v3.pdf
2.2 MB
استاندارد بررسی امنیت نرم افزار OWASP 3.0.1 (ترجمه مرکز آپا دانشگاه فردوسی مشهد)
راهنمای برنامه نویسی امن
#developer #programming
#security #owasp @unixmens
#book
راهنمای برنامه نویسی امن
#developer #programming
#security #owasp @unixmens
#book
ویژکی جدید کرنل 4.10 :
Linux Kernel 4.10 Released With New Features And Updated Drivers
Fail fast support
Writeback throttling
AMDGPU DRM driver fixes, ADM Zen code mainlined
Nvidia DRM driver improvement
Intel Turbo Boost Max 3.0 and Intel Cache Allocation support
New ARM platforms support
Intel Graphics Virtualization Technology support
Better Raspberry Pi 3 and Surface 3 support
Encryption support in UBIFS
Faster WLAN
Early Tegra P1/Parker support
#linux #kernel @unixmens
Linux Kernel 4.10 Released With New Features And Updated Drivers
Fail fast support
Writeback throttling
AMDGPU DRM driver fixes, ADM Zen code mainlined
Nvidia DRM driver improvement
Intel Turbo Boost Max 3.0 and Intel Cache Allocation support
New ARM platforms support
Intel Graphics Virtualization Technology support
Better Raspberry Pi 3 and Surface 3 support
Encryption support in UBIFS
Faster WLAN
Early Tegra P1/Parker support
#linux #kernel @unixmens
پرل چیست؟
پرل زبان برنامهنویسی تفسیری و سطح بالا ، شیگرا و یک زبان سمت سرور قدرتمند است که در آزمایشگاه Jet Propulsion ناسا توسط لری وال در سال ۱۹۸۷ طراحی شد. زبان پرل بطور وسیعی ساختار خود را از زبان C , و بعضی از خصوصیات خود را مدیون زبانهای : AWK , LISP , SED , SH می باشد .
● كاربرد پرل
پرل را امروزه در زمینه های هوش مصنوعی–ژنتیك –نظامی –تحقیقاتی – صنعتی و بطور گسترده ای در اینترنت میتوان یافت .
نوشتن یك: بانك اطلاعاتی – صفحه گسترده – سیستم عامل – و یا یك وب سرور شاید عاقلانه به نظر نرسد ولی در پرل امكانپذیر است .
زبان پرل قدرت بسیاری در پردازش متن دارد بطور مثال میتواند یك رشته را ایجاد و به عنوان یك فرمان سیستمی اجرا كند
در هر جایی که بتوان زبان های برنامه نویسی دیگری را بکار برد از پرل نیز میتوان استفاده کرد.
پرل سر نام کلمات زیر است: perl: Practical Extraction and Report Language
پرل به طور غالب متاثر از زبان برنامه نویسی قدرتمند C میباشد و کمتر از آن متاثر از sed,awk و شل یونیکس میباشد.
پرل ایده آل برای کار با فایلهای متنی(ویرایش . تنظیم . مدیریت) و تنظیم و گزارشگیری از وظایف و همچنین کار های شبکه ای و کار با HTML و نمایش صفحات وب میباشد.
البته فراموش نکنید که در موارد دیگری مثل system management tasks, database access , Graphical Programming , AI نیز کاربرد دارد.
آیا یادگیری پرل سخت است؟
خیر.پرل زبانی آسان برای شروع به یادگیری برنامه نویسی است و اگر شما سابقه برنامه نویسی با C یا sed , awk و یا حتی سابقه کار با BASIC را دارید نیمی از راه را رفته اید.
یادگیری پرل مانند اقیانوسی است که عمق کمی دارد که برای یادگیری کار را راحت میکند اما اگر بخواهید یک برنامه واقعی کارا با پرل بنویسید باید کل این اقیانوس را سفر کرده باشید و این مستلزم سالها تلاش فراوان است.
چیزی که یادگیری پرل را راحت میکند سابقه کار با سیستم عامل یونیکس است و همچنین تجربه کار با یک زبان برنامه نویسی دیگر . توانایی فهم قوانین دستورات و همچنین توانایی خواندن کد دیگران است.
پرل زبانی مستقل از سکو میباشد. بدین معنا که شما میتوانید با اندکی تغییر در ساختار برنامه خود آنها را در سکوهای مختلف اجرا کنید.
پرل هم اکنون در سکوهای: یونیکس (لینوکس . سولاریس . Free BSD و ...) . مکینتاش و همچنین ویندوز اجرا میشود.
نکته کوچکی که میتوان به آن اشاره کرد این است که نام این زبان برنامه نویسی perl است و همچنین نام مفسر این زبان نیز perl است و به عنوان مثال مانند زبان C که کامپایلر های مختلفی دارد نمیباشد پس این دو را اشتباه نگیرید.
چرا برای برنامه نویسی از پرل استفاده میکنیم؟ چرا C نه؟
۱:اولین دلیل این است که از سی خوشمان نمی آید!!! سی نسبت به پرل خیلی دست و پاگیرتر است و حجم کدنویسی آن بیشتر از پرل است.
۲:همیشه بیشتر از یک راه برای انجام کاری در پرل است!
۳:همیشه منابع آنلاین بزرگ و آماده ای وجود دارد که بتوان با استفاده از راهنمایی آنها کار را پیش برد. همیشه شما کدی برای حل مشکلتان در اینترنت پیدا خواهید کرد. پس چرا باید دوباره چرخ را اختراع کرد؟؟؟!!!!
۴:پرل زبانی مفسر دار است و برعکس زبانهای کامپایلر دار وقتی برای کامپایل کردن اون تلف نمیکنید.
۵:پرل به معنای واقعی زبانی مستقل از سکو است و برای این که آن را در سکوهای مختلف مورد استفاده قرار دهیم دچار دردسر نمیشویم ولی در سی شما کامپایلر های مختلفی دارید و بازهم باید اندکی تغییرات در ساختار برنامه بدهید.
۶ : از آنجاییکه پرل نسبت به سی دسترسی مستقیم به حافظه ندارد. بنابراین خطاهای buffer overflow کمتری شاهد هستیم.
۷:پرل Open Source است اما C نه.
و غیره...
#perl #پرل @unixmens
پرل زبان برنامهنویسی تفسیری و سطح بالا ، شیگرا و یک زبان سمت سرور قدرتمند است که در آزمایشگاه Jet Propulsion ناسا توسط لری وال در سال ۱۹۸۷ طراحی شد. زبان پرل بطور وسیعی ساختار خود را از زبان C , و بعضی از خصوصیات خود را مدیون زبانهای : AWK , LISP , SED , SH می باشد .
● كاربرد پرل
پرل را امروزه در زمینه های هوش مصنوعی–ژنتیك –نظامی –تحقیقاتی – صنعتی و بطور گسترده ای در اینترنت میتوان یافت .
نوشتن یك: بانك اطلاعاتی – صفحه گسترده – سیستم عامل – و یا یك وب سرور شاید عاقلانه به نظر نرسد ولی در پرل امكانپذیر است .
زبان پرل قدرت بسیاری در پردازش متن دارد بطور مثال میتواند یك رشته را ایجاد و به عنوان یك فرمان سیستمی اجرا كند
در هر جایی که بتوان زبان های برنامه نویسی دیگری را بکار برد از پرل نیز میتوان استفاده کرد.
پرل سر نام کلمات زیر است: perl: Practical Extraction and Report Language
پرل به طور غالب متاثر از زبان برنامه نویسی قدرتمند C میباشد و کمتر از آن متاثر از sed,awk و شل یونیکس میباشد.
پرل ایده آل برای کار با فایلهای متنی(ویرایش . تنظیم . مدیریت) و تنظیم و گزارشگیری از وظایف و همچنین کار های شبکه ای و کار با HTML و نمایش صفحات وب میباشد.
البته فراموش نکنید که در موارد دیگری مثل system management tasks, database access , Graphical Programming , AI نیز کاربرد دارد.
آیا یادگیری پرل سخت است؟
خیر.پرل زبانی آسان برای شروع به یادگیری برنامه نویسی است و اگر شما سابقه برنامه نویسی با C یا sed , awk و یا حتی سابقه کار با BASIC را دارید نیمی از راه را رفته اید.
یادگیری پرل مانند اقیانوسی است که عمق کمی دارد که برای یادگیری کار را راحت میکند اما اگر بخواهید یک برنامه واقعی کارا با پرل بنویسید باید کل این اقیانوس را سفر کرده باشید و این مستلزم سالها تلاش فراوان است.
چیزی که یادگیری پرل را راحت میکند سابقه کار با سیستم عامل یونیکس است و همچنین تجربه کار با یک زبان برنامه نویسی دیگر . توانایی فهم قوانین دستورات و همچنین توانایی خواندن کد دیگران است.
پرل زبانی مستقل از سکو میباشد. بدین معنا که شما میتوانید با اندکی تغییر در ساختار برنامه خود آنها را در سکوهای مختلف اجرا کنید.
پرل هم اکنون در سکوهای: یونیکس (لینوکس . سولاریس . Free BSD و ...) . مکینتاش و همچنین ویندوز اجرا میشود.
نکته کوچکی که میتوان به آن اشاره کرد این است که نام این زبان برنامه نویسی perl است و همچنین نام مفسر این زبان نیز perl است و به عنوان مثال مانند زبان C که کامپایلر های مختلفی دارد نمیباشد پس این دو را اشتباه نگیرید.
چرا برای برنامه نویسی از پرل استفاده میکنیم؟ چرا C نه؟
۱:اولین دلیل این است که از سی خوشمان نمی آید!!! سی نسبت به پرل خیلی دست و پاگیرتر است و حجم کدنویسی آن بیشتر از پرل است.
۲:همیشه بیشتر از یک راه برای انجام کاری در پرل است!
۳:همیشه منابع آنلاین بزرگ و آماده ای وجود دارد که بتوان با استفاده از راهنمایی آنها کار را پیش برد. همیشه شما کدی برای حل مشکلتان در اینترنت پیدا خواهید کرد. پس چرا باید دوباره چرخ را اختراع کرد؟؟؟!!!!
۴:پرل زبانی مفسر دار است و برعکس زبانهای کامپایلر دار وقتی برای کامپایل کردن اون تلف نمیکنید.
۵:پرل به معنای واقعی زبانی مستقل از سکو است و برای این که آن را در سکوهای مختلف مورد استفاده قرار دهیم دچار دردسر نمیشویم ولی در سی شما کامپایلر های مختلفی دارید و بازهم باید اندکی تغییرات در ساختار برنامه بدهید.
۶ : از آنجاییکه پرل نسبت به سی دسترسی مستقیم به حافظه ندارد. بنابراین خطاهای buffer overflow کمتری شاهد هستیم.
۷:پرل Open Source است اما C نه.
و غیره...
#perl #پرل @unixmens
پرل به عنوان یك زبان قابل حمل
جالب است بدانید نرم افزاری كه شما تحت سیستم عامل LINUX و یا MAC نوشته اید به طور قطع روی سیستم عامل WINDOWS و UNIX هم اجرا میشود. مفسر پرل متن برنامه را خوانده و همزمان تفسیر کرده و اجرا می کند . در حال حاضر پرل را در بیش از 40 سیستم عامل میتوان بكار گرفت و كتابخانه CPAN بیش از ۱۱۰۰۰ مازول را با كد منبع در اختیار تان می گذارد كه روزانه به این تعداد افزوده میشود.
● پرل و برنامه های ۳ بعدی
گستره استفاده پرل به عنوان زبانی برای ایجاد برنامه های ۳ بعدی تا حدی است كه تا چندی پیش متخصصین Graphcomp در تستی زبان C و PERL را برای اجرای برنامه ۳ بعدی بر روی ۳ سیستم عامل متفاوت : VISTA , UBUNTU , FEDORA با سخت افزار یكسان به كار گرفتند. در این میان پرل توانست با استفاده بهینه از منابع سیستم برتری خود را در این زمینه اثبات كند . نتایج تست Graphcomp : https://graphcomp.com/pogl.cgi?v=۰۱۱۱s۳m۳
● پرل و CGI
با پا به عرصه گذاشتن CGI به صفحات وب زبان پرل به خاطر قدرت بالا در پردازش متن و تطبیق الگو (Regular Expressions) در جمله زبانهایی قرار گرفت كه بطور وسیعی برای نوشتن CGI بكار گرفته میشود . در این میان وب سایت های پر ترافیك مانند :Livejournal.com, Ticketmaster.com Amzon.com , IMDB.com, از زبان پرل استفاده میكنند.
● پرل و شبكه
به خاطر قدرت بسیار پرل درزمینه برنامه نویسی سیستمهای شبكه بسیاری از متخصصین شبكه و هكرها از این قافله عقب نمانده و امروزه شاهد این هستیم كه بسیاری از برنامه های : مدیریت شبكه , سیستم های Spidering , و Exploite ها به زبان پرل نوشته میشود.
● پرل به عنوان یك زبان چسبنده (Glue Language)
پرل به عنوان یك زبان چسبنده می تواند در زبان های دیگر مورد استفاده قرار گیرد . یكی از جالبترین نكات یك برنامه مكمل پرل به نام VisualPerl هست كه به بسته NET. مایكروسافت میچسبد و شما در كنار ASP.NET میتونید با پرل نیز یرنامه نویسی كنید. به طور مثال می توانید در برنامه های .NET از پرل برای پردازش متن ویا هر چیز دیگری استفاده كنید این قابلیت تنها به .NET محدود نمیشود و پرل را می توان در دیگر زبان های برنامه نویسی بدون در نظر گرفتن پلتفرم ان استفاده كنید .
● حرف آخر
نكته ای كه باعث محبوبیت زبان پرل در میان برنامه نویسان شده است رایگان و اپن سورس بودن این زبان میباشد میتوانید متن آن را به رایگان از اینترنت دریافت و در توسعه آن همکاری کنید
#perl #پرل @unixmens
جالب است بدانید نرم افزاری كه شما تحت سیستم عامل LINUX و یا MAC نوشته اید به طور قطع روی سیستم عامل WINDOWS و UNIX هم اجرا میشود. مفسر پرل متن برنامه را خوانده و همزمان تفسیر کرده و اجرا می کند . در حال حاضر پرل را در بیش از 40 سیستم عامل میتوان بكار گرفت و كتابخانه CPAN بیش از ۱۱۰۰۰ مازول را با كد منبع در اختیار تان می گذارد كه روزانه به این تعداد افزوده میشود.
● پرل و برنامه های ۳ بعدی
گستره استفاده پرل به عنوان زبانی برای ایجاد برنامه های ۳ بعدی تا حدی است كه تا چندی پیش متخصصین Graphcomp در تستی زبان C و PERL را برای اجرای برنامه ۳ بعدی بر روی ۳ سیستم عامل متفاوت : VISTA , UBUNTU , FEDORA با سخت افزار یكسان به كار گرفتند. در این میان پرل توانست با استفاده بهینه از منابع سیستم برتری خود را در این زمینه اثبات كند . نتایج تست Graphcomp : https://graphcomp.com/pogl.cgi?v=۰۱۱۱s۳m۳
● پرل و CGI
با پا به عرصه گذاشتن CGI به صفحات وب زبان پرل به خاطر قدرت بالا در پردازش متن و تطبیق الگو (Regular Expressions) در جمله زبانهایی قرار گرفت كه بطور وسیعی برای نوشتن CGI بكار گرفته میشود . در این میان وب سایت های پر ترافیك مانند :Livejournal.com, Ticketmaster.com Amzon.com , IMDB.com, از زبان پرل استفاده میكنند.
● پرل و شبكه
به خاطر قدرت بسیار پرل درزمینه برنامه نویسی سیستمهای شبكه بسیاری از متخصصین شبكه و هكرها از این قافله عقب نمانده و امروزه شاهد این هستیم كه بسیاری از برنامه های : مدیریت شبكه , سیستم های Spidering , و Exploite ها به زبان پرل نوشته میشود.
● پرل به عنوان یك زبان چسبنده (Glue Language)
پرل به عنوان یك زبان چسبنده می تواند در زبان های دیگر مورد استفاده قرار گیرد . یكی از جالبترین نكات یك برنامه مكمل پرل به نام VisualPerl هست كه به بسته NET. مایكروسافت میچسبد و شما در كنار ASP.NET میتونید با پرل نیز یرنامه نویسی كنید. به طور مثال می توانید در برنامه های .NET از پرل برای پردازش متن ویا هر چیز دیگری استفاده كنید این قابلیت تنها به .NET محدود نمیشود و پرل را می توان در دیگر زبان های برنامه نویسی بدون در نظر گرفتن پلتفرم ان استفاده كنید .
● حرف آخر
نكته ای كه باعث محبوبیت زبان پرل در میان برنامه نویسان شده است رایگان و اپن سورس بودن این زبان میباشد میتوانید متن آن را به رایگان از اینترنت دریافت و در توسعه آن همکاری کنید
#perl #پرل @unixmens
Forwarded from کانال رسمی سازمان مدیریت صنعتی آذربایجان شرقی (سازمان مدیریت صنعتی آذربایجان شرقی)
❇️هفدهمین نشست تخصصی خانه مدیران
♨️♨️ نگرش سیستمی ♨️♨️
🔷سخنران :پروفسور بیژن خرم
🔷زمان برگزاری: پنج شنبه 14 دی ماه ساعت 11
📞: 041 33297646
🆔: @imiazar
♨️♨️ نگرش سیستمی ♨️♨️
🔷سخنران :پروفسور بیژن خرم
🔷زمان برگزاری: پنج شنبه 14 دی ماه ساعت 11
📞: 041 33297646
🆔: @imiazar
برنامه i-next اطلاعات کاملی از قطعات اصلی سیستم به شما می دهد. این برنامه در مخازن موجود می باشد می توانید هر مشخصاتی که می خواهید راجع به سیستم خود بدانید را از طریق این برنامه به دست بیاورید، چرا که از ریزترین جزئیات تا اطلاعات عمومی مربوط به قطعه مورد نظر در این نرم افزار نمایان می شود. فرض کنید می خواهید اطلاعاتی راجع به سی پی یو با این برنامه دریافت کنید، این برنامه مشخصاتی همچون تولید کننده و مدل سی پی یو، استپ هسته و پردازشگر، سرعت های داخلی و خارجی، ضریب سرعت هسته، و امکانات پشتیبانی شده توسط پردازشگر را به شما نشان می دهد.
این نرم افزار قابلیت شناسایی ولتاژ هسته سی پی یو، پهنای باند L2 و تایمینگ رم را نیز دارا می باشد.
امکانات نرم افزار i-next
– نشان دهنده اطلاعات کامل سیستمی و مشخصات رم، سی پی یو و مین بورد
– نمایش اطلاعاتی نظیر فرکانس، تایمینگ، سریال، و مدل برای رم سیستم
– نمایش اطلاعاتی همچون ورژن بایوس، تولید کننده و نوع تراشه شمالی و جنوبی، و همچنین اطلاعات سنسور برای مادربورد
– نمایش اطلاعات کامل ریز و درشت سی پی یو نصب شده بر روی سیستم شما
و …
#hardware #info @unixmens
این نرم افزار قابلیت شناسایی ولتاژ هسته سی پی یو، پهنای باند L2 و تایمینگ رم را نیز دارا می باشد.
امکانات نرم افزار i-next
– نشان دهنده اطلاعات کامل سیستمی و مشخصات رم، سی پی یو و مین بورد
– نمایش اطلاعاتی نظیر فرکانس، تایمینگ، سریال، و مدل برای رم سیستم
– نمایش اطلاعاتی همچون ورژن بایوس، تولید کننده و نوع تراشه شمالی و جنوبی، و همچنین اطلاعات سنسور برای مادربورد
– نمایش اطلاعات کامل ریز و درشت سی پی یو نصب شده بر روی سیستم شما
و …
#hardware #info @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future
کانالی در حوزه اپن سورس ، گنو/لینوکس ، امنیت و ... دوست داشتین عضو بشین یا به دیگران معرفی کنید
@unixmens
@unixmens
5 تهدید امنیتی تلفن همراه که باید در سال 2018 جدی بگیرید
این روزها امنیت تلفن همراه یکی از بزرگترین نگرانیهای هر شرکتی میباشد و دلیل خوبی برای این مسأله وجود دارد: تقریباً تمام کارکنان با استفاده از تلفنهای هوشمند خود به دادههای شرکت دسترسی دارند و این به این معناست که دور نگه داشتن اطلاعات حساس، از افراد اشتباه، به یک معمای بسیار پیچیده تبدیل شده است. بر اساس گزارش منتشر شده توسط Ponemon Institute در سال 2016، هزینه متوسط نقض دادههای شرکتی به صورت روزانه 21.155 دلار میباشد.
در حالی که تمرکز بر روی موضوع حساس بدافزارها ساده است، حقیقت این است که در دنیای واقعی، نفوذ بهواسطه بدافزارهای تلفن همراه بسیار غیرمتداول است. بر مبنای یک تخمین، احتمال آلودگی شما به مراتب کمتر از احتمال برق گرفتگی توسط رعد و برق است. این مسأله به لطف ماهیت بدافزارهای تلفن همراه و حفاظت ذاتی تعبیهشده درون سیستمعاملهای تلفن همراه است.
انتظار میرود مخاطرات امنیت موبایل، که در برخی حوزهها به سادگی نادیده گرفته میشوند، در سال آینده بهشدت افزایش یابد:
1. نشت دادهها
با ورود به سال 2018، مشاهده میشود که نشت داده، به یکی از نگرانکننده ترین تهدیدات برای امنیت شرکتها تبدیل شود. آنچه این معضل را حادتر میکند، این است که این معضل غالباً ماهیت بدی ندارد؛ در عوض، این کاربران هستند که با تصمیمات اشتباه خود، در رابطه با اینکه چه برنامههایی قادر به مشاهده و انتقال اطلاعاتشان باشند، باعث بدتر شدن این معضل میشوند.
به گفته Dionisio Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «چالش اصلی چگونگی پیادهسازی فرآیند بررسی برنامه است، بهگونهای که مدیر را سرکوب نکرده و کاربران را مختل نکند.» وی پیشنهاد داد از راهحلهای محافظت در برابر تهدیدات موبایل (MTD) استفاده شود. محصولاتی مانند Symantec's Endpoint Protection Mobile، CheckPoint's SandBlast Mobile، و Zimperium's zIPS Protection. وی ادامه داد، «چنین ابزارهایی برنامهها را برای «رفتار نشتکننده» پویش میکنند و میتوانند مسدود کردن فرآیندهای مشکلساز را بهصورت خودکار انجام دهند.»
البته، حتی این روش نیز همیشه نمیتواند نشتیهایی که ناشی از خطای کاربر است را پوشش دهد. چیزی به سادگی انتقال فایلهای شرکت روی یک خدمت عمومی ذخیرهسازی ابر، الحاق اعتبارات در یک مکان اشتباه، یا فوروارد کردن ایمیل به یک فرستنده ناخواسته. این چالشی است که صنعت مراقبت بهداشت در حال حاضر تلاش دارد بر آن غلبه کند: به گفته فراهمآورنده بیمه متخصصان، با نام Beazley، «افشای ناخواسته» مسئول 41 درصد از نقضهای داده گزارش شده توسط سازمانهای مراقبت بهداشت است، که در 3 فصل اول سال 2017 گزارش شده است. بیش از دو برابر بالاترین علت بعدی.
برای این نوع نشت، ابزارهای جلوگیری از اتلاف داده (DLP) ممکن است مؤثرترین نوع حفاظت باشند. چنین ابزارهایی طراحی شدند تا از فاش شدن اطلاعات حساس، از جمله در سناریوهای تصادفی جلوگیری کنند.
2. مهندسی اجتماعی
تاکتیک سعی و خطا همان اندازه بر روی تلفنهای همراه مشکلساز است که بر روی دسکتاپها. علیرغم سهولت مهندسی اجتماعی، که این تفکر را به وجود میآورد که میتوان از معایب آن چشمپوشی کرد، اما همچنان بهطور شگفتآوری مؤثر است.
بر مبنای گزارش Data Breach Investigations Report، در سال 2017، 90 درصد نقض دادهها که توسط Verizon's Enterprise Solutions مشاهده شده، در اثر فیشینگ میباشد. به گفته Verizon's Enterprise Solutions، تنها 7 درصد کاربران در تلاشهای فیشینگ با شکست مواجه میشوند، اما سایرین آنقدر تلاش میکنند تا سرانجام موفق شوند: طبق تخمین شرکت، در یک سازمان نوعی، 15 درصد کاربرانی که حداقل یک بار مورد حملات فیشینگ موفق قرار گرفتهاند، حداقل یک بار دیگر در همان سال با چنین حملهای مواجه میشوند.
علاوه بر این، تعداد زیادی از محققان بر این باورند که کاربران دستگاههای موبایل، در مقایسه با کاربران دسکتاپها، در مقابل حملات فیشینگ آسیبپذیرتر هستند. بر مبنای مطالعات IBM، تقریباً 3 برابر بیشتر، بخشی از آن میتواند به این دلیل باشد که احتمالاً افراد ابتدا یک پیام را بر روی تلفن همراه خود مشاهده میکنند. به گفته John "Lex" Robinson، متخصص استراتژیهای ضدفیشینگ و امنیت اطلاعات در PhishMe ، شرکتی که با استفاده از شبیهسازیهای دنیای واقعی به کارکنان در شناسایی و پاسخ به تلاشهای فیشینگ آموزش میدهد، «ما شاهد پیشرفت کلی در حساسیت تلفنهای همراه هستیم، که در اثر افزایش سراسری محاسبات موبایل و رشد مستمر محیطهای کاری BYOD ایجاد میشود.»
این روزها امنیت تلفن همراه یکی از بزرگترین نگرانیهای هر شرکتی میباشد و دلیل خوبی برای این مسأله وجود دارد: تقریباً تمام کارکنان با استفاده از تلفنهای هوشمند خود به دادههای شرکت دسترسی دارند و این به این معناست که دور نگه داشتن اطلاعات حساس، از افراد اشتباه، به یک معمای بسیار پیچیده تبدیل شده است. بر اساس گزارش منتشر شده توسط Ponemon Institute در سال 2016، هزینه متوسط نقض دادههای شرکتی به صورت روزانه 21.155 دلار میباشد.
در حالی که تمرکز بر روی موضوع حساس بدافزارها ساده است، حقیقت این است که در دنیای واقعی، نفوذ بهواسطه بدافزارهای تلفن همراه بسیار غیرمتداول است. بر مبنای یک تخمین، احتمال آلودگی شما به مراتب کمتر از احتمال برق گرفتگی توسط رعد و برق است. این مسأله به لطف ماهیت بدافزارهای تلفن همراه و حفاظت ذاتی تعبیهشده درون سیستمعاملهای تلفن همراه است.
انتظار میرود مخاطرات امنیت موبایل، که در برخی حوزهها به سادگی نادیده گرفته میشوند، در سال آینده بهشدت افزایش یابد:
1. نشت دادهها
با ورود به سال 2018، مشاهده میشود که نشت داده، به یکی از نگرانکننده ترین تهدیدات برای امنیت شرکتها تبدیل شود. آنچه این معضل را حادتر میکند، این است که این معضل غالباً ماهیت بدی ندارد؛ در عوض، این کاربران هستند که با تصمیمات اشتباه خود، در رابطه با اینکه چه برنامههایی قادر به مشاهده و انتقال اطلاعاتشان باشند، باعث بدتر شدن این معضل میشوند.
به گفته Dionisio Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «چالش اصلی چگونگی پیادهسازی فرآیند بررسی برنامه است، بهگونهای که مدیر را سرکوب نکرده و کاربران را مختل نکند.» وی پیشنهاد داد از راهحلهای محافظت در برابر تهدیدات موبایل (MTD) استفاده شود. محصولاتی مانند Symantec's Endpoint Protection Mobile، CheckPoint's SandBlast Mobile، و Zimperium's zIPS Protection. وی ادامه داد، «چنین ابزارهایی برنامهها را برای «رفتار نشتکننده» پویش میکنند و میتوانند مسدود کردن فرآیندهای مشکلساز را بهصورت خودکار انجام دهند.»
البته، حتی این روش نیز همیشه نمیتواند نشتیهایی که ناشی از خطای کاربر است را پوشش دهد. چیزی به سادگی انتقال فایلهای شرکت روی یک خدمت عمومی ذخیرهسازی ابر، الحاق اعتبارات در یک مکان اشتباه، یا فوروارد کردن ایمیل به یک فرستنده ناخواسته. این چالشی است که صنعت مراقبت بهداشت در حال حاضر تلاش دارد بر آن غلبه کند: به گفته فراهمآورنده بیمه متخصصان، با نام Beazley، «افشای ناخواسته» مسئول 41 درصد از نقضهای داده گزارش شده توسط سازمانهای مراقبت بهداشت است، که در 3 فصل اول سال 2017 گزارش شده است. بیش از دو برابر بالاترین علت بعدی.
برای این نوع نشت، ابزارهای جلوگیری از اتلاف داده (DLP) ممکن است مؤثرترین نوع حفاظت باشند. چنین ابزارهایی طراحی شدند تا از فاش شدن اطلاعات حساس، از جمله در سناریوهای تصادفی جلوگیری کنند.
2. مهندسی اجتماعی
تاکتیک سعی و خطا همان اندازه بر روی تلفنهای همراه مشکلساز است که بر روی دسکتاپها. علیرغم سهولت مهندسی اجتماعی، که این تفکر را به وجود میآورد که میتوان از معایب آن چشمپوشی کرد، اما همچنان بهطور شگفتآوری مؤثر است.
بر مبنای گزارش Data Breach Investigations Report، در سال 2017، 90 درصد نقض دادهها که توسط Verizon's Enterprise Solutions مشاهده شده، در اثر فیشینگ میباشد. به گفته Verizon's Enterprise Solutions، تنها 7 درصد کاربران در تلاشهای فیشینگ با شکست مواجه میشوند، اما سایرین آنقدر تلاش میکنند تا سرانجام موفق شوند: طبق تخمین شرکت، در یک سازمان نوعی، 15 درصد کاربرانی که حداقل یک بار مورد حملات فیشینگ موفق قرار گرفتهاند، حداقل یک بار دیگر در همان سال با چنین حملهای مواجه میشوند.
علاوه بر این، تعداد زیادی از محققان بر این باورند که کاربران دستگاههای موبایل، در مقایسه با کاربران دسکتاپها، در مقابل حملات فیشینگ آسیبپذیرتر هستند. بر مبنای مطالعات IBM، تقریباً 3 برابر بیشتر، بخشی از آن میتواند به این دلیل باشد که احتمالاً افراد ابتدا یک پیام را بر روی تلفن همراه خود مشاهده میکنند. به گفته John "Lex" Robinson، متخصص استراتژیهای ضدفیشینگ و امنیت اطلاعات در PhishMe ، شرکتی که با استفاده از شبیهسازیهای دنیای واقعی به کارکنان در شناسایی و پاسخ به تلاشهای فیشینگ آموزش میدهد، «ما شاهد پیشرفت کلی در حساسیت تلفنهای همراه هستیم، که در اثر افزایش سراسری محاسبات موبایل و رشد مستمر محیطهای کاری BYOD ایجاد میشود.»
Robinson یادآور میشود که مرز بین محاسبات کاری و شخصی بهمرور شفافتر خواهد شد. وی اشاره کرد، کارکنان بیشتری بهطور همزمان در حال مشاهده چندین صندوق ورودی بر روی یک تلفن هوشمند هستند – متصل به ترکیبی از حسابهای کاربری شخصی و کاری – و تقریباً همه آنها در طول روز به نوعی کارهای شخصی برخط خود را انجام میدهند. در نتیجه، تصور دریافت یک رایانامه ظاهراً شخصی در کنار پیامهای مربوط به کار، بههیچ وجه غیر معمول به نظر نمیرسد، حتی اگر در واقعیت یک فریب باشد.
3. تداخل Wi-Fi
امنیت یک دستگاه تلفن همراه به اندازه امنیت شبکهای است که از طریق آن دادههایش را انتقال میدهد. در عصری که همه ما دائماً به شبکههای Wi-Fi عمومی متصل میشویم، اطلاعات اغلب به اندازهای که ما تصور میکنیم امنیت ندارند.
این نگرانی چقدر اهمیت دارد؟ بر مبنای تحقیق جدیدی که این هفته توسط شرکت امنیتی Wandera منتشر شده، دستگاههای تلفن همراه شرکتها تقریباً سه برابر استفاده از دادههای سلولی، از Wi-Fi استفاده میکنند. تقریباً 4/1 دستگاهها به شبکههای Wi-Fi باز و بهطور بالقوه ناامن متصل میشوند، و در ماه جاری، 4 درصد دستگاهها با حمله مردی در میانه - که در آن یک نفر با اهداف خرابکارانه ارتباط میان دو نفر را قطع میکند - مواجه میشوند.
به گفته Kevin Du، استاد علوم کامپیوتر در دانشگاه Syracuse University، که در حوزه امنیت تلفنهای هوشمند تخصص دارد، «این روزها رمزنگاری ترافیک کار دشواری نیست. چنانچه شما VPN ندارید، درهای زیادی را پیرامون خود باز میگذارید.»
اگرچه، انتخاب VPN دارای کلاس تجاری مناسب، کار راحتی نیست. مشابه اکثر ملاحظات امنیتی، همیشه حفظ توازن ضروری است. به گفته Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «تحویل VPNها باید با دستگاههای تلفن همراه، هوشمندانهتر باشد، چرا که کاهش مصرف منابع – بهویژه باتری – حائز اهمیت است». وی افزود: یک VPN کارآمد بایستی بداند فقط در زمانهای کاملاً ضروری فعال شود، نه مثلاً زمانی که کاربر به یک سایت خبری دسترسی پیدا میکند یا زمانی که کاربر در حال کار با یک برنامه قابل اعتماد و ایمن است.
4. دستگاههای تاریخگذشته
تلفنهای هوشمند، تبلتها و دستگاههای متصل کوچکتر – که عموماً با عنوان اینترنت اشیا (IOT) شناخته میشوند – خطر جدیدی برای امنیت سازمانها ایجاد میکنند، چرا که بر خلاف دستگاههای سنتی، عموماً تضمینی برای بهروزرسانیهای مستمر و بههنگام ندارند. این مسأله بهویژه برای دستگاههای اندرویدی صادق است، چرا که اکثر تولیدکنندگان بهطور شرمآوری در بهروز نگه داشتن محصولاتشان ناکارآمد هستند – هم در بهروزرسانیهای سیستمعامل و هم وصلههای امنیتی کوچکتری که ماهانه ارائه میشود. همچنین در مورد دستگاههای اینترنت اشیاء، بسیاری از آنها بهگونهای طراحی شدند که اصلا قابلیت بهروزرسانی ندارند.
به گفته Du، «بسیاری از آنها حتی مکانیزم وصله تعبیهشده ندارند، و این مسأله روز به روز به تهدید بزرگتری تبدیل میشود.»
یک سیاست قوی کفایت میکند. دستگاههای اندرویدی وجود دارند که بهروزرسانیهای قابل اعتماد و بههنگام را بهصورت مستمر دریافت میکنند. تا زمانی که چشمانداز اینترنت اشیاء دارای قوانین درستی نباشد، با شکست مواجه میشود، مگر اینکه شرکتها شبکه امنیتی خود را پیرامون آن ایجاد کنند.
5. نقضهای دستگاه فیزیکی
آخرین مورد، که البته نباید کماهمیت قلمداد شود، ظاهراً احمقانه بهنظر میرسد، اما یک تهدید واقعا مخرب است: یک دستگاه گمشده یا مراقبتنشده، میتواند یک خطر امنیتی بزرگ باشد، بهخصوص اگر یک پین یا کلمه عبور قوی نداشته باشد یا دادههای آن کاملا رمزنگاری نشده باشد.
آنچه در ادامه آمده در نظر بگیرید: در یک مطالعه انجامشده توسط Ponemon Institute در سال 2016، 35 درصد از متخصصان نشان دادند که دستگاههای کاری آنها هیچ معیار مجازی برای ایمنسازی دادههای شرکتیِ در دسترس ندارد. از این بدتر، تقریباً نیمی از افرادی که مورد مطالعه قرار گرفتند، عنوان کردند که برای حفاظت از امنیت دستگاههایشان هیچ پین، کلمه عبور یا بیومتریکی ندارند و تقریباً 3/2 آنها گفتند از رمزنگاری استفاده نکردهاند. 68 درصد شرکتکنندگان عنوان کردند که گاهی کلمات عبور را میان حسابهای کاری و شخصی خود که از طریق دستگاه موبایل به آنها دسترسی دارند، به اشتراک میگذارند.
اصل پیام ساده است: سپردن مسوولیت به کاربران کافی نیست. با فرضیات ادامه ندهید، سیاستگذاری کنید. بعدها از خود تشکر خواهید کرد.
آدرس اینترنتی خبر https://www.csoonline.com/article/3241727/mobile-security/5-mobile-security-threats-you-should-take-seriously-in-2018.html
#security #mobile @unixmens
3. تداخل Wi-Fi
امنیت یک دستگاه تلفن همراه به اندازه امنیت شبکهای است که از طریق آن دادههایش را انتقال میدهد. در عصری که همه ما دائماً به شبکههای Wi-Fi عمومی متصل میشویم، اطلاعات اغلب به اندازهای که ما تصور میکنیم امنیت ندارند.
این نگرانی چقدر اهمیت دارد؟ بر مبنای تحقیق جدیدی که این هفته توسط شرکت امنیتی Wandera منتشر شده، دستگاههای تلفن همراه شرکتها تقریباً سه برابر استفاده از دادههای سلولی، از Wi-Fi استفاده میکنند. تقریباً 4/1 دستگاهها به شبکههای Wi-Fi باز و بهطور بالقوه ناامن متصل میشوند، و در ماه جاری، 4 درصد دستگاهها با حمله مردی در میانه - که در آن یک نفر با اهداف خرابکارانه ارتباط میان دو نفر را قطع میکند - مواجه میشوند.
به گفته Kevin Du، استاد علوم کامپیوتر در دانشگاه Syracuse University، که در حوزه امنیت تلفنهای هوشمند تخصص دارد، «این روزها رمزنگاری ترافیک کار دشواری نیست. چنانچه شما VPN ندارید، درهای زیادی را پیرامون خود باز میگذارید.»
اگرچه، انتخاب VPN دارای کلاس تجاری مناسب، کار راحتی نیست. مشابه اکثر ملاحظات امنیتی، همیشه حفظ توازن ضروری است. به گفته Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «تحویل VPNها باید با دستگاههای تلفن همراه، هوشمندانهتر باشد، چرا که کاهش مصرف منابع – بهویژه باتری – حائز اهمیت است». وی افزود: یک VPN کارآمد بایستی بداند فقط در زمانهای کاملاً ضروری فعال شود، نه مثلاً زمانی که کاربر به یک سایت خبری دسترسی پیدا میکند یا زمانی که کاربر در حال کار با یک برنامه قابل اعتماد و ایمن است.
4. دستگاههای تاریخگذشته
تلفنهای هوشمند، تبلتها و دستگاههای متصل کوچکتر – که عموماً با عنوان اینترنت اشیا (IOT) شناخته میشوند – خطر جدیدی برای امنیت سازمانها ایجاد میکنند، چرا که بر خلاف دستگاههای سنتی، عموماً تضمینی برای بهروزرسانیهای مستمر و بههنگام ندارند. این مسأله بهویژه برای دستگاههای اندرویدی صادق است، چرا که اکثر تولیدکنندگان بهطور شرمآوری در بهروز نگه داشتن محصولاتشان ناکارآمد هستند – هم در بهروزرسانیهای سیستمعامل و هم وصلههای امنیتی کوچکتری که ماهانه ارائه میشود. همچنین در مورد دستگاههای اینترنت اشیاء، بسیاری از آنها بهگونهای طراحی شدند که اصلا قابلیت بهروزرسانی ندارند.
به گفته Du، «بسیاری از آنها حتی مکانیزم وصله تعبیهشده ندارند، و این مسأله روز به روز به تهدید بزرگتری تبدیل میشود.»
یک سیاست قوی کفایت میکند. دستگاههای اندرویدی وجود دارند که بهروزرسانیهای قابل اعتماد و بههنگام را بهصورت مستمر دریافت میکنند. تا زمانی که چشمانداز اینترنت اشیاء دارای قوانین درستی نباشد، با شکست مواجه میشود، مگر اینکه شرکتها شبکه امنیتی خود را پیرامون آن ایجاد کنند.
5. نقضهای دستگاه فیزیکی
آخرین مورد، که البته نباید کماهمیت قلمداد شود، ظاهراً احمقانه بهنظر میرسد، اما یک تهدید واقعا مخرب است: یک دستگاه گمشده یا مراقبتنشده، میتواند یک خطر امنیتی بزرگ باشد، بهخصوص اگر یک پین یا کلمه عبور قوی نداشته باشد یا دادههای آن کاملا رمزنگاری نشده باشد.
آنچه در ادامه آمده در نظر بگیرید: در یک مطالعه انجامشده توسط Ponemon Institute در سال 2016، 35 درصد از متخصصان نشان دادند که دستگاههای کاری آنها هیچ معیار مجازی برای ایمنسازی دادههای شرکتیِ در دسترس ندارد. از این بدتر، تقریباً نیمی از افرادی که مورد مطالعه قرار گرفتند، عنوان کردند که برای حفاظت از امنیت دستگاههایشان هیچ پین، کلمه عبور یا بیومتریکی ندارند و تقریباً 3/2 آنها گفتند از رمزنگاری استفاده نکردهاند. 68 درصد شرکتکنندگان عنوان کردند که گاهی کلمات عبور را میان حسابهای کاری و شخصی خود که از طریق دستگاه موبایل به آنها دسترسی دارند، به اشتراک میگذارند.
اصل پیام ساده است: سپردن مسوولیت به کاربران کافی نیست. با فرضیات ادامه ندهید، سیاستگذاری کنید. بعدها از خود تشکر خواهید کرد.
آدرس اینترنتی خبر https://www.csoonline.com/article/3241727/mobile-security/5-mobile-security-threats-you-should-take-seriously-in-2018.html
#security #mobile @unixmens
CSO Online
5 mobile security threats you should take seriously in 2018
Mobile malware? Some mobile security threats are more pressing. Every enterprise should have its eye on these issues in the coming year.
Best of 2017: command line & terminal articles https://fedoramagazine.org/?p=19758
Fedora Magazine
Best of 2017: command line & terminal articles - Fedora Magazine
It has been a full year here at the Fedora Magazine, and now it is nearing its end, we are looking back at some of the awesome content from our contributors. We feature many articles throughout the year that are... Continue Reading →
🎯 #فرصت_شغلی:
شرکت مپفا دعوت به همکاری می نماید:
🔻کارشناس لینوکس:
▫️تسلط به سیستم عامل هاي لینوکس در حد LPIC2
▫️حداقل 2 سال سابقه کار به عنوان Linux SysAdmin
▫️تسلط به زبان های scripting مانند (bash - python - perl و …)
▫️تسلط به مدیریت سرویس و لاگینگ (systemd - journald - sys V init)
▫️ تسلط بر مفاهیم networking
▫️ اشنا به مفاهیم software raid و volume mangement
▫️اشنا به مجازي سازي(esxi و kvm)
▫️اشنایی به RDBMS و NOSQL
▫️ آشنایی با ابزارهای مانیتورینگ مانند zabbix ، cacti و ...
▫️ارائه گزارشات دورهای به مدیر پشتیبانی
▫️دارای روحیه کار تیمی
▫️روابط عمومی خوب
▫️متعهد و مسئولیتپذیری بالا
▫️یادگیری فعال
▫️تسلط کافی در کار با کامپیوتر و نرم افزارهای مربوطه
▫️دقت و توجه به جزئیات
▫️توان حل مساله
▫️توان تصمیم گیری به موقع و درست
▫️مهارت آموزش دادن به دیگران
▫️مهارتهای ارتباطی مناسب
▫️داشتن کارت پایان خدمت
لطفا رزومه ی خود را به آدرس [email protected] ارسال نمایید.
نشانی: ملاصدرا، خیابان شیرازی جنوبی، خیابان گرمسار غربی، خیابان مفتاح، پلاک ۸۴، واحد ۱۰
تلفن: ۸۸۶۲۶۸۲۰
#jobs #linux @unixmens
شرکت مپفا دعوت به همکاری می نماید:
🔻کارشناس لینوکس:
▫️تسلط به سیستم عامل هاي لینوکس در حد LPIC2
▫️حداقل 2 سال سابقه کار به عنوان Linux SysAdmin
▫️تسلط به زبان های scripting مانند (bash - python - perl و …)
▫️تسلط به مدیریت سرویس و لاگینگ (systemd - journald - sys V init)
▫️ تسلط بر مفاهیم networking
▫️ اشنا به مفاهیم software raid و volume mangement
▫️اشنا به مجازي سازي(esxi و kvm)
▫️اشنایی به RDBMS و NOSQL
▫️ آشنایی با ابزارهای مانیتورینگ مانند zabbix ، cacti و ...
▫️ارائه گزارشات دورهای به مدیر پشتیبانی
▫️دارای روحیه کار تیمی
▫️روابط عمومی خوب
▫️متعهد و مسئولیتپذیری بالا
▫️یادگیری فعال
▫️تسلط کافی در کار با کامپیوتر و نرم افزارهای مربوطه
▫️دقت و توجه به جزئیات
▫️توان حل مساله
▫️توان تصمیم گیری به موقع و درست
▫️مهارت آموزش دادن به دیگران
▫️مهارتهای ارتباطی مناسب
▫️داشتن کارت پایان خدمت
لطفا رزومه ی خود را به آدرس [email protected] ارسال نمایید.
نشانی: ملاصدرا، خیابان شیرازی جنوبی، خیابان گرمسار غربی، خیابان مفتاح، پلاک ۸۴، واحد ۱۰
تلفن: ۸۸۶۲۶۸۲۰
#jobs #linux @unixmens