طبق اعلام رسانه خبری Reddit، نشت اطلاعاتی به دلیل سرقت اطلاعات پیامک شده به کاربران برای احراز هویت بوده است. این مساله به کمک آسیب‌پذیری زیرساخت شبکه موبایل (SS7) انجام پذیرفته

شرکت Reddit در تاریخ ۱۹ ژون ۲۰۱۸ متوجه این شکاف اطالاعاتی در مورد دزدیده شدن پایگاه داده این شرکت مربوط به سال ۲۰۰۵ تا ۲۰۰۷ گردیده است. این حمله از طریق دسترسی مستقیم به کد و اطلاعات اصلی سیستم رخ داده است.

اطلاعات دزدیده شده شامل پست الکترونیک، رمز عبور، رمز عبور رمز شده، پیام‌های خصوصی و پست‌های عمومی بوده است. امنیت حساب‌های کاربران این شرکت از طریق روش احراز هویت دو‌عاملی طراحی گردیده بود که افراد حمله کننده با تغییر مسیر تحویل پیام‌های احراز هویت به سمت خود، توانسته بودند این شکاف امنیتی را ایجاد کنند.

البته افراد حمله کننده فقط توانایی خواندن اطلاعات را داشتند و نمی‌توانستند در پایگاه داده تغییری ایجاد نمایند.

این شرکت برای حل این مشکل که در قسمت اعتبار سنجی و ثبت نام کاربران وجود داشت، از روش اعتبار سنجی از طریق توکن به جای پیامک استفاده کرد.

امروزه وجود شکاف در سیستم‌های پیام کوتاه تعجب برانگیز نیست؛ آسیب‌پذیری‌های جدی در زیرساخت مخابراتی که سیستم سیگنالینگ ۷ (SS7) نام دارند وجود دارد.مهاجمان می‌توانند از طریق این ضعف‌های امنیتی به پیامک‌های کاربران، مکالمات و به موقعیت آن‌ها دسترسی پیدا کنند. در سال ۲۰۱۵ افراد حمله کننده توانستند موقعیت و مکالمات یک سناتور استرالیایی را در کشور آلمان بدست آورند.

در سال های ۲۰۱۶ و ۲۰۱۷ یک سری نقص های مشابهی روی سرویس های گوگل و فیس بوک و کیف پول بیت کوین نیز مشاهده شده است.

آسیب‌پذیری‌های بسیار سیستم زیرساخت موبایل که بسیاری از آن‌ها امکان وصله شدن ندارند، می‌تواند تهدید بزرگی برای امنیت کاربران، حتی در روش‌های امنی همچون احراز هویت دو‌عاملی باشد. استفاده از شبکه موبایل باید با علم به این آسیب‌پذیری‌ها باشد.
#security @unixmens

رویكرد و تجربه سایر كشورها
نكته جالب توجه این است كه جایگزینی لینوكس در سازمان‌های دولتی، نه تنها در كشور ما به عنوان یك راه‌حل مناسب مدنظر كارشناسان و مسئولین قرار گرفته بلكه در كشورهایی مانند آلمان و انگلستان كه رابطه سیاسی خوبی با آمریكا دارند و درآمد سرانه آنها چند برابر درآمد سرانه كشور ماست مورد توجه قرار گرفته است:

انگلیس: پارلمان این كشور برای توسعه نرم‌افزار و كاهش هزینه‌های رقابتی به ویژه در شركت‌های نوپا، رویكرد متن باز را به دولت توصیه كرده است. كابینه انگلستان در دسامبر 2001 میلادی در متنی تحت عنوان «نرم‌افزارهای متن باز و استفاده آنها در دولت بریتانیا» دلایل مشاركت انگلستان در رویكرد متن باز و استفاده از این محصولات در دولت را ذكر كرده است. در این متن كه به مراكز دولتی اعم از وزارتخانه‌ها و آژانس‌های وابسته به آنها، دولت‌های محلی و بخشهای دیگر ازجمله خدمات بهداشت ملی ارسال شده است. دلایل استفاده از نرم‌افزارهای متن باز و سیستم عامل متن باز به عنوان یك نرم‌افزار مهم پایه‌ای به این صورت بیان شده است:
- نیاز همیشگی به راه حلی با صرفه اقتصادی
- اطمینان از سازگاری سیستم‌ها
- كاهش هزینه‌ها و ریسك در سیستم‌های دولتی
- امنیت سیستم‌های دولتی
در این بررسی با استناد به یك گزارش خبری به ناامنی نرم‌افزار Microsoft IIS به عنوان یك نرم‌افزار متن بسته اشاره شده و آمده است كه برخی از نرم‌افزارهای متن بسته، ناامن‌تر از سیستم‌های متن‌باز هم‌تراز خود می‌باشند و حملات اینترنتی به آنها كمتر صورت گرفته است. این متن در 15 جولای 2002 میلادی به عنوان دستورالعمل اجرایی به سازمان‌ها ابلاغ گردید و هم‌اكنون در سازمان‌هایی مانند e-envoy وسازمان تجارت دولتی (OGC) در حال اجرا است.

آمریكا: در این كشور نیز همچون سایر كشورها، سیستم‌های متن باز در حال گسترش می‌باشند. به عنوان نمونه شركت IBM، تعدادی كامپیوتر مبتنی برلینوكس را به آژانس‌های آمریكایی شامل نیروی هوایی، دفاع، كشاورزی، انرژی و سازمان هواپیمایی فروخته است. بورس اصلی آمریكا (wall street) لینوكس را به عنوان سیستم عامل خود برگزید، به این دلیل كه ویندوز را ایمن نمی‌دانست.
وزارت دفاع آمریكا با كمك سازمان تحقیقاتی دولتی Mitre گزارشی از نرم‌افزارهای مورد استفاده در وزارت دفاع تهیه كرد كه شامل میزان استفاده، نوع استفاده و دلایل استفاده از این نرم‌افزارها بود.در این بررسی دو هفته‌ای ( مشخص شد كه 110 نرم‌افزار متن باز در وزارت دفاع استفاده می‌شود كه چهار دلیل عمده برای استفاده از آنها به شرح ذیل است:
- پشتیبانی نرم‌افزاری‌های زیربنایی : اساسی‌ترین دلیل برای استفاده از نرم‌افزارهای متن باز است. 65 نرم‌افزار زیربنایی در وزارت دفاع وجود دارد. نمونه‌هایی از آنها عبارتند از : سیستم عامل Open BSD، لینوكس و سرویس‌دهنده‌های Apache و SendMail
- توسعه و تولید نرم‌افزار
- امنیت: چهل ابزار امنیتی در وزارت دفاع استفاده می‌شود كه می‌توان از Open BSD و لینوكس به عنوان Fire wall و بازرسی شبكه و نرم‌افزارهایی چون ACID, Snare, SARA كه برای یافتن آسیب‌پذیری‌های امنیتی شبكه و مراقبت برای تشخیص حمله به شبكه، به كار می‌روند نام برد.
- تحقیقات : بیست ابزار نرم‌افزاری به عنوان ابزارهای تحقیقاتی با كمك‌تحقیقاتی در وزارت دفاع در حال استفاده هستند. در این گزارش از سیستم عامل لینوكس به همراه نرم‌افزار خوشه‌بندی Beowolf و نرم‌افزار condor به عنوان ابزاری مناسب برای تبدیل كامپیوترهای قدیمی و ارزان به ابركامپیوترهای بسیار كم‌هزینه نام برده شده است.

آفریقای جنوبی: انجمن ملی مشاور در امور نوآوری با نام اقتصادی NACI در گزارشی به مقوله استفاده از نرم‌افزارها و تولید آنها و هزینه‌های ارزی كه از این بابت از كشور خارج می‌شود پرداخته است. در این گزارش تأكید شده كه هزینه نرم‌افزار، بار سنگینی را بر كشورهای در حال توسعه مانند آفریقای جنوبی می‌گذارد و باید سیاست این كشورها به گونه‌ای تغییر یابند كه ورود نرم‌افزارها با كمترین هزینه صورت پذیرد. در ادامه، زیرپاگذاشتن قوانین حق تكثیر، انتخاب نامناسبی شمرده شده و به لزوم استفاده از نرم‌افزارهای متن باز اشاره شده است . از این طریق می‌توان تولیدات داخلی را جایگزین محصولات گران خارجی نمود. در این گزارش مزایای اصلی سیستم‌های متن باز بدین صورت عنوان شده است:
- كاهش هزینه‌ها و وابستگی كمتر به فناوری‌ها و مهارت‌های وارداتی
- امكان استفاده از نرم‌افزارها برای همه افراد و ارگان‌ها
- دسترسی همگانی به نرم‌افزار بدون نیاز به هزینه مالكیت
- مانع كمتر برای ورود به بازار كه باعث مشاركت شركت‌های كوچكتر و درنتیجه افزایش مهارت‌های محلی می‌گردد.
- شركت در شبكه جهانی تولید نرم‌افزار
یك نمونه عملی در آفریقای جنوبی تبدیل محیط گرافیكی KDE در لینوكس به محیط KDE با زبان بومی است. این پیاده‌سازی در سه ماه انجام شد كه نشان‌دهنده سادگی تبدیل و اختصاصی كردن این گونه نرم‌افزارهاست.

سه كشور چین، ژاپن و كره جنوبی، پروژه مشتركی برای توسعه گونه‌ای از سیستم عامل متن باز لینوكس تعریف كرده‌اند كه سیستم عامل اصلی در این سه كشور خواهد شد. این كشورها استفاده از این سیستم عامل در مدارس را شروع كرده و در حال تربیت نسلی آشنا به لینوكس می باشند.
#linux #govrement #beowolf @unixmens

کتاب خوشه بندی با beowolf تقدیم عزیزان https://www.dropbox.com/s/81179l77r52o1co/beowulf.pdf?dl=0 #beowolf #yashar_esmaildokht @unixmens

🔖آشنایی با انواع #حملات به سرور ها و سایت ها

🔴حمله #DOS که برگرفته از Denial Of Service می باشد و به معنی ، جلوگیری از ارائه خدمات و از دسترس خارج شدن سایتها و سرور های مقصد میباشد.

🔸هدف اصلی از این حمله از دسترس خارج کردن سرویس برای کاربران می باشد. و این کار را با ایجاد وقفه در دسترسی کاربران به سرور و سایت انجام میدهند.

🔸حمله کننده ،با فرستادن درخواستهای زیادی به سرور مد نظر و در نتیجه ایجاد ترافیک بالا و استفاده بیش از منابع سرور باعث اختلال در استفاده کاربران سرویس مد نظر می شوند و در نتیجه با ادامه دادن این حملات حتی میتواند باعث لود بسیار بالای #سرور و درنتیجه دان شدن آن شود و در نتیجه سرور از دسترس خارج شود.

‼️نکته : در حملات DOS معمولا هکر ها از یک سرور برای انجام حملات خود استفاده میکنند.

🔴حملات DDOS به همان حملات DOS گفته میشود و تنها تفاوت آن در این است که در این نوع حمله برعکس حمله DOS که هکرها به جای یک سرور، از مجموعه ای از سرور ها اقدام به حملات میکنند و با گسترش حملات خود و با ایجاد ترافیک جعلی لود سرور و ترافیک را بالا میبرند و در نتیجه از این طریق سرویس را از دسترس خارج میکنند.

🔸متاسفانه بخاطر تعداد زیاد بودن سرور های حمله کننده جلوگیری از حمله #DDOS بصورت نرم افزاری بسیار پیچیده و تقریبا غیر ممکن است و باید زیر ساخت #دیتاسنتر هاست یا همان میزبان سرور ، جلوگیر این نوع حملات باشد.
#ddos #security @unixmens

مجموعه کتاب های solaris,bsd,unix :

#jobs #itils @unixmens

سال گذشته، زمانی که امنیت پروتکل WPA2 با استفاده از کدهای مخرب KRACK exploit شکسته شد، عدم توانایی پروتکل امنیتی WPA2 برای محافظت از میلیاردها دستگاه سازگار با این پروتکل در سراسر جهان مطرح شد.
سرانجام در ژانویه 2018، اتحادیه وای فای WiFi ارتقاء عمده به پروتکل امنیتی WiFi به نام(WiFi Protected Access III) WPA3 را رسماً اعلام نمود. در حال حاضر پس از شش ماه، WPA3 بطور رسمی مورد پذیرش قرار گرفته است.
ویژگی اصلی پروتکل WPA3 توانایی قوی تر در احراز هویت و قدرت رمزنگاری بالاتر شبکه های بی سیم می باشد. این استاندارد یک سیستم رمزگذاری انحصاری داده ای همراه با ساین این های مبتنی بر پسورد با استفاده از پروتکل Simultaneous Authentication of Equals (SAE) (یک پروتکل رمز نگاری که حدس زدن کلمه عبور را سخت تر می کند) می باشد.
برای کاربران سازمانی، رمزگذاری معادل رمزنگاری 192 بیتی بوده که یک بستر امن برای انتقال اطلاعات حساس می باشد.
اتحادیه وای فای همچنین برنامه Easy Connect را نیز معرفی کرده است که پیچیدگی های مرتبط با اضافه کردن دستگاه های WiFi به دستگاه های IoT را کاهش می دهد. این برنامه برای گوشی های هوشمند نیز با استفاده از کدهای QR قابل استفاده است.
اساساً فراگیر شدن استفاده از این پروتکل بطور مستقیم به تولید کنندگان روترها و دستگاه های سازگار با این پروتکل بستگی دارد . WPA2 همچنان مورد استفاده قرار خواهد گرفت و بدون شک دستگاه های سازگار با WPA3 با پروتکل های WPA2 نیز کار خواهند کرد.

👈👈‏گوگل، توییتر، فیس بوک و توییتر با مشارکت یکدیگر ، پروژه انتقال اطلاعات (DTP) که پلت فرم قابل حمل متن باز اطلاعات سرویس به سرویس(open-source, service-to-service data portability platform) نامیده می شود را با هدف انتقال آسان اطلاعات از یک پلت فرم به پلت فرم دیگر راه اندازی کرده اند.
ابزار DTP امکان انتقال مستقیم داده ها بین سرویس های آنلاین را فراهم می نماید.برای مثال، اگر قصد ترک فیس بوک و پیوستن به توییتر را دارید با پاک کردن social presence خود قادر به انتقال اطلاعات به سرویس جدید خواهید بود.
با توجه به متن باز بودن این فناوری (کدها در GitHub)، غول های تکنولوژی خواستار پیوستن شرکت های بیشتر به پلت فرم مربوطه و به تبع آن بالارفتن قابلیت انتقال داده می باشند.
👈‌‏DTP از استانداردهای REST و OAuth پشتیبانی می کند، همچنین امنیت و حریم خصوصی داده های کاربر، مبنای اصلی پروژه انتقال اطلاعات می باشد.

📣#استخدام ⁣⁣مدیر سیستم (Linux Administrator)

🏭⁣شرکت ⁣⁣حامی سیستم شریف
⁣
شرح موقعیت شغلی :
⁣▪️⁣⁣⁣تجربه کار با سیستم‌های توزیع شده و Clustering
⁣▪️تسلط به نرم‌افزارهای مختلف مانیتورینگ سیستم و بهینه سازی کارایی سرویس های متنوع
⁣▪️تسلط به نصب، مدیریت و عیب یابی سرویس های مورد نیاز لینوکسی مانند Apache,MySQL
⁣▪️تسلط کافی بر مدیریت ، بهینه سازی و کلاسترینگ دیتابیس، به ویژه MySQL
⁣▪️تسلط کافی بر مدیریت ، بهینه سازی و کلاسترینگ java server applications
⁣▪️تسلط کافی برای نصب، مدیریت و بهینه سازی Mail server
⁣▪️آشنا با ساختارهای شبکه و دانش کافی در bash scripting
⁣▪️آشنایی با مفاهیم zoning, LUN management, performance management, data protection and backup
⁣▪️شناخت بالا از مفاهیم ذخیره سازی تحت شبکه مانند SCSI, iSCSI, CIFS, object storage, data replication

📍#تهران

اطلاعات تماس
خیابان شریعتی، بالاتر از پل رومی، پلاک ۱۸۴۱، طبقه ۲، واحد ۲
شماره تلفن:
021-40224530
آدرس ایمیل:
https://job.hamisystem.ir/hiring/basic-information/create
وب سایت:
https://hamisystem.ir
#jobs #linux #sys_admin @unixmens

‏GitHub’s new Learning Lab از منابع رایگان یادگیری زبان های برنامه نویسی به حساب می آید که در میان علاقمندان به برنامه نویسی از محبوبیت فراوانی برخوردار است. سرویس میزبانی این سرویس ، در اوایل سال جاری به منظور استفاده موثرتر علاقمندان از سرویس های GitHub راه اندازی شده است و شامل آموزش موضوعاتی مانند : مقدمه ای بر GitHub، صفحات GitHub، مهاجرت به GitHub و غیره می باشد که از اولین آفرهای GitHub's Learning Lab می است. در حال حاضر ، این شرکت دو دوره جدید که برای تازه کاران بسیار مفید می باشد را معرفی کرده است.
👈‏1- اولین دوره با عنوان Community Starter Kit می باشد که در این دوره، تنظیمات ، فایل هایی که باید به ریپازیتوریGitHub اضافه شوند، متادیتاهای لازم برای اضافه کردن، و فایل هایی مورد استفاده در برخی از پروژه های متن باز در GitHub آموزش داده می شود. به طور کلی، شامل راهنمایی ها و دستورالعمل های کلی به منظور آغاز فعالیت در GitHub است.
👈2- دوره دوم با عنوان مقدمه ای بر HTML (Introduction to HTML) یک منبع رایگان عالی برای همه افرادی است که علاقه مند به تبدیل شدن به یک توسعه دهنده را دارند، می باشد. در این دوره، در ایجاد صفحات ساده وب و نکات مهم برنامه نویسی مهارت پیدا می کنید.همچنین با ساخت یک وب سایت HTML ساده و تمام مفاهیم اساسی آن و در نهایت نحوه انتشار صفحات سایت در وب با استفاده از صفحات GitHub آشنا می گردید. در صورتی که به دنبال پیشرفته بیشتر در توسعه و طراحی وب هستید، می توانید در دوره های معتبر طراحی سایت شرکت نمایید.