یک شرکت فناوری اطلاعات به یک برنامه نویس آشنا با لینوکس و زبان برنامه نویسی پرل و ترجیحا web programming و نیز به یک کارشناس پشتیبانی آشنا با لینوکس نیازمند است؛ در صورت تمایل اعلام بفرمایید. علاقمندان با خانم ملک لوزاده به شماره 09122195645 تماس بگیرند و یا رزومه برای ایمیل [email protected] ارسال فرمایند.
#jobs #linux @unixmens
#jobs #linux @unixmens
Academy and Foundation unixmens | Your skills, Your future
Photo
به نام خدا
دانشکده های مهندسی کامپیوتر دانشگاه اصفهان و گروه مهندسی کامپیوتر دانشگاه فردوسی مشهد مشترکا سومین کنفرانس بین المللی اینترنت اشیاء و کاربردها را در تاریخ 28 و 29 فروردین ماه 1398 در شهر تاریخی اصفهان برگزار میکنند.
این دو دانشکده از پیشگامان فعالیتهای علمی در زمینه اینترنت اشیاء در کشور به شمار می روند. برگزاری کارگاه ها و نشستهای مختلف با دعوت از محققیقن خارجی و داخلی، راه اندازی آزمایشگاه های تخصصی مرتبط، برگزاری نخستین دوره "کنفرانس بین المللی اینترنت اشیاء، کاربردها و زیرساخت" در سال 1396 در دانشگاه اصفهان و برگزاری کنفرانس بین الملی اینترنت اشیاء و شهر هوشمند در سال 1397 در دانتشگاه مشهد (که مقالات پذیرفته شده ان در ACM نمایه شدند) را می توان از این دست دانست. در همین راستا و در ادامه این فعالیتها، این بار این دو دانشگاه مفتخرند که مشترکا و بصورت سالانه کنفرانس اینترت اشیا و کابردها را برگزار نمایند.
کمیته برگزاری کنفرانس از کلیه محققین محترم، دانشگاهیان، دانشجویان، و شرکتهای صنعتی و خدماتی علاقمند و صاحب تجربه در حوزه اینترنت اشیاء جهت شرکت و مشارکت در این کنفرانس صمیمانه دعوت به عمل می آورد. همچنین این کمیته در حال پیگیری جهت نمایه کردن مقالات انگلیسی قبول شده در کنفرانس در سایت IEEE می باشد که بزودی نتایج این پیگری به اطلاع خواهد رسید.
محورهای کنفرانس:
فناوری های ارتباطی و اینترنت اشیا
محیط های هوشمند مبتنی بر اینترنت اشیا
زيرساختهاي ارتباطي شهرهاي هوشمند
کاربردهايICT و سرويسهاي شهر هوشمند
اينترنت اشياء درشهرهاي هوشمند
سلامت و محيط زيست هوشمند
خدمات و کاربردهای مبتنی بر اینترنت اشیا
ساختارها و سامانه های مرتبط با اینترنت اشیا
سخت افزارها، سیستمهای عامل و میان افزارهای اینترنت اشیا
استانداردها و پروتکلهای اینترنت اشیا
اقتصاد، کارآفرینی و اینترنت اشیا
اینترنت اشیا، انسان و جامعه
پردازش هوشمند و کلان داده ها
اینترنت اشیا، امنیت و حریم خصوصی
تاریخهای مهم
مهلت ارسال مقالات 15 دی 1397
اعلام نتایج داوری 1 اسفند 1397
مهلت ارسال نسخه نهایی 10 فروردین 1398
مهلت ثبت نام در کنفرانس 10 فروردین 1398
مهلت ثبت نام در کارگاه ها 10 فروردین 1398
مهلت ثبت نام در نمایشگاه ویژه شرکتها و موسسات 1 اسفند 1397
تاریخ برگزاری کنفرانس 28 و 29 فروردین 1398
آدرس وبگاه: https://iot2019.ui.ac.ir
پست الکترونیکی: [email protected]
با تشکر و به امید دیدار شما در کنفرانس IoT 2019 در شهر زیبا و تاریخی اصفهان
دبیر کنفرانس
حسین ماهوش محمدی
#conferance @unixmens
دانشکده های مهندسی کامپیوتر دانشگاه اصفهان و گروه مهندسی کامپیوتر دانشگاه فردوسی مشهد مشترکا سومین کنفرانس بین المللی اینترنت اشیاء و کاربردها را در تاریخ 28 و 29 فروردین ماه 1398 در شهر تاریخی اصفهان برگزار میکنند.
این دو دانشکده از پیشگامان فعالیتهای علمی در زمینه اینترنت اشیاء در کشور به شمار می روند. برگزاری کارگاه ها و نشستهای مختلف با دعوت از محققیقن خارجی و داخلی، راه اندازی آزمایشگاه های تخصصی مرتبط، برگزاری نخستین دوره "کنفرانس بین المللی اینترنت اشیاء، کاربردها و زیرساخت" در سال 1396 در دانشگاه اصفهان و برگزاری کنفرانس بین الملی اینترنت اشیاء و شهر هوشمند در سال 1397 در دانتشگاه مشهد (که مقالات پذیرفته شده ان در ACM نمایه شدند) را می توان از این دست دانست. در همین راستا و در ادامه این فعالیتها، این بار این دو دانشگاه مفتخرند که مشترکا و بصورت سالانه کنفرانس اینترت اشیا و کابردها را برگزار نمایند.
کمیته برگزاری کنفرانس از کلیه محققین محترم، دانشگاهیان، دانشجویان، و شرکتهای صنعتی و خدماتی علاقمند و صاحب تجربه در حوزه اینترنت اشیاء جهت شرکت و مشارکت در این کنفرانس صمیمانه دعوت به عمل می آورد. همچنین این کمیته در حال پیگیری جهت نمایه کردن مقالات انگلیسی قبول شده در کنفرانس در سایت IEEE می باشد که بزودی نتایج این پیگری به اطلاع خواهد رسید.
محورهای کنفرانس:
فناوری های ارتباطی و اینترنت اشیا
محیط های هوشمند مبتنی بر اینترنت اشیا
زيرساختهاي ارتباطي شهرهاي هوشمند
کاربردهايICT و سرويسهاي شهر هوشمند
اينترنت اشياء درشهرهاي هوشمند
سلامت و محيط زيست هوشمند
خدمات و کاربردهای مبتنی بر اینترنت اشیا
ساختارها و سامانه های مرتبط با اینترنت اشیا
سخت افزارها، سیستمهای عامل و میان افزارهای اینترنت اشیا
استانداردها و پروتکلهای اینترنت اشیا
اقتصاد، کارآفرینی و اینترنت اشیا
اینترنت اشیا، انسان و جامعه
پردازش هوشمند و کلان داده ها
اینترنت اشیا، امنیت و حریم خصوصی
تاریخهای مهم
مهلت ارسال مقالات 15 دی 1397
اعلام نتایج داوری 1 اسفند 1397
مهلت ارسال نسخه نهایی 10 فروردین 1398
مهلت ثبت نام در کنفرانس 10 فروردین 1398
مهلت ثبت نام در کارگاه ها 10 فروردین 1398
مهلت ثبت نام در نمایشگاه ویژه شرکتها و موسسات 1 اسفند 1397
تاریخ برگزاری کنفرانس 28 و 29 فروردین 1398
آدرس وبگاه: https://iot2019.ui.ac.ir
پست الکترونیکی: [email protected]
با تشکر و به امید دیدار شما در کنفرانس IoT 2019 در شهر زیبا و تاریخی اصفهان
دبیر کنفرانس
حسین ماهوش محمدی
#conferance @unixmens
شرکت داده پردازان دوران، پیشرو در زمینه تولید نرم افزار،
جهت تکمیل سرمایه انسانی متخصص خود در تهران دعوت به همکاری می نماید.
آدرس سایت:
WWW.DOURAN.COM
کارشناس تحلیل ترافیک شبکه و هوش مصنوعی
آشنا به مفاهیم هوش مصنوعی و حوزه های مرتبط با آن
آشنا به برنامه نویسی
مسلط به مفاهیم شبکه، امنیت شبکه و تحلیل شبکه
ارسال رزومه:
[email protected]
#jobs #security @unixmens
جهت تکمیل سرمایه انسانی متخصص خود در تهران دعوت به همکاری می نماید.
آدرس سایت:
WWW.DOURAN.COM
کارشناس تحلیل ترافیک شبکه و هوش مصنوعی
آشنا به مفاهیم هوش مصنوعی و حوزه های مرتبط با آن
آشنا به برنامه نویسی
مسلط به مفاهیم شبکه، امنیت شبکه و تحلیل شبکه
ارسال رزومه:
[email protected]
#jobs #security @unixmens
رات/Rat چیست❗
رات ها (Rat) ترکیبی از کیلاگرها و Remote Connection هستند که بوسیله آن سیستم قربانی بصورت کامل در اختیار شما قرار خواهد گرفت
برخی امکانات که Rat ها دارند :
با رات میتوان به پیامک - گزارشات تماس و دوربین گوشی دسترسی داشت و امکان هک تلگرام و اینستا
با استفاده از Rat می توان کلیدهای زده شده در کیبورد را به راحتی فهمید ، که با استفاده از آن می توان رمزهای عبور و دیگر موارد مهم هدف (Target) را به دست آورد.
با استفاده از Rat می توان به صورت زنده سیستم هدف را مشاهده کرد و با کارهایی مانند بستن پنجره ها و تایپ کردن هدف را کاملاً گیج کرد !!
با استفاده از Rat میتوان برنامه های هدف را حذف و نصب کرد.
با استفاده از Rat می توان هر فایلی که در سیستم هدف می باشد را به راحتی جابه جا کرد ، حتی می توانید فایل های مانند کرم و ویروس را ارسال کنید .
با استفاده از Rat می توان کنترل کامل کامل بر روی هدف داشت.
امکانات رات ها گوناگونه و ساختن رات حرفه ای به برنامه نویسی نیاز دارد
#security #rat @unixmens
رات ها (Rat) ترکیبی از کیلاگرها و Remote Connection هستند که بوسیله آن سیستم قربانی بصورت کامل در اختیار شما قرار خواهد گرفت
برخی امکانات که Rat ها دارند :
با رات میتوان به پیامک - گزارشات تماس و دوربین گوشی دسترسی داشت و امکان هک تلگرام و اینستا
با استفاده از Rat می توان کلیدهای زده شده در کیبورد را به راحتی فهمید ، که با استفاده از آن می توان رمزهای عبور و دیگر موارد مهم هدف (Target) را به دست آورد.
با استفاده از Rat می توان به صورت زنده سیستم هدف را مشاهده کرد و با کارهایی مانند بستن پنجره ها و تایپ کردن هدف را کاملاً گیج کرد !!
با استفاده از Rat میتوان برنامه های هدف را حذف و نصب کرد.
با استفاده از Rat می توان هر فایلی که در سیستم هدف می باشد را به راحتی جابه جا کرد ، حتی می توانید فایل های مانند کرم و ویروس را ارسال کنید .
با استفاده از Rat می توان کنترل کامل کامل بر روی هدف داشت.
امکانات رات ها گوناگونه و ساختن رات حرفه ای به برنامه نویسی نیاز دارد
#security #rat @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
ویژگی های محصول اپن سورسی packetfense :
این محصول امنیتی این قابلیت را به شما می دهد که قبل از اتصال کاربر شبکه از هریک از روش های سیمی، بی سیم و یا ارتباط از راه دور کاملا احراز هویت می شود و با توجه به هویت شخص متصل شوند، میزان دسترسی او به شبکه تعیین و کنترل و نهایتا مانیتور می شود.
اسم ویژگی فوق AAA (Authentication, Authorization, Accounting) است.
البته این محصول ویژگی های دیگری هم دارد. از جمله اینکه می توانید کنترل کنید چنانچه سخت افزاری که کاربر از طریق آن به شبکه متصل می شود، پیش نیازهای امنیتی لازم از قبیل فایروال، آنتی ویروس به روز شده، سیستم عامل به روز شده و غیره را نداشته باشد، اجازه دسترسی به کاربر داده نشود تا زمانیکه مشکلات امنیتی فوق برطرف گردد. البته راه حل و لینکهای چگونگی رفع مشکلات امنیتی نیز در اختیار کاربر قرار داده می شود.
به این ویژگی Posture Assessment و remediation گفته می شود.
از دیگر قابلیتی که در این محصول وجود دارد، ایجاد صفحه وب برای مدیریت مهمان و ورود آنها به شبکه سازمان و همچنین تعیین دسترسی مهمان است. از طریق این صفحه، مهمان خودش می تواند برای خودش اکانت بسازد و سخت افزار خود را رجیستر کند. سپس وارد شبکه سازمان شود و از حداقل دسترسی ها مثل اینترنت برخوردار شود.
این ویژگی guest management نامیده می شود.
همچنین با این ابزار می توان به کاربران شبکه اجازه داد تا از سخت افزارهای شخصی خودشان برای اتصال به شبکه و استفاده از منابع سازمان و همچنین پیشبرد اهداف سازمان استفاده کنند بدون آنکه نگران چالش های امنیتی آن باشیم. بدین صورت که اولا نرم افزارهای لازم برای احراز هویت و همچنین کنترل سطوح امنیتی سخت افزار متصل شونده نصب می شود. سپس کاربر می تواند با سخت افزار شخصی خود با انجام مکانیزم احراز هویت و همچنین بعد از کنترل های امنیتی وارد شبکه سازمان شود. بعد از این هم امکان ایجاد دو محیط ایزوله برای داده های سازمان و داده های شخصی کاربر وجود دارد و می توان داده های سازمان را کاملا به صورت رمز شده ذخیره نمود و البته قابلیت های دیگری که سازمان را از نگرانی خارج می کند و بنابراین به کاربر اجازه می دهد تا از دستگاه شخصی خود برای پیشبرد اهداف سازمانی بهره مند شود.
به این قابلیت BYOD که مخفف Bring Your own Device است، گفته می شود.
Profiling
Mac based Authentication
Web based Authentication
PacketFence is a fully supported, trusted, Free and Open Source network access control (NAC) solution. Boasting an impressive feature set including a captive-portal for registration and remediation, centralized wired and wireless management, powerful BYOD management options, 802.1X support, layer-2 isolation of problematic devices; PacketFence can be used to effectively secure networks small to very large heterogeneous networks.
Released under the GPL, PacketFence is built using trusted open source components that allows it to offer an impressive amount of features.
BYOD - Let people bring their own devices
Role-based access control
Eliminate malware
WiFi offload / hotspot
Provide guest access
Perform compliance checks
Simplify network management
#security #network #packetfense @unixmens
این محصول امنیتی این قابلیت را به شما می دهد که قبل از اتصال کاربر شبکه از هریک از روش های سیمی، بی سیم و یا ارتباط از راه دور کاملا احراز هویت می شود و با توجه به هویت شخص متصل شوند، میزان دسترسی او به شبکه تعیین و کنترل و نهایتا مانیتور می شود.
اسم ویژگی فوق AAA (Authentication, Authorization, Accounting) است.
البته این محصول ویژگی های دیگری هم دارد. از جمله اینکه می توانید کنترل کنید چنانچه سخت افزاری که کاربر از طریق آن به شبکه متصل می شود، پیش نیازهای امنیتی لازم از قبیل فایروال، آنتی ویروس به روز شده، سیستم عامل به روز شده و غیره را نداشته باشد، اجازه دسترسی به کاربر داده نشود تا زمانیکه مشکلات امنیتی فوق برطرف گردد. البته راه حل و لینکهای چگونگی رفع مشکلات امنیتی نیز در اختیار کاربر قرار داده می شود.
به این ویژگی Posture Assessment و remediation گفته می شود.
از دیگر قابلیتی که در این محصول وجود دارد، ایجاد صفحه وب برای مدیریت مهمان و ورود آنها به شبکه سازمان و همچنین تعیین دسترسی مهمان است. از طریق این صفحه، مهمان خودش می تواند برای خودش اکانت بسازد و سخت افزار خود را رجیستر کند. سپس وارد شبکه سازمان شود و از حداقل دسترسی ها مثل اینترنت برخوردار شود.
این ویژگی guest management نامیده می شود.
همچنین با این ابزار می توان به کاربران شبکه اجازه داد تا از سخت افزارهای شخصی خودشان برای اتصال به شبکه و استفاده از منابع سازمان و همچنین پیشبرد اهداف سازمان استفاده کنند بدون آنکه نگران چالش های امنیتی آن باشیم. بدین صورت که اولا نرم افزارهای لازم برای احراز هویت و همچنین کنترل سطوح امنیتی سخت افزار متصل شونده نصب می شود. سپس کاربر می تواند با سخت افزار شخصی خود با انجام مکانیزم احراز هویت و همچنین بعد از کنترل های امنیتی وارد شبکه سازمان شود. بعد از این هم امکان ایجاد دو محیط ایزوله برای داده های سازمان و داده های شخصی کاربر وجود دارد و می توان داده های سازمان را کاملا به صورت رمز شده ذخیره نمود و البته قابلیت های دیگری که سازمان را از نگرانی خارج می کند و بنابراین به کاربر اجازه می دهد تا از دستگاه شخصی خود برای پیشبرد اهداف سازمانی بهره مند شود.
به این قابلیت BYOD که مخفف Bring Your own Device است، گفته می شود.
Profiling
Mac based Authentication
Web based Authentication
PacketFence is a fully supported, trusted, Free and Open Source network access control (NAC) solution. Boasting an impressive feature set including a captive-portal for registration and remediation, centralized wired and wireless management, powerful BYOD management options, 802.1X support, layer-2 isolation of problematic devices; PacketFence can be used to effectively secure networks small to very large heterogeneous networks.
Released under the GPL, PacketFence is built using trusted open source components that allows it to offer an impressive amount of features.
BYOD - Let people bring their own devices
Role-based access control
Eliminate malware
WiFi offload / hotspot
Provide guest access
Perform compliance checks
Simplify network management
#security #network #packetfense @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Linux.com
Securing your network with PacketFence - Linux.com
Author: Cory Buford Network access control (NAC) aims to unify endpoint security, system authentication, and security enforcement in a more intelligent network access solution than simple firewalls. NAC ensures that every workstation accessing the network…
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
کتاب های مربوط به packetfence
https://www.dropbox.com/sh/aid06b56mrxjxzm/AACICYQ-l9tEtOmQ5W68Axtca?dl=0
#security #network @unixmens
https://www.dropbox.com/sh/aid06b56mrxjxzm/AACICYQ-l9tEtOmQ5W68Axtca?dl=0
#security #network @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Media is too big
VIEW IN TELEGRAM
PacketFence - Using Statement of Health (SoH) protocol
مقدمه ای بر تست نفوذ و تست نفوذ وب
فرمانده ارشد امنیت اطلاعات (CISO)و مدیر ارشد امنیت (CTO)زمان و هزینههای هنگفتی را بر روی اپلیکیشن ها و امنیت کلی فناوری صرف می کنند . این
موضوع شاید فواید زیادی هم برای آنها نداشته باشد و در نهایت با امنیت پایین
روبرو شوند. گرچه طی سال های اخیر امنیت اطلاعات به یک اصل مهم و با
اولویت بالا برای سازمان ها تبدیل شده ولی نفوذهای امنیتی به قدرت خود باقی
است . حملات ایجاد شده بر روی اهداف سازمانی یکی از بزرگترین خرده فروشان در ایالات متحده امریکا موجب شده تا اطلاعات بیش از چهل میلیون کارت اعتباری و جزئیات آن افشا شود که در نتیجه منجر به استعفای CISOو CTOشرکت شده .
حمله بر روی شبکه شرکت پلی استیشن سونی حاصل حملات تزریق اسکیوال
بوده (یکی از رایج ترین حملات اپلیکیشن های وب) که در نتیجه آن شبکه مربوط
بیش از 24روز از سرویس دهی خارج شد! این حمله موجب لو رفتن اطلاعات شخصی بیش از 77میلیون حساب کاربری مشتریان شد. در ادامه آن جزئیات شخصی و رکوردهای مالی در بازارهای سیاه به صورت زیرزمینی به فروش رفته و برای فعالیت های مخرب مورد استفاده قرار گرفت .
حملات زیاد دیگری نیز رخ داده که در اخبار گزارش نشده است
هرچند که شاید اپلیکیشن ها ی وب تنها دلیل رخداد این حملات نبوده اند ولی همیشه به عنوان یک نقش یاری دهنده در کمک به هکرها برای سرقت اطلاعات و ارسال بدافزار بوده است .
تنها وب سرور یا وبسایت مسئول این حملات نبوده اند
. آسیب پذیری های موجود در مرورگر کاربران نیز نقش مهمی داشته است.
یک مثال خوب حمله آرورا(Aurora) بود که در سازمان های بزرگ زیادی مثل گوگل
, ادوبی , یاهو و ... انجام شد. مهاجمین یک آسیب پذیری ساعت صفر Heap Spray
را در مرورگر اینترنت اکسپلورر بکارگیری کردند تا به سیستم های سازمان و دیوایس
های کاربران نهایی دسترسی پیدا کنند . در این مورد خاص آسیب پذیری مرورگر
وب یک فاکتور کلیدی به شمار می رفت.
دلیل دیگر آسیب پذیر بودن اپلیکیشن های وب به حملات این است که پالیسی های امنیت فناوری اطلاعات به صورت واکنشی عمل می کنند در صورتیکه باید به صورت فعال عمل کنند . هرچند که امنیت در حال حرکت به سمت نقطه ایده آل خود می باشد ولی هنوز فاصله زیادی با حالت ایده آل مورد نظر دارد. یک کارمند ناراضی یا یک هکر قبل از اجرای حملات یا سرقت اطلاعات , پالیسی های واکنشی شما را مطالعه نمی کند! پس ایجاد مستندات واقعا خیلی موثر و یاری دهنده نیست
.سیستم های تشخیص و جلوگیری از نفوذ و فایروال ها با حملات جدید نمی توانند مقابله کنند! استفاده از دیوایس های شخصی کارکنان درون سازمان BYOD بسیار افز
ایش یافته و همین موضوع منجر به افزایش سطح حملات شده و موجب بروز مشکلات زیادی برای تیم امنیتی شده است .
هرچند این کارمندان سازمان هستند که می مانند و ما بایستی به عنوان تیم امنیتی خود را با آنها سازگار کنیم. اینترنت شاهد بروز وبسایت ها و اشخاصی (Script Kiddies)شده که هیچ دانشی از علم امنیت ندارند و تنها با ابزارهای ساده ای آشنایی دارند که بعضا آنها را خریداری کرده و شروع به انجام حملات میکنند .
توسعه تعداد بیشمار وبسایت ها و ارایه راهکارهای جدید وب همگی موجب ایجادمشکلات جدید امنیتی می شوند . چرا که هرچه تکنولوژی گسترده تر شو
د بایستی به تناسب آن امنیت نیز رشد کند ولی متاسفانه هرگز اینگونه نیست
.سرمایه گذاری های کم و حتی عدم سرمایه گذاری در بازبینی کد و پیدا کردن
باگ ها , عدم درک اهمیت رمزنگاری داده ها بر روی شبکه و ... همگی مشکلات
زیادی را بوجود آورده اند .
اگر به دو مورد از رایج ترین انواع حملات اپلیکیشن های وب دقت کنیم , می بینیم که تزریق اسکیوال (SQL Injection)و حملات اسکریپت نویسی بین سایتی (XSS)موجب شده که ورودی کاربران به درستی بکارگرفته نشود . به همین منظور شما بایستی اپلیکیشن های خود را با راهکارهای فعالانه تری تست کنید . در طی فاز تست , می توانید از ورودی های مختلفی که یک هکر ممکن است بکارگیری کند استفاده کنید. این ورودی ها از طریق فرم های ثبت نام یا ورود به سمت سرور ارسال می شوند .
.این رویکرد خیلی بهتری است تا اینکه صبر کنید و منتظر مانده تا یک نفر
اپلیکیشن شما را بکارگیری کند و به آن نفوذ کند و تازه به فکر ایمن سازی آن
باشید. سیستم های جلوگیری از نفوذ و فایر وال ها هرگز آنقدر هوشمند نیستند
که بتوانند این نوع حملات را مانع شوند . اصلا به این منظور طراحی نشده اند.
شما بایستی اپلیکیشن های خود را درست به نحوی تست کنید که هکر این کار
را انجام میدهد .
#security @unixmens
فرمانده ارشد امنیت اطلاعات (CISO)و مدیر ارشد امنیت (CTO)زمان و هزینههای هنگفتی را بر روی اپلیکیشن ها و امنیت کلی فناوری صرف می کنند . این
موضوع شاید فواید زیادی هم برای آنها نداشته باشد و در نهایت با امنیت پایین
روبرو شوند. گرچه طی سال های اخیر امنیت اطلاعات به یک اصل مهم و با
اولویت بالا برای سازمان ها تبدیل شده ولی نفوذهای امنیتی به قدرت خود باقی
است . حملات ایجاد شده بر روی اهداف سازمانی یکی از بزرگترین خرده فروشان در ایالات متحده امریکا موجب شده تا اطلاعات بیش از چهل میلیون کارت اعتباری و جزئیات آن افشا شود که در نتیجه منجر به استعفای CISOو CTOشرکت شده .
حمله بر روی شبکه شرکت پلی استیشن سونی حاصل حملات تزریق اسکیوال
بوده (یکی از رایج ترین حملات اپلیکیشن های وب) که در نتیجه آن شبکه مربوط
بیش از 24روز از سرویس دهی خارج شد! این حمله موجب لو رفتن اطلاعات شخصی بیش از 77میلیون حساب کاربری مشتریان شد. در ادامه آن جزئیات شخصی و رکوردهای مالی در بازارهای سیاه به صورت زیرزمینی به فروش رفته و برای فعالیت های مخرب مورد استفاده قرار گرفت .
حملات زیاد دیگری نیز رخ داده که در اخبار گزارش نشده است
هرچند که شاید اپلیکیشن ها ی وب تنها دلیل رخداد این حملات نبوده اند ولی همیشه به عنوان یک نقش یاری دهنده در کمک به هکرها برای سرقت اطلاعات و ارسال بدافزار بوده است .
تنها وب سرور یا وبسایت مسئول این حملات نبوده اند
. آسیب پذیری های موجود در مرورگر کاربران نیز نقش مهمی داشته است.
یک مثال خوب حمله آرورا(Aurora) بود که در سازمان های بزرگ زیادی مثل گوگل
, ادوبی , یاهو و ... انجام شد. مهاجمین یک آسیب پذیری ساعت صفر Heap Spray
را در مرورگر اینترنت اکسپلورر بکارگیری کردند تا به سیستم های سازمان و دیوایس
های کاربران نهایی دسترسی پیدا کنند . در این مورد خاص آسیب پذیری مرورگر
وب یک فاکتور کلیدی به شمار می رفت.
دلیل دیگر آسیب پذیر بودن اپلیکیشن های وب به حملات این است که پالیسی های امنیت فناوری اطلاعات به صورت واکنشی عمل می کنند در صورتیکه باید به صورت فعال عمل کنند . هرچند که امنیت در حال حرکت به سمت نقطه ایده آل خود می باشد ولی هنوز فاصله زیادی با حالت ایده آل مورد نظر دارد. یک کارمند ناراضی یا یک هکر قبل از اجرای حملات یا سرقت اطلاعات , پالیسی های واکنشی شما را مطالعه نمی کند! پس ایجاد مستندات واقعا خیلی موثر و یاری دهنده نیست
.سیستم های تشخیص و جلوگیری از نفوذ و فایروال ها با حملات جدید نمی توانند مقابله کنند! استفاده از دیوایس های شخصی کارکنان درون سازمان BYOD بسیار افز
ایش یافته و همین موضوع منجر به افزایش سطح حملات شده و موجب بروز مشکلات زیادی برای تیم امنیتی شده است .
هرچند این کارمندان سازمان هستند که می مانند و ما بایستی به عنوان تیم امنیتی خود را با آنها سازگار کنیم. اینترنت شاهد بروز وبسایت ها و اشخاصی (Script Kiddies)شده که هیچ دانشی از علم امنیت ندارند و تنها با ابزارهای ساده ای آشنایی دارند که بعضا آنها را خریداری کرده و شروع به انجام حملات میکنند .
توسعه تعداد بیشمار وبسایت ها و ارایه راهکارهای جدید وب همگی موجب ایجادمشکلات جدید امنیتی می شوند . چرا که هرچه تکنولوژی گسترده تر شو
د بایستی به تناسب آن امنیت نیز رشد کند ولی متاسفانه هرگز اینگونه نیست
.سرمایه گذاری های کم و حتی عدم سرمایه گذاری در بازبینی کد و پیدا کردن
باگ ها , عدم درک اهمیت رمزنگاری داده ها بر روی شبکه و ... همگی مشکلات
زیادی را بوجود آورده اند .
اگر به دو مورد از رایج ترین انواع حملات اپلیکیشن های وب دقت کنیم , می بینیم که تزریق اسکیوال (SQL Injection)و حملات اسکریپت نویسی بین سایتی (XSS)موجب شده که ورودی کاربران به درستی بکارگرفته نشود . به همین منظور شما بایستی اپلیکیشن های خود را با راهکارهای فعالانه تری تست کنید . در طی فاز تست , می توانید از ورودی های مختلفی که یک هکر ممکن است بکارگیری کند استفاده کنید. این ورودی ها از طریق فرم های ثبت نام یا ورود به سمت سرور ارسال می شوند .
.این رویکرد خیلی بهتری است تا اینکه صبر کنید و منتظر مانده تا یک نفر
اپلیکیشن شما را بکارگیری کند و به آن نفوذ کند و تازه به فکر ایمن سازی آن
باشید. سیستم های جلوگیری از نفوذ و فایر وال ها هرگز آنقدر هوشمند نیستند
که بتوانند این نوع حملات را مانع شوند . اصلا به این منظور طراحی نشده اند.
شما بایستی اپلیکیشن های خود را درست به نحوی تست کنید که هکر این کار
را انجام میدهد .
#security @unixmens
برای مشاوره امنیتی می توانید با @yashar_esmaildokht مکاتبه نمایید .
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
VMware NSX Network Essentials 2016.pdf
25.4 MB
منظور از Cloud-init چیست؟
به زبانی ساده cloud-init مجموع های از اسکریپت های پایتون برای اجرای سفارشی سازی هایی روی ماشین های مجازی است.
برخی از قابلیت های cloud-init عبارتند از:
setting hostname
ساخت SSH private keys
افزودن کلیدهای SSH
افزودن ephemeral mount points
پیکربندی قسمتهای شبکه ای
رفتار cloud-init و تغییرات و تنظیماتی که اجرا خواهد کرد از طریق user-data قابل پیکربندی است. user-data یکی از انواع metadata در OpenStack است. به طور کلی چهار نوع metadata در OpenStack وجود دارد که عبارتند از:
Meta-Data, User-Data, Vendor-Data, and Network-Data
که Meta-data به صورت مقادیر key=value هستند که از طریق CLI یا داشبورد میتوان روی ماشین مجازی تعریف کرد
و Meta-data را میتوان در زمان بوت ماشین مجازی یا حتی پس از بوت، روی ماشین مجازی تعریف کرد.
اما user-data اسکریپت هایی هستند که میتوانند به صورت مستقیم تایپ شوند یا به صورت فایلی باشند که هنگام راه اندازی ماشین مجازی توسط cloud-ini استفاده خواهد شد. این اسکریپت ها میتوانند به زبان هایی مانند پایتون یا shell باشند یا از فرمتی که شبیه به فایلهای yaml و مختص cloud-config است، استفاده کنند.
در واقع user-data از داخل ماشین مجازی با دستور #curl ۱۶۹,۲۵۴.۱۶۹.۲۵۴/openstack/latest/user_data قابل دسترسی است. میتوان اسکریپت ها را طوری نوشت که خروجی آن در مسیری در داخل ماشین مجازی نیز ذخیره شود. به صورت پیشفرض این اسکریپت ها فقط در اولین بوت ماشین مجازی اجرا میشوند، البته راهکارهایی برای اجرای مجدد اسکریپت ها در زمانهای مختلف از چرخه حیات (lifecycle) ماشین مجازی نیز وجود دارند.
برخی از کاربردهای cloud-init:
تعریف کاربران و گروهها
افزودن یک ریپازیتوری yum
پیکربندی فایل resolv.conf یک ماشین مجازی
نصب و اجرای chef
افزودن ریپازیتوریهای apt
اجرای دستوراتی در بوت ماشین مجازی
نصب پکیجهای موردنظر
اجرای upgrade با apt یا yum
اسکریپت های user-data به زبان پایتون در پایگاه داده کد میشوند. میتوان این اسکریپت های کدشده را decode کرد. برای اطلاعات کامل درباره cloud-init میتوان به سایت رسمی آن مراجعه کرد:
https://cloudinit.readthedocs.io/en/latest/index.html
و metadata با استفاده از neutron metadata agent یا config drive قابل دسترسی هستند. دسترسی از طریق config drive پیچیدگی های دسترسی از طریق neutron metadata agent را ندارد. با استفاده از آپشن config-drive، metadata به صورت یک درایو مجازی نزدیک ماشین مجازی قرار میگیرد و قابل mount یا unmount است.
#cloud_init #linux #virtualization @unixmens
به زبانی ساده cloud-init مجموع های از اسکریپت های پایتون برای اجرای سفارشی سازی هایی روی ماشین های مجازی است.
برخی از قابلیت های cloud-init عبارتند از:
setting hostname
ساخت SSH private keys
افزودن کلیدهای SSH
افزودن ephemeral mount points
پیکربندی قسمتهای شبکه ای
رفتار cloud-init و تغییرات و تنظیماتی که اجرا خواهد کرد از طریق user-data قابل پیکربندی است. user-data یکی از انواع metadata در OpenStack است. به طور کلی چهار نوع metadata در OpenStack وجود دارد که عبارتند از:
Meta-Data, User-Data, Vendor-Data, and Network-Data
که Meta-data به صورت مقادیر key=value هستند که از طریق CLI یا داشبورد میتوان روی ماشین مجازی تعریف کرد
و Meta-data را میتوان در زمان بوت ماشین مجازی یا حتی پس از بوت، روی ماشین مجازی تعریف کرد.
اما user-data اسکریپت هایی هستند که میتوانند به صورت مستقیم تایپ شوند یا به صورت فایلی باشند که هنگام راه اندازی ماشین مجازی توسط cloud-ini استفاده خواهد شد. این اسکریپت ها میتوانند به زبان هایی مانند پایتون یا shell باشند یا از فرمتی که شبیه به فایلهای yaml و مختص cloud-config است، استفاده کنند.
در واقع user-data از داخل ماشین مجازی با دستور #curl ۱۶۹,۲۵۴.۱۶۹.۲۵۴/openstack/latest/user_data قابل دسترسی است. میتوان اسکریپت ها را طوری نوشت که خروجی آن در مسیری در داخل ماشین مجازی نیز ذخیره شود. به صورت پیشفرض این اسکریپت ها فقط در اولین بوت ماشین مجازی اجرا میشوند، البته راهکارهایی برای اجرای مجدد اسکریپت ها در زمانهای مختلف از چرخه حیات (lifecycle) ماشین مجازی نیز وجود دارند.
برخی از کاربردهای cloud-init:
تعریف کاربران و گروهها
افزودن یک ریپازیتوری yum
پیکربندی فایل resolv.conf یک ماشین مجازی
نصب و اجرای chef
افزودن ریپازیتوریهای apt
اجرای دستوراتی در بوت ماشین مجازی
نصب پکیجهای موردنظر
اجرای upgrade با apt یا yum
اسکریپت های user-data به زبان پایتون در پایگاه داده کد میشوند. میتوان این اسکریپت های کدشده را decode کرد. برای اطلاعات کامل درباره cloud-init میتوان به سایت رسمی آن مراجعه کرد:
https://cloudinit.readthedocs.io/en/latest/index.html
و metadata با استفاده از neutron metadata agent یا config drive قابل دسترسی هستند. دسترسی از طریق config drive پیچیدگی های دسترسی از طریق neutron metadata agent را ندارد. با استفاده از آپشن config-drive، metadata به صورت یک درایو مجازی نزدیک ماشین مجازی قرار میگیرد و قابل mount یا unmount است.
#cloud_init #linux #virtualization @unixmens