با سلام
گروه Mr.Dummy براى انجام يك پروژه ملّى نيازمند همكارى در رشته :
رباتيك 2 نفر
الكترونيك 2 نفر
مكانيك 2 نفر
برنامه نويسى 3 نفر
هوش مصنوعى يك نفر
شبكه يك نفر
مترجم 2 نفر (ترجيحاً خانم)
طراحى 2 نفر (خانم)
مى باشد ، دوستانى كه علاقه مند هستند لطفاً خلاصه اى از رزومه خود را به MrFarzan@ (تلگرام) يا [email protected] ارسال كنند.
اميدوارم با مشاركت و همكارى شما عزيزان بتوانيم سهمى در پيشرفت علم و فرهنگ كشورمان داشته باشيم./
—-------------
آگهی استخدام و دعوت به همکاری
گروه Mr.Dummy براى انجام يك پروژه ملّى نيازمند همكارى در رشته :
رباتيك 2 نفر
الكترونيك 2 نفر
مكانيك 2 نفر
برنامه نويسى 3 نفر
هوش مصنوعى يك نفر
شبكه يك نفر
مترجم 2 نفر (ترجيحاً خانم)
طراحى 2 نفر (خانم)
مى باشد ، دوستانى كه علاقه مند هستند لطفاً خلاصه اى از رزومه خود را به MrFarzan@ (تلگرام) يا [email protected] ارسال كنند.
اميدوارم با مشاركت و همكارى شما عزيزان بتوانيم سهمى در پيشرفت علم و فرهنگ كشورمان داشته باشيم./
—-------------
آگهی استخدام و دعوت به همکاری
Forwarded from 🌐 خانه مديريت IT 🌐
نکاتی جالب در ارتباط با استاندارد سیستم مدیریت امنیت اطلاعات #ISO27001 :::
گزارش سازمان تحقیقی صدور گواهینامه های استاندارد در اروپا در ارتباط با استاندارد #ISO27001 نشان می دهد:
✅ سه صنعت: خدمات فناوری اطلاعات و نرم افزار، مخابرات و خدمات عمومی، اصلی ترین استفاده کنندگان از این استاندارد بوده اند.
✅ تنها 12% از سازمان ها مدیر تمام وقت برای سیستم مدیریت امنیت اطلاعات (#ISMS) دارند.
✅ تقریباً 80% از سازمان ها به ایزو 27001 به عنوان مزیت رقابتی می نگرند.
✅ تقریباً 28% از سازمان ها به علت شرایط شرکت در مناقصه به دنبال دریافت این گواهینامه هستند.
✅ تقریباً 54% از سازمان هایی که این گواهینامه را دریافت نموده اند، از مشاوره بیرونی برای پیاده سازی سیستم با متوسط هزینه 22000 پوند، استفاده نموده اند.
❓شما به چه دلیل #ISO27001 را پیاده سازی می نمایید؟
سایر مطالب را با ما دنبال کنید.
کانال تخصصی مدیریت فناوری اطلاعات
🍀🍀🍀
@nis_ict
@nis_ict
گزارش سازمان تحقیقی صدور گواهینامه های استاندارد در اروپا در ارتباط با استاندارد #ISO27001 نشان می دهد:
✅ سه صنعت: خدمات فناوری اطلاعات و نرم افزار، مخابرات و خدمات عمومی، اصلی ترین استفاده کنندگان از این استاندارد بوده اند.
✅ تنها 12% از سازمان ها مدیر تمام وقت برای سیستم مدیریت امنیت اطلاعات (#ISMS) دارند.
✅ تقریباً 80% از سازمان ها به ایزو 27001 به عنوان مزیت رقابتی می نگرند.
✅ تقریباً 28% از سازمان ها به علت شرایط شرکت در مناقصه به دنبال دریافت این گواهینامه هستند.
✅ تقریباً 54% از سازمان هایی که این گواهینامه را دریافت نموده اند، از مشاوره بیرونی برای پیاده سازی سیستم با متوسط هزینه 22000 پوند، استفاده نموده اند.
❓شما به چه دلیل #ISO27001 را پیاده سازی می نمایید؟
سایر مطالب را با ما دنبال کنید.
کانال تخصصی مدیریت فناوری اطلاعات
🍀🍀🍀
@nis_ict
@nis_ict
در دهه هفتاد میلادی سیستم عامل یونیکس توسط کنت تامسون، دنیس ریچی، برایان کرنیگان در آزمایشگاه های AT&T Bell Labs معرفی شد. پیش از آن و در سال 1972 میلادی زبان برنامه سازی سی توسط دنیس ریچی و همکارانش توسعه داده شده بود و در سال 1973 یونیکس با زبان سی نوشته و معرفی شد. یونیکس های اولیه بدون واسط گرافیکی بوده و برای اهداف شبکه استفاده می شدند. هر کسی می توانست با پرداخت هزینه ای به کد منبع آن دسترسی داشته و آن را مطابق با نیاز خود تغییر و توسعه دهد. از این رو از یونیکس اولیه سیستم عامل هایی مانند BSD که برگرفته از Berkeley Software Distribution است ایجاد شدند.
در واقع BSD هسته ای مانند یونیکس داشته و این یعنی از ساختار سیستم فایل و دستور های مشابه یونیکس اولیه بهره می برد. BSD که به یونیکس برکلی معروف است خود منجر به توسعه سیستم عامل های مشابهی شد که می توان به FreeBSD اشاره کرد. تفاوت BSD اولیه و مشتق شده آن یعنی FreeBSD در رایگان و آزاد بودن FreeBSD است. به هر حال یونیکس و ساختار آن به صورت یک معماری برای توسعه سیستم عامل های دیگر شد به طوری که پروفسور تتنبام برای آموزش و نوشتن کتاب خود درباره اصول طراحی سیستم عامل ها سیستم عامل آموزشی و کوچک خود را به نام مینیکس (Minix) را نوشت و کد های آنرا برای تدریس در کتاب خود انتشار داد. Minix یعنی Mini Unix یا یونیکس کوچک و امروزه نسخه 3 آن قابل دانلود است.
اما لینوکس از کجا سر در آورد؟ بر خلاف تفکر معمول درباره لینوکس، باید بگوییم لینوکس یک سیستم عامل نیست بلکه نام یک هسته آزاد و رایگان (توجه کنید رایگان بودن با آزاد بودن متفاوت است) است که توسط آقای لینوس توروالدز در سال 1991 از کد های مینیکس ایجاد شد. پیشتر از لینوس توروالدز، آقای ریچارد استالمن جنبشی به نام Gnu را به راه انداخته بود که در آن برنامه نویس ها کد ها و برنامه های نوشته خود را به صورت رایگان و آزاد در اختیار همگان قرار می دادند. اما جای یک هسته برای ایجاد یک سیستم عامل آزاد و رایگان که برای مصارف شخصی و PC ها قابل استفاده باشد، خالی بود که با انتشار هسته 0.1 لینوکس، امکان به وجود آوردن یک سیستم عامل فراهم شد.
در واقع سیستم عامل لینوکس را باید گنو لینوکس بخوانیم. نخستین توزیع لینوکسی از تجمیع هسته لینوکس و ابزار های گنو ایجاد شد و قابلیت نصب و استفاده را داشت، slackware بود که هنوز هم توسعه داده می شود. لینوکس خصوصیات یونیکس مانند دستور ها و ساختار سیستم فایل آنرا به ارث برد و از این رو آنرا شبه یونیکس می نامند. لینوکس در ابتدا به صورت متنی بود و از این رو بر خلاف رقیب خود یعنی ویندوز و نسخه های نخستین آن که رابط گرافیکی داشتند، نتوانست به خوبی در میان کاربران جا باز کند. اما امروزه توزیع هایی مانند ابونتو، فدورا به عنوان توزیع هایی برای مصارف شخصی با میزکار هایی جذاب جای پای خود را میان کاربران شخصی باز کرده اند.
انواع توزیع ها و انتخاب یک توزیع یا Distribution از لینوکس:
نسخه های متعدد و متفاوتی از لینوکس وجود دارد، هسته این سیستم عامل را می توان به دلخواه تغییر داد و دستکاری کرد و به همین دلیل هر کس یا هر شرکتی می تواند نسخه لینوکس مخصوص به خود را توزیع و روانه بازار کند، به هر یک از از این نسخه های متفاوت یک توزیع یا Distribution از لینوکس گفته می شود. بر خلاف سایر سیستم عامل هایی که در بازار هستند و توسط یک شرکت کنترل، توزیع و مدیریت می شوند هسته لینوکس بصورت متمرکز مدیریت نشده است و استفاده و تغییر دادن آن نیز آزاد است. برخی از سازمان ها برنامه نویسانی دارند که لینوکس را برای سازمان خود بصورت خاص تغییر می دهند و این نسخه صرفا در اختیار همان سازمان قرار دارد، توجه کنید که به این محصول توزیع یا Distribution گفته نمی شود، یکی از ملاک هایی که ما می توانیم به یک محصول Distribution بگوییم این است که محصول بصورت عمومی و رایگان ارائه شود.
معمولا توزیع ها برای استفاده در موارد خاص و به دلایل خاص ایجاد می شوند و برای برطرف کردن یک نیاز طراحی می شوند. نسخه های متعددی از لینوکس وجود دارد که برای مثال بصورت ویژه برای نصب بر روی سرور ها و ارائه سرویس هایی با حجم کاری بالای وب به کار می روند، این نسخه برای پردازش ترافیک های سنگین وب طراحی می شود. برخی از این نسخه ها کاربردهای شبکه ای دارند و در جایی استفاده می شوند که امنیت یک اولویت به حساب می آید.
در واقع لینوکس امروزه به عنوان هسته اصلی بسیاری از فایروال های پیشرفته مورد استفاده قرار می گیرد! جالب اینجاست که نسخه هایی از لینوکس وجود دارند که می توان آنها را بر روی یک سیستم عامل دیگر مثل ویندوز نصب کرد و کاربران ویندوز می توانند بصورت همزمان از لینوکس و ویندوز استفاده کنند. در این میان نسخه هایی از لینوکس نیز وجود دارد که بر روی کامپیوترهای Macintosh نصب می شوند.
در واقع BSD هسته ای مانند یونیکس داشته و این یعنی از ساختار سیستم فایل و دستور های مشابه یونیکس اولیه بهره می برد. BSD که به یونیکس برکلی معروف است خود منجر به توسعه سیستم عامل های مشابهی شد که می توان به FreeBSD اشاره کرد. تفاوت BSD اولیه و مشتق شده آن یعنی FreeBSD در رایگان و آزاد بودن FreeBSD است. به هر حال یونیکس و ساختار آن به صورت یک معماری برای توسعه سیستم عامل های دیگر شد به طوری که پروفسور تتنبام برای آموزش و نوشتن کتاب خود درباره اصول طراحی سیستم عامل ها سیستم عامل آموزشی و کوچک خود را به نام مینیکس (Minix) را نوشت و کد های آنرا برای تدریس در کتاب خود انتشار داد. Minix یعنی Mini Unix یا یونیکس کوچک و امروزه نسخه 3 آن قابل دانلود است.
اما لینوکس از کجا سر در آورد؟ بر خلاف تفکر معمول درباره لینوکس، باید بگوییم لینوکس یک سیستم عامل نیست بلکه نام یک هسته آزاد و رایگان (توجه کنید رایگان بودن با آزاد بودن متفاوت است) است که توسط آقای لینوس توروالدز در سال 1991 از کد های مینیکس ایجاد شد. پیشتر از لینوس توروالدز، آقای ریچارد استالمن جنبشی به نام Gnu را به راه انداخته بود که در آن برنامه نویس ها کد ها و برنامه های نوشته خود را به صورت رایگان و آزاد در اختیار همگان قرار می دادند. اما جای یک هسته برای ایجاد یک سیستم عامل آزاد و رایگان که برای مصارف شخصی و PC ها قابل استفاده باشد، خالی بود که با انتشار هسته 0.1 لینوکس، امکان به وجود آوردن یک سیستم عامل فراهم شد.
در واقع سیستم عامل لینوکس را باید گنو لینوکس بخوانیم. نخستین توزیع لینوکسی از تجمیع هسته لینوکس و ابزار های گنو ایجاد شد و قابلیت نصب و استفاده را داشت، slackware بود که هنوز هم توسعه داده می شود. لینوکس خصوصیات یونیکس مانند دستور ها و ساختار سیستم فایل آنرا به ارث برد و از این رو آنرا شبه یونیکس می نامند. لینوکس در ابتدا به صورت متنی بود و از این رو بر خلاف رقیب خود یعنی ویندوز و نسخه های نخستین آن که رابط گرافیکی داشتند، نتوانست به خوبی در میان کاربران جا باز کند. اما امروزه توزیع هایی مانند ابونتو، فدورا به عنوان توزیع هایی برای مصارف شخصی با میزکار هایی جذاب جای پای خود را میان کاربران شخصی باز کرده اند.
انواع توزیع ها و انتخاب یک توزیع یا Distribution از لینوکس:
نسخه های متعدد و متفاوتی از لینوکس وجود دارد، هسته این سیستم عامل را می توان به دلخواه تغییر داد و دستکاری کرد و به همین دلیل هر کس یا هر شرکتی می تواند نسخه لینوکس مخصوص به خود را توزیع و روانه بازار کند، به هر یک از از این نسخه های متفاوت یک توزیع یا Distribution از لینوکس گفته می شود. بر خلاف سایر سیستم عامل هایی که در بازار هستند و توسط یک شرکت کنترل، توزیع و مدیریت می شوند هسته لینوکس بصورت متمرکز مدیریت نشده است و استفاده و تغییر دادن آن نیز آزاد است. برخی از سازمان ها برنامه نویسانی دارند که لینوکس را برای سازمان خود بصورت خاص تغییر می دهند و این نسخه صرفا در اختیار همان سازمان قرار دارد، توجه کنید که به این محصول توزیع یا Distribution گفته نمی شود، یکی از ملاک هایی که ما می توانیم به یک محصول Distribution بگوییم این است که محصول بصورت عمومی و رایگان ارائه شود.
معمولا توزیع ها برای استفاده در موارد خاص و به دلایل خاص ایجاد می شوند و برای برطرف کردن یک نیاز طراحی می شوند. نسخه های متعددی از لینوکس وجود دارد که برای مثال بصورت ویژه برای نصب بر روی سرور ها و ارائه سرویس هایی با حجم کاری بالای وب به کار می روند، این نسخه برای پردازش ترافیک های سنگین وب طراحی می شود. برخی از این نسخه ها کاربردهای شبکه ای دارند و در جایی استفاده می شوند که امنیت یک اولویت به حساب می آید.
در واقع لینوکس امروزه به عنوان هسته اصلی بسیاری از فایروال های پیشرفته مورد استفاده قرار می گیرد! جالب اینجاست که نسخه هایی از لینوکس وجود دارند که می توان آنها را بر روی یک سیستم عامل دیگر مثل ویندوز نصب کرد و کاربران ویندوز می توانند بصورت همزمان از لینوکس و ویندوز استفاده کنند. در این میان نسخه هایی از لینوکس نیز وجود دارد که بر روی کامپیوترهای Macintosh نصب می شوند.
فهرست 50 کتاب که توسط سخنرانهای ted توصیه شدهان:
https://blog.ed.ted.com/2015/12/09/50-great-books-recommended-by-ted-and-ted-ed/
https://blog.ed.ted.com/2015/12/09/50-great-books-recommended-by-ted-and-ted-ed/
شق و آزادي مهم ترين كلمات است. انتخاب يكي از آنها ساده است؛ انتخاب عشق و از دست دادن آزادي، ولي براي هميشه فكر آزادي در ذهن شما خواهد بود و عشق را در وجودتان نابود مي سازد. اينگونه به نظر مي رسد كه عشق، مخالف آزادي است. انسان چگونه مي تواند در زندگي اش از آزادي صرفنظر كند؟ حتي به قيمت عشق صرفنظر كردن از آزادي غير ممكن است. روزي فرا مي رسد كه عشق را رها مي كنيد؛ زيرا آزادي برايتان مهم تر مي شود. چگونه مي توان آزاد بود، ولي بدون عشق زندگي كرد؟ عشق نيازي ضروري است. دوست داشتن و دوست داشته شدن، همچون نفس كشيدن براي روح مهم است. همانطور كه بدن بدون تنفس زنده نمي ماند، روح نيز بدون عشق مي ميرد. وقتي ميان عشق و آزادي هماهنگي پديد آيد، رها مي شويد. ميان عشق و آزادي، نه يك، بلكه هردو را انتخاب كنيد. در عشق حركت كنيد و آزاد باشيد. آزاد باقي بمانيد، ولي طوري عمل نكنيد كه آزادي تان با عشق در تضاد باشد.
اشو💦💦💦
اشو💦💦💦
🙏🌹🌺🍀🌺🌹🙏
به کودک نگاه کن. وقتی او به چیزی نگاه می کند کاملا مجذوب است. وقتی با اسباب بازیھایش بازی می کند بی نھایت مجذوب است. به چشمھای یک کودک نگاه کن ، وقتی نگاه می کند فقط چشم می شود. وقتی می شنود فقط گوش می شود. وقتی چیزی می خورد فقط آنجا روی زبانش است. او تبدیل به مزه می شود. کودک را در حال سیب خوردن ببین. با چه شور و شوقی ! با چه انرژی عظیمی! با چه شادمانی و سرخوشی ای ! کودک را ببین که در باغ به دنبال پروانه می دود ... چنان مجذوب است که حتا اگر خدا ظاھر شود اینگونه به دنبالش نمی دود. بی ھیچ تلاشی در وضعیت مراقبه است. کودک را در حال جمع کردن سنگھا در ساحل ببین ، گویی که در حال جمع کردن الماس است. وقتی حواس زنده اند ھمه چیز با ارزش و گرانبھاست. وقتی
حواس زنده اند ھمه چیز روشن و شفاف است.
بعدھا در زندگی ھمان کودک به واقعیت به گونه ای خواھد نگریست که گویی پشت
شیشھ ای تاریک پنھان است. دود و غبار زیادی بر شیشه نشسته و تو پشت آن پنھان شده ای و نگاه می کنی. به ھمین خاطر ھمه چیز تیره و مرده به نظر می رسد. به درخت نگاه می کنی و درخت تیره و کدر به نظرمی رسد ، زیرا چشمھایت ضعیف ھستند. آوازی را می شنوی و جاذبه ای در آن نیست ، زیرا گوشھایت ضعیف ھستند. تو می توانی ساراھا را بشنوی اما نمی توانی قدردان باشی ، زیرا ھوشمندی ات ضعیف شده است
🌺اشو🌺
به کودک نگاه کن. وقتی او به چیزی نگاه می کند کاملا مجذوب است. وقتی با اسباب بازیھایش بازی می کند بی نھایت مجذوب است. به چشمھای یک کودک نگاه کن ، وقتی نگاه می کند فقط چشم می شود. وقتی می شنود فقط گوش می شود. وقتی چیزی می خورد فقط آنجا روی زبانش است. او تبدیل به مزه می شود. کودک را در حال سیب خوردن ببین. با چه شور و شوقی ! با چه انرژی عظیمی! با چه شادمانی و سرخوشی ای ! کودک را ببین که در باغ به دنبال پروانه می دود ... چنان مجذوب است که حتا اگر خدا ظاھر شود اینگونه به دنبالش نمی دود. بی ھیچ تلاشی در وضعیت مراقبه است. کودک را در حال جمع کردن سنگھا در ساحل ببین ، گویی که در حال جمع کردن الماس است. وقتی حواس زنده اند ھمه چیز با ارزش و گرانبھاست. وقتی
حواس زنده اند ھمه چیز روشن و شفاف است.
بعدھا در زندگی ھمان کودک به واقعیت به گونه ای خواھد نگریست که گویی پشت
شیشھ ای تاریک پنھان است. دود و غبار زیادی بر شیشه نشسته و تو پشت آن پنھان شده ای و نگاه می کنی. به ھمین خاطر ھمه چیز تیره و مرده به نظر می رسد. به درخت نگاه می کنی و درخت تیره و کدر به نظرمی رسد ، زیرا چشمھایت ضعیف ھستند. آوازی را می شنوی و جاذبه ای در آن نیست ، زیرا گوشھایت ضعیف ھستند. تو می توانی ساراھا را بشنوی اما نمی توانی قدردان باشی ، زیرا ھوشمندی ات ضعیف شده است
🌺اشو🌺
یک آسیبپذیری بسیار خطرناک بطور گستردهای وبسایتهای شبکه جهانی را تحت تاثیر قرار داده و اگر شما بر روی سرویس دهنده خود از نسخه OpenSSL 1.0.1 از 1.0 استفاده میکنید در معرض حمله هستید و سریعا بهروزرسانیهای مربوطه را انجام دهید. این هشدار مطلبی بود که فعالان و رسانههای امنیت در فنآوری اطلاعات 8 ماه آوریل بطور گستردهای در خروجیهای وبسایتهای اطلاع رسانی و حسابهای کاربری Twitter خود منتشر کردند.
داستان از این قرار بود که آسیبپذیری فوق بطور مستقل توسط شرکت تجاری Codenomicon و بطور همزمان توسط مهندسین امنیت شرکت Google کشف و کتابخانه نرمافزار محبوب رمزنگاری OpenSSL را هدف قرار میداد. این ضعف به مهاجمین این امکان را میداد تا دادههای حفاظت شده توسط SSL را استخراج کند.
کشف کننده این آسیبپذیری که منجر به استخراج 64KB اطلاعات درون حافظه سرویس دهنده میگردد نامش را به دلیل قرار داشتن آن در extension با نام heartbeat به نام Heartbleed bug عنوان کرده (RFC6520) که با شناسه CVE-2014-0160 به ثبت رسیده است. البته در نظر بگیرید که پروتکل SSL/TLS همچنان امن است و این اشکال تنها در پیاده سازی آن رخ داده است اما مسئله آنکه هنوز بخشهایی دیگر از پیاده سازی ممکن است نا امن باشد پابرجاست.
متاسفانه گستردگی استفاده از OpenSSL بسیار زیاد است و شما ممکن است بصورت مستقیم و یا غیر مستقیم با این آسیبپذیری درگیر بوده باشید. در حالت مستقیم شما به عنوان یک سرویس دهنده به کاربران خود شاید منجر به فاش شدن برخی از اطلاعات آنها و یا شاید بیشتر از کمی شده باشید. اما در حالت غیر مستقیم ممکن است سرویسدهندهای که شما با آن سروکار داشتهاید منجر به فاش شدن اطلاعات شما شده باشد.
به هرحال اگر شما بگونهای با این آسیبپذیری درگیر هستید چند احتمال ممکن قابل بررسی است:
کلید اصلی به سرقت رفته باشد: یعنی مهاجم کلید رمزشدن اطلاعات شما را دارد و میتواند به محتوا رمز شده دسترسی داشته و آنها را رمزگشایی کند به هر حال باید از صادر کننده اعتبار نامه بخواهید یک مجوز جدید برای شما صادر کند.
کلید ثانویه به سرقت رفته باشد: اعتبارنامه ها مانند نام کاربری و کلمه عبور توسط مهاجمین به سرقت رفته باشد که باید از کاربران خود بخواهید اطلاعات خود را تغییر دهند.
دادههای سیستم به سرقت رفته باشد: اگر دادههای شما به سرقت رفته و از محدوده آن خبر ندارید متاسفانه تنها میتوانید برای آنها نگران باشید و کار دیگری نمیتوانید انجام دهید.
دادههای ثانویه به سرقت رفته باشد: این دادهها شامل آدرسهای حافظه، اطلاعات ابزارهای امنیتی و یا غیره باشد که در این حالت شما باید به فکر امن سازی سیستم از طریق تغییر پیکربندی باشید.
اما سوالی که طرح میشود این است که کدام نسخههای OpenSSL در معرض حمله هستند؟ در پاسخ باید بگوییم آسیبپذیری نسخههای این برنامه به شرح زیر است که از 14 مارس 2012 در این وضعیت قرار داشتهاند:
نسخه OpenSSL 1.0.1 تا 1.0.1f آسیبپذیر است
نسخه OpenSSL 1.0.1g آسیبپذیر نیست
نسخه OpenSSL 1.0.0 branch آسیبپذیر نیست
نسخه OpenSSL 0.9.8 branch آسیبپذیر نیست
نسخههای سیستمعاملی که از این آسیبپذیری تاثیر گرفتهاند عبارتند از:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
و نسخههای سیستمعامل که نگرانی ندارند عبارتند از:
Debian Squeeze (oldstable), OpenSSL 0.9.😲-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
برای پوشش آسیبپذیری پشتیبانی OpenSSL بهروزرسانی را ارایه کرده است و باید پس از دریافت آن را recompile کنید.
داستان از این قرار بود که آسیبپذیری فوق بطور مستقل توسط شرکت تجاری Codenomicon و بطور همزمان توسط مهندسین امنیت شرکت Google کشف و کتابخانه نرمافزار محبوب رمزنگاری OpenSSL را هدف قرار میداد. این ضعف به مهاجمین این امکان را میداد تا دادههای حفاظت شده توسط SSL را استخراج کند.
کشف کننده این آسیبپذیری که منجر به استخراج 64KB اطلاعات درون حافظه سرویس دهنده میگردد نامش را به دلیل قرار داشتن آن در extension با نام heartbeat به نام Heartbleed bug عنوان کرده (RFC6520) که با شناسه CVE-2014-0160 به ثبت رسیده است. البته در نظر بگیرید که پروتکل SSL/TLS همچنان امن است و این اشکال تنها در پیاده سازی آن رخ داده است اما مسئله آنکه هنوز بخشهایی دیگر از پیاده سازی ممکن است نا امن باشد پابرجاست.
متاسفانه گستردگی استفاده از OpenSSL بسیار زیاد است و شما ممکن است بصورت مستقیم و یا غیر مستقیم با این آسیبپذیری درگیر بوده باشید. در حالت مستقیم شما به عنوان یک سرویس دهنده به کاربران خود شاید منجر به فاش شدن برخی از اطلاعات آنها و یا شاید بیشتر از کمی شده باشید. اما در حالت غیر مستقیم ممکن است سرویسدهندهای که شما با آن سروکار داشتهاید منجر به فاش شدن اطلاعات شما شده باشد.
به هرحال اگر شما بگونهای با این آسیبپذیری درگیر هستید چند احتمال ممکن قابل بررسی است:
کلید اصلی به سرقت رفته باشد: یعنی مهاجم کلید رمزشدن اطلاعات شما را دارد و میتواند به محتوا رمز شده دسترسی داشته و آنها را رمزگشایی کند به هر حال باید از صادر کننده اعتبار نامه بخواهید یک مجوز جدید برای شما صادر کند.
کلید ثانویه به سرقت رفته باشد: اعتبارنامه ها مانند نام کاربری و کلمه عبور توسط مهاجمین به سرقت رفته باشد که باید از کاربران خود بخواهید اطلاعات خود را تغییر دهند.
دادههای سیستم به سرقت رفته باشد: اگر دادههای شما به سرقت رفته و از محدوده آن خبر ندارید متاسفانه تنها میتوانید برای آنها نگران باشید و کار دیگری نمیتوانید انجام دهید.
دادههای ثانویه به سرقت رفته باشد: این دادهها شامل آدرسهای حافظه، اطلاعات ابزارهای امنیتی و یا غیره باشد که در این حالت شما باید به فکر امن سازی سیستم از طریق تغییر پیکربندی باشید.
اما سوالی که طرح میشود این است که کدام نسخههای OpenSSL در معرض حمله هستند؟ در پاسخ باید بگوییم آسیبپذیری نسخههای این برنامه به شرح زیر است که از 14 مارس 2012 در این وضعیت قرار داشتهاند:
نسخه OpenSSL 1.0.1 تا 1.0.1f آسیبپذیر است
نسخه OpenSSL 1.0.1g آسیبپذیر نیست
نسخه OpenSSL 1.0.0 branch آسیبپذیر نیست
نسخه OpenSSL 0.9.8 branch آسیبپذیر نیست
نسخههای سیستمعاملی که از این آسیبپذیری تاثیر گرفتهاند عبارتند از:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
و نسخههای سیستمعامل که نگرانی ندارند عبارتند از:
Debian Squeeze (oldstable), OpenSSL 0.9.😲-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
برای پوشش آسیبپذیری پشتیبانی OpenSSL بهروزرسانی را ارایه کرده است و باید پس از دریافت آن را recompile کنید.
نام این آسیبپذیری برگرفته از حروف آغازین عبارت Virtualized Environment Neglected Operations Manipulation بوده و به مفهوم دستکاری بخش مورد غفلت واقع شدهای است که در اغلب مجازیسازها مورد استفاده قرار میگیرد. این بخش، کنترلر دیسکهای فلاپی مجازی در امولاتور متن باز QEMU است.
این آسیبپذیری یکی از جدیترین آسیبپذیریهای کشف شده در نرمافزارهای مجازیساز است و با سوءاستفاده از آن میتوان به ماشینهایی که بهصورت مجازی پیادهسازی شدهاند، نفوذ کرد.
برای سوءاستفاده از این آسیبپذیری بایستی نفوذگر به یکی از ماشینهای مجازی دسترسی root داشته باشد. پس از آن نفوذگر میتواند با سوءاستفاده از آسیبپذیری، کنترل سایر ماشینهای مجازی موجود بر روی میزبان اصلی را بهدست آورد. بهعنوان مثال، نفوذگر میتواند ابتدا سعی در یافتن یک ماشین نا امن نموده و آن را تسخیر نماید. سپس بهسادگی خواهد توانست سایر ماشینهای امن موجود بر روی میزبان اصلی را نیز تسخیر نماید. اجاره نمودن یک ماشین مجازی، جالبترین راه برای نفوذ به تعداد زیادی ماشین مجازی است.
مجازیسازهای Xen، KVM و Oracle از جمله مجازیسازهای آسیبپذیر بوده که از کنترلر فوق استفاده نمودهاند. مجازیسازهای VMWare، Microsoft Hyper-V و Bochs hypervisors دارای آسیبپذیری فوق نمیباشند. فعال بودن یا غیرفعال بودن دیسک فلاپی مجازی در ماشین مجازی، تاثیری بر روند سوءاستفاده از آسیبپذیری ندارد.
راه حل برطرف نمودن آسیبپذیری، اعمال بهروزرسانی و سپس بازنشانی است. البته بایستی توجه نمود که علاوهبر بهروزرسانی و بازنشانی خود مجازیسازها، بایستی تمامی سرویسدهندههای لینوکسی که QEMU بر روی آنها نصب شده است نیز باید بهروزرسانی و بازنشانی شوند.
شایان ذکر است که انجام بازنشانی پس از بهروزرسانی الزامی است. این امر برای سرویسدهندگان بزرگ که با صرف هزینه بسیار برای مدت زمان طولانی سرورهای خود را بازنشانی ننمودهاند، ابداً خوشایند نیست و بههمین دلیل در وبسایت https://www.venomfix.com روشی برای دور زدن بازنشانی در حالتهای خاص پیشنهاد شده است. در این حالت، کل سیستم بازنشانی نمیگردد و تنها برای مدت زمانی کمتر از یک دقیقه سیستم قفل شده و سپس بهحالت عادی برمیگردد.
جزئیات آسیبپذیری و نحوه سوءاستفاده از آن در وبلاگ کاشف آسیبپذیری با آدرس https://blog.crowdstrike.com/venom-vulnerability-details قابل دسترسی است.
در انتها برای سهولت، وصلهها و توصیههای منتشر شده مرتبط با آسیبپذیری Venom توسط سازندگان مختلف فهرست شده است:
QEMU: https://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
Xen Project: https://xenbits.xen.org/xsa/advisory-133.html
Red Hat: https://access.redhat.com/articles/1444903
Citrix: https://support.citrix.com/article/CTX201078
FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
Rackspace: https://community.rackspace.com/general/f/53/t/5187
Ubuntu: https://www.ubuntu.com/usn/usn-2608-1/
Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
SUSE: https://www.suse.com/security/cve/CVE-2015-3456.html
DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
Joyent: https://help.joyent.com/entries/68099220-Security-Advisory-on-Venom-CVE-2015-3456-in-KVM-QEMU
Liquid Web: https://www.liquidweb.com/kb/information-on-cve-2015-3456-qemu-vulnerability-venom/
UpCloud: https://status.upcloud.com/incidents/tt05z2340wws
Amazon: https://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/
Oracle: https://www.oracle.com/technetwork/topics/security/alert-cve-2015-3456-2542656.html
Barracuda Networks: https://community.barracudanetworks.com/forum/index.php?/topic/25582-cve-2015-3456-venom-vulnerability/?p=71567
CentOS: https://www.centosblog.com/critical-qemu-vulnerability-venom-affects-xen-kvm-virtualbox-xenserver/
Fortinet: https://www.fortiguard.com/advisory/FG-IR-15-012/
Cisco: https://tools.cisco.com/quickview/bug/CSCuu45000
IBM: https://www-304.ibm.com/connections/blogs/PSIRT/entry/venom_cve_2015_3456?lang=en_us
HP: https://h20566.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04685037/font>
این آسیبپذیری یکی از جدیترین آسیبپذیریهای کشف شده در نرمافزارهای مجازیساز است و با سوءاستفاده از آن میتوان به ماشینهایی که بهصورت مجازی پیادهسازی شدهاند، نفوذ کرد.
برای سوءاستفاده از این آسیبپذیری بایستی نفوذگر به یکی از ماشینهای مجازی دسترسی root داشته باشد. پس از آن نفوذگر میتواند با سوءاستفاده از آسیبپذیری، کنترل سایر ماشینهای مجازی موجود بر روی میزبان اصلی را بهدست آورد. بهعنوان مثال، نفوذگر میتواند ابتدا سعی در یافتن یک ماشین نا امن نموده و آن را تسخیر نماید. سپس بهسادگی خواهد توانست سایر ماشینهای امن موجود بر روی میزبان اصلی را نیز تسخیر نماید. اجاره نمودن یک ماشین مجازی، جالبترین راه برای نفوذ به تعداد زیادی ماشین مجازی است.
مجازیسازهای Xen، KVM و Oracle از جمله مجازیسازهای آسیبپذیر بوده که از کنترلر فوق استفاده نمودهاند. مجازیسازهای VMWare، Microsoft Hyper-V و Bochs hypervisors دارای آسیبپذیری فوق نمیباشند. فعال بودن یا غیرفعال بودن دیسک فلاپی مجازی در ماشین مجازی، تاثیری بر روند سوءاستفاده از آسیبپذیری ندارد.
راه حل برطرف نمودن آسیبپذیری، اعمال بهروزرسانی و سپس بازنشانی است. البته بایستی توجه نمود که علاوهبر بهروزرسانی و بازنشانی خود مجازیسازها، بایستی تمامی سرویسدهندههای لینوکسی که QEMU بر روی آنها نصب شده است نیز باید بهروزرسانی و بازنشانی شوند.
شایان ذکر است که انجام بازنشانی پس از بهروزرسانی الزامی است. این امر برای سرویسدهندگان بزرگ که با صرف هزینه بسیار برای مدت زمان طولانی سرورهای خود را بازنشانی ننمودهاند، ابداً خوشایند نیست و بههمین دلیل در وبسایت https://www.venomfix.com روشی برای دور زدن بازنشانی در حالتهای خاص پیشنهاد شده است. در این حالت، کل سیستم بازنشانی نمیگردد و تنها برای مدت زمانی کمتر از یک دقیقه سیستم قفل شده و سپس بهحالت عادی برمیگردد.
جزئیات آسیبپذیری و نحوه سوءاستفاده از آن در وبلاگ کاشف آسیبپذیری با آدرس https://blog.crowdstrike.com/venom-vulnerability-details قابل دسترسی است.
در انتها برای سهولت، وصلهها و توصیههای منتشر شده مرتبط با آسیبپذیری Venom توسط سازندگان مختلف فهرست شده است:
QEMU: https://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c
Xen Project: https://xenbits.xen.org/xsa/advisory-133.html
Red Hat: https://access.redhat.com/articles/1444903
Citrix: https://support.citrix.com/article/CTX201078
FireEye: https://www.fireeye.com/content/dam/fireeye-www/support/pdfs/fireeye-venom-vulnerability.pdf
Linode: https://blog.linode.com/2015/05/13/venom-cve-2015-3456-vulnerability-and-linode/
Rackspace: https://community.rackspace.com/general/f/53/t/5187
Ubuntu: https://www.ubuntu.com/usn/usn-2608-1/
Debian: https://security-tracker.debian.org/tracker/CVE-2015-3456
SUSE: https://www.suse.com/security/cve/CVE-2015-3456.html
DigitalOcean: https://www.digitalocean.com/company/blog/update-on-CVE-2015-3456/
f5: https://support.f5.com/kb/en-us/solutions/public/16000/600/sol16620.html
Joyent: https://help.joyent.com/entries/68099220-Security-Advisory-on-Venom-CVE-2015-3456-in-KVM-QEMU
Liquid Web: https://www.liquidweb.com/kb/information-on-cve-2015-3456-qemu-vulnerability-venom/
UpCloud: https://status.upcloud.com/incidents/tt05z2340wws
Amazon: https://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/
Oracle: https://www.oracle.com/technetwork/topics/security/alert-cve-2015-3456-2542656.html
Barracuda Networks: https://community.barracudanetworks.com/forum/index.php?/topic/25582-cve-2015-3456-venom-vulnerability/?p=71567
CentOS: https://www.centosblog.com/critical-qemu-vulnerability-venom-affects-xen-kvm-virtualbox-xenserver/
Fortinet: https://www.fortiguard.com/advisory/FG-IR-15-012/
Cisco: https://tools.cisco.com/quickview/bug/CSCuu45000
IBM: https://www-304.ibm.com/connections/blogs/PSIRT/entry/venom_cve_2015_3456?lang=en_us
HP: https://h20566.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04685037/font>
استخدام
۱) یک شرکت فعال درزمینه امنیت فناوری اطلاعات واقع در تهران برای تکمیل کادر پرسنلی خود بدنبال همکار خانم با مشخصات زیر است:
مسئولیت ها:
انجام امور اداری و دفتری
پاسخگویی و برقراری ارتباط تلفنی با مشتریان
انجام امور تله مارکتینگ (فروش از وظایف ایشان نمی باشد)
قابلیت ها:
آشنا به نرم افزارهای دفتری
روابط عمومی قوی
لطفا رزومه های خود را به آدرس زیر ارسال فرمایید. در موضوع امور اداری قید گردد
[email protected]
۲) کارآموز رایگان شبکه و امنیت
آقا با مشخصات زیر:
فارغ التحصیل رشته های مرتبط دانشجوی ارشد رشته های مرتبط
سپری کردن دوره آموزشی ۳ ماهه استخدام بعد از اتمام دوره آزمایشی و موفقیت در آزمون های مربوطه با حقوق وزارت کار و بیمه خواهد بود.
لطفا رزومه خود را به آدرس زیر ارسال فرمایید. در موضوع کارآموز شبکه و امنیت قید گردد
[email protected]
۱) یک شرکت فعال درزمینه امنیت فناوری اطلاعات واقع در تهران برای تکمیل کادر پرسنلی خود بدنبال همکار خانم با مشخصات زیر است:
مسئولیت ها:
انجام امور اداری و دفتری
پاسخگویی و برقراری ارتباط تلفنی با مشتریان
انجام امور تله مارکتینگ (فروش از وظایف ایشان نمی باشد)
قابلیت ها:
آشنا به نرم افزارهای دفتری
روابط عمومی قوی
لطفا رزومه های خود را به آدرس زیر ارسال فرمایید. در موضوع امور اداری قید گردد
[email protected]
۲) کارآموز رایگان شبکه و امنیت
آقا با مشخصات زیر:
فارغ التحصیل رشته های مرتبط دانشجوی ارشد رشته های مرتبط
سپری کردن دوره آموزشی ۳ ماهه استخدام بعد از اتمام دوره آزمایشی و موفقیت در آزمون های مربوطه با حقوق وزارت کار و بیمه خواهد بود.
لطفا رزومه خود را به آدرس زیر ارسال فرمایید. در موضوع کارآموز شبکه و امنیت قید گردد
[email protected]
This media is not supported in your browser
VIEW IN TELEGRAM