آدرس URL سایت شرکت مورد نظر خود را در فیلد Whois Lookup وارد کنید و سپس دکمه Whois را فشار دهید .
نتایج را ببینید و موارد زیر را تشخیص دهید :
Registered address
Technical and DNS contacts
Contact email
Contact phone number
Expiration date
سپس به وبسایت شرکت بروید و اطلاعات تماس بدست آمده از Whois را با نامهای تما س , آدرس ها و ایمیل آدرس های موجود در وبسایت مقایسه کنید تا ببینید برابری دارند یا نه.
اگر این گونه بود با استفاده از ابزار گوگل اسامی و آدرس های ایمیل کارمندان را جستجو کنید . از این طریق می توانید به قوانین نام گذاری ایمیل ها که توسط سازمان وضع شده پی ببرید .
نتایج را ببینید و موارد زیر را تشخیص دهید :
Registered address
Technical and DNS contacts
Contact email
Contact phone number
Expiration date
سپس به وبسایت شرکت بروید و اطلاعات تماس بدست آمده از Whois را با نامهای تما س , آدرس ها و ایمیل آدرس های موجود در وبسایت مقایسه کنید تا ببینید برابری دارند یا نه.
اگر این گونه بود با استفاده از ابزار گوگل اسامی و آدرس های ایمیل کارمندان را جستجو کنید . از این طریق می توانید به قوانین نام گذاری ایمیل ها که توسط سازمان وضع شده پی ببرید .
پایگاه داده ای است که شامل اطلاعاتی همچون صاحبان آیپی آدرس های استاتیک است . می توان با استفاده از ابزار Whois به پایگاه داده ARIN درخواست فرستاد. مثل یک پایگاه داده که در آدرس www.arin.net قرار گرفته است .
شکل زیر درخواست Whois برای سایت یاهو را نشان می دهد .یک هکر می تواند از این اطلاعات تشخیص دهد که چه شخصی یا سازمانی مسولیت یک آیپی آدرس بخصوص را عهده دار است یا این که هکر با استفاده از این اطلاعات یک حمله مهندسی اجتماعی بر علیه یک سازمان را صورت دهد . شما به عنوان یک متخصص امنیتی نیاز دارید تا از اطلاعات قابل جستجو و در دسترس در پایگاه داده های این چنینی مثل ARIN آگاه شوید تا مطمئن شوید یک هکر بدذات با استفاده از این اطلاعات موجود نتواند بر علیه سازمان شما حمله و یا فعالیتی را صورت دهد .
شکل زیر درخواست Whois برای سایت یاهو را نشان می دهد .یک هکر می تواند از این اطلاعات تشخیص دهد که چه شخصی یا سازمانی مسولیت یک آیپی آدرس بخصوص را عهده دار است یا این که هکر با استفاده از این اطلاعات یک حمله مهندسی اجتماعی بر علیه یک سازمان را صورت دهد . شما به عنوان یک متخصص امنیتی نیاز دارید تا از اطلاعات قابل جستجو و در دسترس در پایگاه داده های این چنینی مثل ARIN آگاه شوید تا مطمئن شوید یک هکر بدذات با استفاده از این اطلاعات موجود نتواند بر علیه سازمان شما حمله و یا فعالیتی را صورت دهد .
دیباگر جدیدی که از سوی مؤسسه فناوری ماساچوست (MIT) ارائه شده است تنها در 64 ثانیه توانایی تحلیل هر برنامه و شناسایی مشکلات آنرا دارد. با بهرهمندی از خصیصههای ذاتی و خاص روبی، سیستم MIT موفق شد، 23 مشکل امنیتی در 50 برنامه محبوب تحت وب را شناسایی کند. اما چشمگیرتر از این دستاورد مهم اینکه، این ابزار برای تحلیل هر برنامه کاربردی تنها به 64 ثانیه زمان نیاز دارد. این فرآیند با اتکا به توانمندیهای روبی و بر اساس عملیاتهای اصلی در کتابخانه این زبان امکانپذیر شده است. زمانی که محققان MIT اقدام به بازنویسی کتابخانههای مذکور کردند، عملیاتی که در مجموعههای آن کتابخانهها انجام میشوند را مجبور کردند تا رفتار خودشان را با استفاده از یک زبان منطقی توصیف کنند. کاترین نویز، از IDG News Service این فرآیند را اینگونه توصیف میکند: « مفسر Rails که برنامههای سطح بالای Rails را به کدهای قابل فهم ماشینی تبدیل میکند، درون یک ابزار تحلیلی ایستا که توصیف میکند چگونه دادهها در سراسر برنامه مورد استفاده قرار میگیرند، قرار دارد. در نهایت، محققان با شکستن خط به خط دستورات برنامه موفق به کشف این مسئله شدند که یک برنامه چگونه اقدام به تفسیر دادهها میکند.»
MIT این ابزار اشکال زادی خود را Space نام نهاده است. ابزاری که تمرکز خاصش بر روش دسترسی به دادهها در یک برنامه کاربردی استوار است. این ابزار به محققان اجازه میدهد تا مشاهده کنند یک کاربر در سناریوهای مختلف چه کارهایی روی دادهها انجام میدهد. بر اساس توصیف کتابخانههای بازنویسی شده، Space با دنبال کردن پروتکلها میتواند بیان کند چگونه یک برنامه بر اساس یک نقص امنیتی خاتمه پیدا کرده است. دانیل جسکون، استاد دانشگاه مهندسی برق و علوم کامپیوتر در بیانهای که در قالب اخبار MIT منتشر میشود، گفته است: «زمانی که شما به چیزی شبیه به یک برنامه کاربردی تحت وب که با استفاده از زبانی شبیه به Ruby On Rails نوشته شده است، نگاه کنید و سعی کنید یک تجزیه و تحلیل ایستای معمولی را انجام دهید، آنگاه خود را در باتلاقی مشاهده خواهید کرد که بیرون آمدن از آن کار چندان راحتی نخواهد بود. همین موضوع باعث میشود تا پیادهسازی چنین تحلیلهای ایستایی در عمل تقریبا غیر ممکن باشد. از این پس با استفاده از Space، دانشمندان این توانایی را دارند تا یک راه حل امکانپذیرتر را ارائه کنند. »
#ruby #ruby_on_rail
MIT این ابزار اشکال زادی خود را Space نام نهاده است. ابزاری که تمرکز خاصش بر روش دسترسی به دادهها در یک برنامه کاربردی استوار است. این ابزار به محققان اجازه میدهد تا مشاهده کنند یک کاربر در سناریوهای مختلف چه کارهایی روی دادهها انجام میدهد. بر اساس توصیف کتابخانههای بازنویسی شده، Space با دنبال کردن پروتکلها میتواند بیان کند چگونه یک برنامه بر اساس یک نقص امنیتی خاتمه پیدا کرده است. دانیل جسکون، استاد دانشگاه مهندسی برق و علوم کامپیوتر در بیانهای که در قالب اخبار MIT منتشر میشود، گفته است: «زمانی که شما به چیزی شبیه به یک برنامه کاربردی تحت وب که با استفاده از زبانی شبیه به Ruby On Rails نوشته شده است، نگاه کنید و سعی کنید یک تجزیه و تحلیل ایستای معمولی را انجام دهید، آنگاه خود را در باتلاقی مشاهده خواهید کرد که بیرون آمدن از آن کار چندان راحتی نخواهد بود. همین موضوع باعث میشود تا پیادهسازی چنین تحلیلهای ایستایی در عمل تقریبا غیر ممکن باشد. از این پس با استفاده از Space، دانشمندان این توانایی را دارند تا یک راه حل امکانپذیرتر را ارائه کنند. »
#ruby #ruby_on_rail
آیا قدرت و توانایی هکرها بی حد و مرز است؟
یک امپراطوری عظیم متشکل از میلیاردها دستگاه و ماشین که در قالب اینترنت اشیا به زندگی مدرن انسانها وارد شدهاند، موضوعی گذرا و مقطعی نیست. سیستمهای ناوبری ماشینهای خودران، تلویزیونهای هوشمند، ترموستاتها، شبکههای ارتباطی تلفنها، سیستمهای امنیتی خانگی، بانکداری آنلاین و تقریبا هر آن چیزی که تصور آنرا میکنید به دنیای وب گره خورده است. وجه مشترک تمامی این وسایل، دستگاهی است به نام اسمارتفون. ابزاری که به راستی لقب امپراطور سزاوار آن است. اما به شما هشدار میدهیم به دقت در مورد آنچه در پشت اسمارتفون خود به زبان میآورید، محتاط باشید. ما به شما نشان میدهیم چرا باید این حرف را جدی بگیرید!
نزدیک به دو روز پیش خبری عجیب و البته نگران کننده در دنیای فناوری منتشر شد. مهندسی آلمانی به نام کارلستن نول مدعی شده بود که توانایی هک کردن اسمارتفونها را تنها با یک شماره تلفن دارد. این خبر دستمایه مراجعت خبرنگار سایت 60 دقیقه به آلمان شد. در برلین آلمان خبرنگار 60 دقیقه موفق شد، این مهندس آلمانی را که از دانشگاه ویرجینیا در رشته مهندسی کامپیوتر فارغ التحصیل شده بود ملاقات کرد.
برای اولین بار خبرنگار مزبور اجازه یافت به درون آزمایشگاه تحقیقاتی این تیم امنیتی آلمانی وارد شوند. در طول روز، این آزمایشگاه نزدیک به 500 توصیه امنیتی به شرکتهای مختلف ارائه میکند. اما در شب این تیم از هکرهای بینالمللی به دنبال رخنههایی در دستگاههایی همچون اسمارتفونها، حافظههای فلش و کارتهای SIM هستند که ما بهطور روزانه از آنها استفاده میکنیم. آنها سعی میکنند آسیبپذیریها را قبل از آنکه مورد استفاده هکرها قرار گیرند شناسایی کرده و به افکار عمومی در خصوص مخاطرات امنیتی آنها هشدار دهند. در این آزمایشگاه سامانههای کامپیوتری با استفاده از تجهیزات میکرو لیزر مورد آزمایش قرار میگیرند. بهطوری که کارشناسان امنیتی این آزمایشگاه دستگاهها و سامانهها را به دو صورت فیزیکی و دیجیتالی مورد آزمایش قرار داده و سعی میکنند به آنها نفوذ کنند. اما این تیم به سرپرستی نول به رهاورد بزرگی در این زمینه دست یافته است. این رهاورد باعث به وجود آمدن این سؤال شده است، کدامیک بهتر هستند؟ آندروید یا آیفون؟ نول در جواب این پرسش میگوید: «همه تلفنها یکسان هستند.»
نول میگوید: «جان هرینگ مدیرعامل Lokkout تحقیق مفصلی در ارتباط با امنیت انجام داده است. تحقیق انجام شده توسط او نشان میدهد، نزدیک به 20 هزار هکر از طریق یک کنوانسیون غیر متعارف هر ساله اسرار و مهارتهای خود را با یکدیگر به اشتراک قرار میدهند.»
آیا نفوذ بر مبنای شماره تلفن امکانپذیر است؟
نول پاسخ میدهد: «شما با در اختیار داشتن یک شماره تلفن قادر به نفوذ به یک اسمارتفون هستید. این رخنه جدید به هکرها این توانایی را میدهد، با در اختیار داشتن شماره تلفن شما، هر مکالمه و فعالیتی که انجام میدهید را دنبال کنند. تکنیکهای پیچیده هکری که برای جاسوسی تماسها، پیامها و ردیابی افراد مورد استفاده قرار میگرفت را فراموش کنید، اینکار به سادگی و تنها با شماره تلفن شما انجام میشود. تیم ما موفق به شناسایی راهکار بسیار سادهای شده است که با استفاده از آن میتوان به اسمارتفونها وارد شد. ما برای آنکه عملی بودن این راهکار را به جهان نشان دهیم، به اسمارتفون یک مقام دولتی ایالات متحده نفوذ کردیم. به عبارت دقیقتر ما به سراغ تد لیو از نمایندگان کنگره رفتیم که مدرک علوم کامپیوتر خود را از دانشگاه استنفورد دریافت کرده است و اکنون عضو کمیته فناوری اطلاعات است.»
نول میگوید: «هر سیستمی قابل نفوذ است، تنها باید بدانید چگونه آنرا بشکنید.»
نول پاسخ میدهد: «شما با در اختیار داشتن یک شماره تلفن قادر به نفوذ به یک اسمارتفون هستید. این رخنه جدید به هکرها این توانایی را میدهد، با در اختیار داشتن شماره تلفن شما، هر مکالمه و فعالیتی که انجام میدهید را دنبال کنند. تکنیکهای پیچیده هکری که برای جاسوسی تماسها، پیامها و ردیابی افراد مورد استفاده قرار میگرفت را فراموش کنید، اینکار به سادگی و تنها با شماره تلفن شما انجام میشود. تیم ما موفق به شناسایی راهکار بسیار سادهای شده است که با استفاده از آن میتوان به اسمارتفونها وارد شد. ما برای آنکه عملی بودن این راهکار را به جهان نشان دهیم، به اسمارتفون یک مقام دولتی ایالات متحده نفوذ کردیم. به عبارت دقیقتر ما به سراغ تد لیو از نمایندگان کنگره رفتیم که مدرک علوم کامپیوتر خود را از دانشگاه استنفورد دریافت کرده است و اکنون عضو کمیته فناوری اطلاعات است.»
نول میگوید: «هر سیستمی قابل نفوذ است، تنها باید بدانید چگونه آنرا بشکنید.»
مشکل کار در کجاست؟
در این مصاحبه خبرنگار سایت 60 دقیقه از نول سؤال کرده است که مشکل کار دقیقا کجاست؟ نول اینگونه پاسخ داده است: «سیستم سیگنالینگ شماره هفت (Signaling System Seven) که به اختصار SS7 نامیده میشود، قلب سیستم جهانی تلفنهای همراه را شکل میدهد. شرکتهای تولید کننده تلفنهمراه از SS7 برای تبادل اطلاعات استفاده میکنند. میلیاردها تماس و پیام متنی از طریق این سیستم در طول روز مبادله میشوند. SS7 مکانیزیمی است که به تلفنهای همراه اجازه رومینگ میدهد. هر شخصی برای برقراری تماس یا ارسال پیامها به SS7 نیاز دارد. جالب آنکه بسیاری از مردم حتی از وجود چنین شبکهای بی اطلاع هستند. ما موفق به شناسایی یک رخنه امنیتی در این سیستم شدیم. اما SS7 تنها راهکار پیشروی هکرها نیست. »
یک شماره تلفن چه اطلاعاتی در اختیار هکر قرار میدهد؟
کارستن نول، مهندس آلمانی در ادامه گفته است: «همه آن چیزی که هکرها به آن نیاز دارند، شماره تلفن کاربر است. شماره تلفن به یک هکر این توانایی را میدهد تا محل تقریبی هدف را شناسایی کرده، مکانهایی که او به آنجا میرود را شناسایی کرده، افرادی که با او تماس میگیرند را تشخیص داده، صحبتهایی که مابین دو طرف رد و بدل میشوند را ضبط کرده و در نهایت اطلاع پیدا کند چه پیامهای کوتاهی مابین دو طرف مبادله شده است.» اگر شماره تلفن صاحب آیفون را در اختیار داشته باشید و همچنین از یک رخنه شبکهای آگاه باشید، این راهکار در اختیار شما قرار دارد. نول بر مبنای این استراتژی موفق شد به اسمارتفون یکی از نمایندگان کالیفرنیا نفوذ پیدا کند. ( اینکار با هماهنگی این نماینده انجام شده بود.) در این آزمایش او موفق شد به مدت 60 دقیقه مکالمه این نماینده و مکانیهایی که او به سمت آنها حرکت میکند را ضبط کنند. بهطوری که مخاطبان این شخص، پینکد وارد شده توسط او، برنامههایی که روی اسمارتفون او نصب شده یا از روی آن برداشته شدهاند، همگی قابل کنترل بودند. جالب آنکه این استراق سمع بدون آنکه هیچگونه تأثیری بر کارکرد تلفن همراه این شخص بگذارد انجام شده بود، به این دلیل که هدف اصلی شبکه موبایل مورد استفاده توسط این اسمارتفون گزارش شده است.
در این مصاحبه خبرنگار سایت 60 دقیقه از نول سؤال کرده است که مشکل کار دقیقا کجاست؟ نول اینگونه پاسخ داده است: «سیستم سیگنالینگ شماره هفت (Signaling System Seven) که به اختصار SS7 نامیده میشود، قلب سیستم جهانی تلفنهای همراه را شکل میدهد. شرکتهای تولید کننده تلفنهمراه از SS7 برای تبادل اطلاعات استفاده میکنند. میلیاردها تماس و پیام متنی از طریق این سیستم در طول روز مبادله میشوند. SS7 مکانیزیمی است که به تلفنهای همراه اجازه رومینگ میدهد. هر شخصی برای برقراری تماس یا ارسال پیامها به SS7 نیاز دارد. جالب آنکه بسیاری از مردم حتی از وجود چنین شبکهای بی اطلاع هستند. ما موفق به شناسایی یک رخنه امنیتی در این سیستم شدیم. اما SS7 تنها راهکار پیشروی هکرها نیست. »
یک شماره تلفن چه اطلاعاتی در اختیار هکر قرار میدهد؟
کارستن نول، مهندس آلمانی در ادامه گفته است: «همه آن چیزی که هکرها به آن نیاز دارند، شماره تلفن کاربر است. شماره تلفن به یک هکر این توانایی را میدهد تا محل تقریبی هدف را شناسایی کرده، مکانهایی که او به آنجا میرود را شناسایی کرده، افرادی که با او تماس میگیرند را تشخیص داده، صحبتهایی که مابین دو طرف رد و بدل میشوند را ضبط کرده و در نهایت اطلاع پیدا کند چه پیامهای کوتاهی مابین دو طرف مبادله شده است.» اگر شماره تلفن صاحب آیفون را در اختیار داشته باشید و همچنین از یک رخنه شبکهای آگاه باشید، این راهکار در اختیار شما قرار دارد. نول بر مبنای این استراتژی موفق شد به اسمارتفون یکی از نمایندگان کالیفرنیا نفوذ پیدا کند. ( اینکار با هماهنگی این نماینده انجام شده بود.) در این آزمایش او موفق شد به مدت 60 دقیقه مکالمه این نماینده و مکانیهایی که او به سمت آنها حرکت میکند را ضبط کنند. بهطوری که مخاطبان این شخص، پینکد وارد شده توسط او، برنامههایی که روی اسمارتفون او نصب شده یا از روی آن برداشته شدهاند، همگی قابل کنترل بودند. جالب آنکه این استراق سمع بدون آنکه هیچگونه تأثیری بر کارکرد تلفن همراه این شخص بگذارد انجام شده بود، به این دلیل که هدف اصلی شبکه موبایل مورد استفاده توسط این اسمارتفون گزارش شده است.