ITanalyze

طبق گزارشی جدید اتحادیه اروپا از زمان وضع قوانین سختگیرانه تر برای حفظ حریم شخصی کاربران اروپا شرکت های فناوری را ۱۱۴ میلیون یورو برای نشت اطلاعات کاربران جریمه کرده است.

به گزارش خبرگزاری مهر به نقل از رویترز، قانونگذاران اتحادیه اروپا از زمان اجرای قوانین سختگیرانه تر برای حفظ حریم شخصی کاربران در سال ۲۰۱۸ تاکنون ۱۱۴ میلیون یورو به دلیل نشت اطلاعات برای شرکت‌های خاطی جریمه تعیین کرده اند. این در حالی است که کشورهای مختلف این اتحادیه شیوه‌های گوناگونی را برای مقابله با این امر اتخاذ کرده اند.

طبق گزارش شرکت حقوقی DLA Piper فرانسه تاکنون بیشترین میزان جریمه در یک مورد را وضع کرده است. این کشور جریمه ای ۵۰ میلیون یورویی علیه گوگل وضع کرد. از سوی دیگر هلند، انگلیس و آلمان بیشترین تعداد هشدارها درباره نشت اطلاعات را صادر کرده اند.

قانون کلی حفاظت از اطلاعات کاربران برای حفظ اطلاعات شخصی شهروندان اروپایی وضع شده و طبق آن شرکت‌هایی که بدون رضایت کاربر اطلاعات را منتشر کنند، با جریمه‌های سنگینی روبرو خواهند شد.

۲۸ دفتر ملی حفاظت اطلاعات در کشورهای عضو اتحادیه اروپا بر اجرای این قانون را نظارت می‌کنند اما بخش اعظم این مسئولیت به طور نامتوازن بر دوش ایرلند است. این کشور رهبر قانونگذاری برای شرکت‌های بزرگ سیلیکون ولی است که در کشورهای اروپایی نیز فعالیت می‌کنند مانند فیس بوک.

البته طبق این گزارش میزان جریمه‌های نقدی مربوط به نشت اطلاعات در مقایسه با جریمه‌های مربوط به پرونده‌های آنتی تراست (ضدانحصار) در کشورهای اتحادیه اروپا بسیار اندک است.

در عمل قانونگذاران اتحادیه اروپا می‌توانند معادل ۲ و در برخی موارد ۴ درصد از درآمد مالی شرکت در سراسر جهان را به عنوان جریمه برای نشت اطلاعات کاربران تعیین کنند.

کاربران متوجه شده اند فیس بوک نام رئیس جمهور چین را به زبان میانماری کلمه ای اهانت آمیز ترجمه کرده است. به گفته شرکت این اشتباه در نتیجه یک اختلال فنی ایجاد شده است.

به گزارش خبرگزاری مهر به نقل از انگجت، به نظر می رسد محدودیت های فناوری نوین ترجمه برای فیس بوک دردسرساز شده است. برخی کاربران این شبکه اجتماعی متوجه شدند نام رئیس جمهور چین از زبان میانماری به انگلیسی به اشتباه کلمه ای اهانت آمیز ترجمه شده و به همین دلیل این پلتفرم مجبور شد عذرخواهی کند.

این شرکت اختلال فنی را دلیل این اشتباه عنوان کرده  است. طبق ادعای فیس بوک نام رئیس جمهور چین (شی جینپنیگ) به زبان میانماری در مخزن اطلاعات این شرکت وجود نداشته و همین امر به خطا در ترجمه منتهی شده است.

این شرکت همچنین در بیانیه خود اعلام کرده مشغول ترمیم این مشکل در اسرع وقت است.

البته تا به حال موتور ترجمه گوگل با چنین مشکل مشابهی روبرو نشده است.

اختلال فنی در ترجمه نام رئیس جمهور چین در حالی اتفاق می افتد که وی نسبت به مسخره کردن افراد بسیار حساس است.

یک هکر کلمات عبور بیش از نیم میلیون سرور، روتر و سیستم‌های اینترنت اشیا را در اینترنت منتشر کرده و در دسترس عموم قرار داده است.

به گزارش خبرگزاری مهر به نقل از زددی نت، سرورها و روترهای هک شده مربوط به کشورهای متنوعی هستند. اما بخش اعظم آنها در اروپا و سپس در آمریکا واقع هستند.

فهرست یادشده که کلمات عبور بیش از ۵۱۵ هزار سرور و روتر و سیستم اینترنت اشیا را در بر می‌گیرد، در یک فوروم آنلاین منتشر شده و شامل آدرس‌های آی پی هر یک از ابزار هک شده و نام کاربری و کلمات عبور آنها نیز هست.

هکر مذکور برای یافتن این اطلاعات، ابتدا کلمات عبور پیش فرض کارخانه‌ای را امتحان کرده و از این طریق بخشی از اطلاعات خود را به دست آورده است. وی سپس بعضی کلمات عبور ساده را حدس زده و بدین شیوه هم اطلاعات خود را تکمیل کرده است.

خرابکاران اینترنتی با استفاده از این اطلاعات می‌توانند به طور مخفیانه بدافزارهای خود را به سرورها و ابزار اینترنت اشیا منتقل کنند و از آنها برای سرقت اطلاعات و نفوذ به سایت‌های مختلف بهره بگیرند.

پیش از این در آگوست سال ۲۰۱۷ هم یک فهرست ۳۳ هزارتایی از کلمات عبور مجموعه‌ای از روترهای خانگی منتشر شده بود. اما تنوع و گستردگی فهرست جدید نگران کننده است.

شرکت اپرا که مدعی عرضه یک مرورگر اینترنتی ایمن است، حالا به اجرای طر‌ح‌هایی متهم شده که موجب نقض حریم شخصی و امنیت کاربران می‌شود.
کلاهبرداری اپرا در سه کشور جهان

به گزارش فارس به نقل از انگجت، بررسی‌های موسسه هیندربرگ نشان می‌دهد که شرکت اپرا برنامه‌هایی را برای اجرا در سیستم عامل اندروید طراحی کرده که موجب نقض سیاست‌های فروشگاه گوگل پلی در زمینه حفاظت از حریم شخصی کاربران هستند.

برنامه‌های یادشده که CashBean، OKash، OPay  و OPesa نام دارند، کاربرانی در کشورهای هند، کنیا و نیجریه را هدف قرار داده‌ و برای دریافت وام طراحی شده‌اند. اما این وام‌ها نرخ بهره بالایی دارند و شیوه بازپرداخت آنها به گونه‌ای است که موجب ایجاد مشکلات فراوان برای کاربران می‌شوند.

در شرایطی که ادعا می‌شود با استفاده از این برنامه‌ها می‌توان وام‌های با نرخ بهره ۳۳ درصد یا کمتر دریافت کرد، اما گاهی نرخ بهره وام‌های یادشده به رقم حیرت آور ۴۳۸ درصد هم می‌رسد ودر حالی که ادعا می‌شود زمان بازپرداخت این وام ها ۹۱ تا ۳۶۵ روز است، افراد در عمل بین ۱۵ تا ۲۹ روز برای بازپرداخت آنها وقت دارند.

در صورتی که افراد نتوانند طی مدت زمان مشخص شده وام دریافتی را بازپس بدهند،نرخ بهره به ۸۷۶ درصد افزایش می‌یابد و اپلیکیشن‌های یادشده با ارسال پیام‌هایی تهدیدآمیز برای افراد موجود در فهرست تماس هر کاربر موجب آزار و اذیت می شوند. اپرا هنوز واکنشی نسبت به این خبر نشان نداده است.

شرکت چینی هوآوی که به خاطر تحریم‌های سخت‌افزاری و نرم‌افزاری آمریکا باید از همکاری با گوگل فاصله بگیرد، برای جایگزین کردن نرم‌افزار گوگل مپ بر روی گوشی‌های هوشمند ساخت خود با شرکت تام‌تام (TomTom) هلند همکاری می‌کند.

به گزارش پایگاه اینترنتی «تک رادار»، با ادامه تحریم‌های آمریکا علیه شرکت چینی هوآوی، این شرکت که دومین سازنده بزرگ تلفن همراه و بزرگ‌ترین سازنده زیر ساخت‌های مخابراتی جهان است باید روش‌های جدیدی را برای جایگزینی فناوری‌های سخت‌افزاری و نرم‌افزاری که قبلا از کمپانی‌های آمریکایی تامین می‌شد، پیدا می‌کرد. مهمترین تاثیر این تحریم‌ها این است که هوآوی دیگر نمی‌تواند از خدمات گوگل بر روی تلفن‌های ساخت خود استفاده کند.

اما حال این طور به نظر می‌رسد که این غول فناوری چینی برای یکی از سرویس‌های کلیدی گوگل جایگزین مناسب را پیدا کرده است. هوآوی تایید کرده است که از این پس متخصصان ناوبری شرکت TomTom نقشه‌ها، اطلاعات زنده ترافیکی و نرم‌افزار مسیریاب را برای گوشی‌های هوشمند ساخت این شرکت تامین خواهند کرد.

به گزارش ایرنا از آنجایی که TomTom یک شرکت هلندی است هوآوی می‌تواند به کمک آن تحریم‌های تجاری دولت واشنگتن که شرکت‌های آمریکایی را از هرگونه همکاری و معامله با این غول فناوری منع می‌کند، دور بزند.

خبر نشتیِ داده‌ها -از هر نوعش- مرتباً به گوش می‌رسد و همین اواخر نیز گزارش رقم‌های غرامت باب شده است. برخی از این ارقام حتی به میلیارد دلار هم می‌رسد. اگر شرکت‌ها مجبور باشند برای نشتی داده‌ها غرامت دهند به طور حتم بخشی از این پول به دست قربانیان می‌رسد مگر نه؟

غافلگیری از سوی کمیسیون تجارت آمریکا

اخیراً سایتی نظر ما را به خود جلب کرد. صفحه‌ی اصلی این سایت که ظاهراً برای صندوقی به نام Personal Data Protection (محافظت از داده‌های شخصی) است می‌گوید این بنیاد ساخته‌ی کمیسیون تجارت آمریکا است. در نگاه اول، سایت با طراحی ساده‌اش و نمایش مبلغی بالا در سمت راست به نظر معقول می‌آید. بنر بزرگی در بالای صفحه اعلام کرده است این بنیاد برای نشت داده‌های شخصی غرامت می‌پردازد- غرامتی که شهروندان هر کشوری از جهان می‌توانند برایش درخواست دهند.

این سایت به علاقه‌مندان پیشنهاد می‌دهد چک کنند ببینند آیا اصلاً اطلاعاتشان نشت شده است یا خیر. بدین منظور، فرد باید نام، نام خانوادگی، شماره تماس و اکانت‌های شبکه‌های اجتماعی خود را مشخص کند. بالای فرم ورودی هم هشداری است که می‌گوید وارد کردن داده‌های افراد دیگر جریمه‌ی سنگینی در پی خواهد داشت.

با این حال، کشف بعمل آمده است که این وبسایت هر اطلاعاتی را می‌پذیرفته (حتی چرندترینِ آن‌ها را)؛ برای مثال، ما داده‌های شخصی شهروندی به نام fghfgh fghfgh را هم وارد کردیم. این سایت بعد از کمی تأمل ظاهراً به پایگاه اطلاعاتی مربوط به نشتی‌ها وصل شده بود و ...

... و فکرش را بکنید: این سایت برای شخصیت خیالی ما که نامش حتی تلفظ شود هم نمی‌توانست بشود اطلاعات نشت‌شده پیدا کرد. افزون بر این، متوجه شدیم که قبلاً گویی کسی از عکس‌ها، ویدیوها و اطلاعات تماس او هم استفاده می‌کرده و حالا fghfgh حقش بود که غرامتی 2500 دلاری دریافت کند.

 خرید SSN موقتی
شاید افراد فکر کنند چه خوب؛ با دادن اطلاعات کارت اعتباری، پول جریمه صاف می‌رود توی حساب؛ اما این همه‌ی ماجرا نیست. این صندوق خیریه بدون SSN شما (شماره امنیت اجتماعی) شماره نُه رقمی صادر شده برای شهروندان آمریکایی و همچنین کسانی که اقامت کاری موقتی و دائمی دارند هیچ پولی به کسی نمی‌دهد. این شماره‌ی منحصر به فرد تقریباً برای هر چیزی در آمریکا به کار می‌رود؛ از جمله پرداخت مالیات، درخواست شغل، اجاره کردن خانه و غیره. اما اگر SSN ندارید هیچ نترسید: شما می‌توانید براحتی کادر کنار خط: «I’am don’t have SSN » را تیک بزنید (می‌بینید که نکته‌های گرامری برای این اسکمرها چندان هم اهمیت نداشته است).

این سایت برای برطرف کردن مشکلِ نداشتنِ SSN پیشنهاد یک SSN موقت را به شما می‌دهد! خوب می‌دانید در مقابل مبلغ چشم‌نواز جریمه که چشم هر کسی را کور می‌کند، دیگر 9 دلار که رقمی نیست.

اگر سعی کنید تراکنش را بدون خرید SSN انجام دهید، سایت خطا می‌دهد و از شما شماره SSN موقت می‌خواهد. و اگر به طور شانسی SSN معتبری را هم وارد کرده باشید باز از شما خواسته می شود نسخه‌ی موقتی‌اش را بخرید.

آن‌هایی که تصمیم به خرید SSN موقت می‌گیرند یک فرم پرداخت دریافت می‌کنند. اگر آن را با آدرس آی‌پی روسی انجام دهید، این فرم پرداختی به روسی پدیدار می‌شود و قیمت خرید هم به روبل محاسبه می‌گردد. عجیب است نه؟ چرا آژانس دولت آمریکا باید برای پرداخت به یک ارز خارجی نیاز داشته باشد؟

ساکنین سایر کشورها بیشتر به فرم انگلیسی‌زبانی که کمتر مشکوک باشد ریدایرکت می‌شوند و باید مبلغ را هم به ارز دلار پرداخت کنید.

آیا اسکمرهای آنلاینِ روسی قرار است بین‌المللی شوند؟
البته که این یک اسکم است. صندوق Personal Data Protection اصلاً وجود خارجی ندارد؛ و همانطور که ممکن است حدس زده باشید چیزی به نام کمیسیون تجارت آمریکا هم وجود خارجی ندارد. در حقیقت نام اصلی ارگانی که اسمکرها از رویش تقلب کرده‌اند کمیسیون فدرال تجارت (FTC) است اما این کمیسیون چنین بی‌دقت و بدون ترتیب به کسی غرامت نمی‌دهد. اسکمرها خود به نظر می‌آید روسی‌زبان باشند (با توجه به فرم پرداختی که به روبل بود و همچنین شباهت مشکوک این طرح با آن طرح ساده‌ی فریبِ ساکنین روسیه و کشورهای مستقل همسود -CIS).
طعمه‌ی الکترونیکی در این نقشه‌ها هر یک با دیگری کمی فرق دارند- هدایا، نظرسنجی، حتی شغلی پاره‌وقت به عنوان واسط بین راننده و مسافر- اما گمان می‌رود مقر این اسکم‌ها در روسیه باشد (مانند برخی از لینک‌های قبلی) و نکته‌ی اصلی همیشه این است: وعده‌ی پولی بادآورده که با درخواست برای پرداخت سرویسی ارزان همراه است؛ فرقی ندارد کمیسیون است، پرداخت امنیتی است و یا یک SSN موقتی. نقشه‌ی فعلی درست مانند نقشه‌ی قبلی از همان سیستم‌های پرداختی استفاده می‌کند. این هم باز ردّ آشنایی از مجرمان سایبری روسی به جای می‌گذارد. تنها فرق اسکمِ مدل غرامت در این است که به لحاظ جغرافیایی حمله‌ی وسیعتری است. بعنوان مثال، این بار قربانیان نه تنها در روسیه و کشورهای همسایه بودند که حتی در کشورهایی چون الجزیره، مصر، امارات و جاهای دیگر نیز گزارش شدند.
راهکارهایی برای جلوگیری
این اسکم‌ها هدفشان آن دسته قربانیانِ ساده‌انگاریست که چنین پیشنهادی را مشکوک نمی‌دانند. بنابراین، توصیه‌ی اصلی ما این است که هشیار بمانید:
•    اعتماد نکنید
اگر فردی در ازای کاری جزئی -برای مثال شرکت کردن در یک نظرسنجی- مبلغ هنگفتی را به شما وعده می‌دهد این یعنی 99 درصد فریبی در کار است. و اگر از شما خواسته شده برای دریافت پول ابتدا مبلغی پرداخت کنید این هم یعنی ماجرا مشکوک است.
•    بررسی کنید
نام سازمان را گوگل کنید تا ببینید اساساً وجود خارجی دارد یا خیر و اگر وجود خارجی داشت به وبسایتش نگاهی دقیقتر بیاندازید. به زبان آن توجه کنید: یک سازمان خوش‌نام متنی پر از خطا و غلط املایی منتشر نمی‌کند.
•    از منابع قابل‌اطمینان استفاده کنید
اگر نگران امنیت داده‌ها - خصوصاً رمزعبورهای خود- هستید، می‌توانید در وبسایت haveibeenpwned.com چک کنید ببینید آیا دچار نشتی شده است یا خیر. این منبع جست‌وجوی نشت اطلاعاتی که توسط یک متخصص امنیت اطلاعات به نام تروی هانت طراحی شده است، به روز‌ترین اطلاعات در مورد نشتی داده‌ها را ارائه می‌دهد.
•    از خود مراقبت کنید
از راه‌حل آنتی‌ویروس مطمئنی که شما را در برابر فیشینگ و کلاهبرداری‌های آنلاین محافظت کند استفاده کنید.
 
منبع: کسپرسکی آنلاین

تنظیم : روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

وزیر کشور آلمان با وجود مخالفت آمریکا اعلام کرد که بدون همکاری شرکت چینی "هوآوی"، گسترش شبکه‌های اینترنتی در آلمان در کوتاه مدت امکان پذیر نیست.

به گزارش تسنیم به نقل از روزنامه "تاگس اشپیگل"، "هورست زیهوفر"، وزیر کشور آلمان با عدم مشارکت شرکت چینی "هوآوی" در پروژه اینترنت نسل پنج این کشور مخالفت کرد.

وی در گفتگویی با روزنامه "فرانکفورتر آلگماینه سایتونگ" تاکید کرد: من مخالف این مسئله هستم که محصولی را به این دلیل که ممکن است اتفاقی بیافتد از بازار خارج کنیم.

وی افزود: من مخالف محدودیت های تجاری جهانی هستم. اگر شرکت های چینی از این پروژه مستثنا شوند گسترش شبکه اینترنتی ما چند سال به تعویق می افتد.

وزیر کشور آلمان تاکید کرد: من فکر نمی کنم که بدون مشارکت هوآوی بتوان در کوتاه مدت یک شبکه اینترنت نسل پنجم را راه اندازی کرد. در صورت لزوم می توان از شبکه های ایمنی بیشتر استفاده کرد.

 زیهوفر همچنین تاکید کرد که در این باره کاملا با صدر اعظم آلمان موافق است.

ماه هاست که در آلمان بحث هایی در این باره شکل گرفته که آیا شرکت چینی هوآوی باید در پروژه نسل پنجم اینترنت مشارکت داده شود. حزب دموکرات مسیحی آلمان البته تلاش می کند که شرکت چینی هوآوی را از این پروژه دور نگه دارد.

 دولت آمریکا چندین بار به آلمان درباره مشارکت با شرکت چینی هوآوی در پروژه نسل پنج اینترنت هشدار داده و حتی برلین را تهدید کرده است.

 آمریکا آلمان را تهدید کرده که در صورت مشارکت با شرکت هوآوی همکاری های نظامی خود با این کشور در ناتو را محدود خواهد کرد.

آمریکا چندی پیش هم برلین را در صورت همکاری با شرکت چینی هوآوی به محدودیت در همکاری های اطلاعاتی تهدید کرده بود.

کشورهای عضو اتحادیه اروپا تا به حال واکنش های متفاوتی را به درخواست آمریکا درباره عدم همکاری با شرکت هوآوی چین در اینترنت نسل پنجم خود نشان داده اند.

بر اساس اظهارات محافل دولتی آلمان، آنگلا مرکل، صدر اعظم آلمان از سرشاخ شدن و ایجاد اختلاف با چین می ترسد.

"دونالد ترامپ"  قانونی را امضا کرده است که دولت آمریکا را از معامله با شرکت هایی که فناوری هوآوی را به کار می گیرند منع می کند.

تا به حال کشورهای استرالیا و نیوزیلند از خواسته آمریکا درباره هوآوی تبعیت کرده‌اند.

سایت نظارتی نت‌بلاکز گزارش داد، قطعی برق گسترده در شمال و غرب ونزوئلا ثبت شده و این مساله مشکلاتی را هم در ارتباطات اینترنتی پنج استان آن ایجاد کرده است.

به گزارش ایسنا، به نقل از خبرگزاری اسپوتنیک، طبق گزارش نت‌بلاکز، در مجموع ۱۶ استان از ۲۳ استان ونزوئلا تحت تاثیر قرار گرفته‌اند اما برق کمتر از نیمی از استان‌های تاچیرا، مریدا و کارابوبو وصل شده است. این استان‌ها بیشترین تاثیر را پذیرفته‌اند.

سازمان حقوق بشری "ردس ایودا" ونزوئلا در پیامی توییتری اعلام کرد، قطع برق در این کشور همچنین مشکلاتی در ارتباطات اینترنتی پنج استان ایجاد کرده است.

براساس گزارش ناظران و تحلیلگران، قطعی برق در ونزوئلا به علت کمبود سرمایه‌گذاری در زیر ساخت و فرسودگی تجهیزات است. با این حال خورخه رودریگز، وزیر ارتباطات ونزوئلا پس از قطعی برق تابستان گذشته در کاراکاس گفت، این‌ اتفاقات به علت "حمله الکترومغناطیسی" که اصلی‌ترین سیستم برق آبی این کشور را هدف گرفت، رخ داد.

ماه مارس، حادثه‌ای در نیروگاه برق آبی سیمون بولیوار که بزرگترین تامین‌کننده برق این کشور است، رخ داد که قطعی برق طولانی‌ به همراه داشت و ۲۰ استان ونزوئلا درگیر شدند. فعالیت نهادهای دولتی و کارآفرین ونزوئلا در سراسر این کشور تقریبا برای یک هفته متوقف شد.

وکلای مدیر هواوی که در کانادا به درخواست آمریکا مورد پیگرد قضایی قرار گرفته، می‌گویند آنچه که به عنوان جرم توسط ایالات متحده به وی نسبت داده شده، جرم تلقی نمی‌شود.

به گزارش خبرگزاری مهر به نقل از آسین ایج، این وکلا می‌گویند منگ وانژو که دختر مؤسس شرکت هواوی نیز هست نباید به هیچ وجه به آمریکا تحویل داده شود، زیرا اقدامات وی بر اساس قوانین کانادا جرم محسوب نمی‌شود.

قرار است جلسه دادگاه برای رسیدگی به این موضوع روز دوشنبه در کانادا برگزار شود. مدیر ارشد امور مالی هواوی به دور زدن تحریم‌های اقتصادی آمریکا بر علیه ایران متهم شده و کاخ سفید خواستار استرداد وی به این کشور است.

هواوی برترین شرکت فناوری چین در جهان است و پکن معتقد است اقدامات آمریکا بر علیه منگ وانژو با اغراض سیاسی در حال انجام است و هدف از آن مقابله با رشد اقتصادی روزافزودن چین است.

وکلای مدیر ارشد امور مالی هواوی می‌گویند آمریکا قصد دارد دامنه تحریم‌های داخلی خود را به دیگر کشورها تسری دهد و به منظور اقناع مقامات کانادایی اقدامات منگ وانژو را کلاهبرداری جلوه دهد. این در حالی است که وی هیچ اقدام کلاهبردارانه ای انجام نداده است.

منگ وانژو در اواخر سال ۲۰۱۸ در فرودگاه ونکوور کانادا به درخواست دولت امریکا دستگیر شد و از آن زمان مورد پیگرد قضائی قرار دارد. وکلای وی می‌گویند بر اساس قوانین کانادا تجارت با ایران غیرقانونی نیست و لذا وی را نمی‌توان بدین علت به کلاهبرداری و تخلف متهم کرد. آنها تاکید می‌کنند که کانادا نه تنها کسب و کار بانک‌ها را با سازمان‌ها و مؤسسات فعال در ایران قانونی می‌داند، بلکه آنها را به این کار تشویق هم می‌کند.

آلفابت، که شرکت مادر گوگل محسوب می شود، به چهارمین شرکتی تبدیل شد که ارزشش از یک تریلیون دلار فراتر می رود. پیش تر مایکروسافت، اپل و آمازون باشگاه شرکت های تریلیون دلاری را تشکیل می دادند.
آی تی من- ارزش بازار آلفابت بر اساس سهام عرضه شده اش در بورس از یک تریلیون دلار گذشته و در آخرین ساعات معاملات پنج شنبه گذشته به رکورد هر سهم 1450 دلار و 16 سنت رسید.
آلفابت در زمان عرضه اولیه سهام در بورس، ارزشی در حدود 23 میلیارد دلار داشت. سهام این شرکت با توجه به رشد درآمدهای تبلیغات، جست وجو و یوتیوب رشدی مداوم داشته است. علاوه بر این اکوسیستم اندروید و عرضه محصولات هوشمند از جمله گوگل هوم و دستیار صوتی گوگل، این درآمدها را با افزایش چشمگیری مواجه کرده است.
البته این تازه آغاز یک دوره از رشد سریع است و تحلیلگران پیش بینی می کنند که آلفابت خواهد توانست از مرز ارزش 2 تریلیون دلار نیز بگذرد. از جمله کریستوفر روزباخ، مدیر ارشد شرکت سرمایه گذاری J Stern & Co معتقد است که رشد ارزش سهام این شرکت ادامه دار خواهد بود.
وی می گوید: حالا که آلفابت هم به مایکروسافت و اپل و آمازون پیوسته، شروعی تازه برای این شرکت رقم خورده است. آلفابت هنوز، هم در کسب وکار اصلی تبلیغات و هم در کسب وکارهای دیگری مانند رایانش ابری جای رشد قابل
توجهی دارد. وی می افزاید: آلفابت در صنایع دیگری نیز موجب تحول شده که از آن جمله می توان به خدمات سلامت اشاره کرد. سرمایه گذاری های هنگفت آلفابت، به این شرکت یک مزیت رقابتی پایدار بخشیده است.
بر اساس این گزارش، آلفابت هم اکنون سومین شرکت پرارزش آمریکایی محسوب می شود. در این زمینه اپل با ارزش 1.4 تریلیون دلار اول و مایکروسافت با ارزش 1.27 تریلیون دلار دوم است. آمازون نیز فعلا ارزشی در حدود 931 میلیارد دلار دارد.

مؤسسه الکترونیکس چین اعلام کرد که پیش‌بینی می‌شود تا 2 سال آینده چرخش مالی صنعت هوش مصنوعی این کشور به 30 میلیارد دلار در سال افزایش یابد.
به گزارش فارس به نقل از راشاتودی، صنعت هوش مصنوعی یکی از حوزه‌های فناوری در چین است که رشد باثباتی را تجربه کرده و پکن قصد دارد تا 2030 به یکی از کشورهای پیشرو در آن تبدیل شود.

مؤسسه الکترونیکس چین گزارش داد: این کشور در زمینه بینایی رایانه‌ای که یکی از شاخه‌های علوم کامپیوتر است، و تشخیص زبان پیشرو در جهان است که پیش‌بینی می‌شود این صنعت تا سال 2022 به گردش مالی 8 میلیارد دلاری برسد.

این مؤسسه اعلام کرده است که حجم چرخش مالی صنعت هوش مصنوعی در چین تا سال 2022 به 30 میلیارد دلار افزایش می‌یابد.

آمریکا و چین به عنوان دو اقتصاد برتر جهان سرمایه‌گذاری‌های سنگینی را در حوزه توسعه فناوری هوش مصنوعی انجام داده است.

وزارت علوم و فناوری چین در سال 2019 پیشنهاد کرده بود در 20 شهر این کشور منطقه ویژه هوش مصنوعی به صورت آزمایشی ایجاد شود.

این هفته هم دولت استان گوانگجو اعلام کرد که یک منطقه را به توسعه فناوری هوش مصنوعی اختصاص خواهد داد.

صفت «دیجیتالی»، معمولاً غیرفیزیکی و زودگذر تلقی می‌شود. با این حال، خدمات دیجیتالی سرورهای فیزیکی را -که نیازمند انرژی‌اند- اجرا می‌کنند؛ بیشتر این انرژی نیز همچنان دارد از طریق سوخت‌های فسیلی تولید می‌شود. این بدان‌معناست که سرویس‌های دیجیتالی روی انتشار کربن و تغییرات اقلیمی تأثیر بسزایی دارند. این تأثیر و نحوه‌ی کاهش آن، محوریت اصلی سخنرانی کریس آدامز از «بنیاد وب سبزلنگر[1]» در سی و ششمین دوره‌ی کنگره‌ی ارتباطات آشوب بود.

شرکت‌های بزرگ آی‌تی هم‌اکنون نیز دارند ردپای کربنی خود را اندازه‌گیری می‌کنند. شما چه؟

اول از همه بگذارید با اعداد و ارقام صحبت کنیم و با آمار، نگاهی به میزان انتشار کربن بزرگ‌ترین شرکت‌های آی‌تی بیاندازیم. آمازون اخیراً شروع کرده است به پخش اطلاعاتی در مورد انتشار کربن خود. در سال 2018، آمازون 44.4 مگاتن کربن منتشر کرد؛ کشور فنلاند همین میزان کربن را در سال 2018 منتشر کرد (یک شرکت به تنهایی به اندازه‌ی یک کشور انتشار کربن داشته است). البته بیشتر این انتشار کربن‌ها از سوی طرف‌سوم‌ها بوده است (برای مثال، بسته‌بندی و حمل و نقل کالاهای آمازون، سفرهای تجاری و غیره).

ردپای کربنیِ شرکت اپل در سال 2018، 25.2 مگاتن بود (درست برابر همین مقدار انتشار کربن در همین سال توسط کشور مغولستان). با این وجود، اگر انتشار کربن ناشی از تولید کالاهای برند اپل را حساب نکنیم، انتشار کربن انحصاری اپل تنها 0.6 مگاتن می‌شود- به اندازه‌ی همان میزان کربن منتشرشده در همان سال توسط جمهوری گامبیا. نصف این میزان برای سفرهای تجاری است و 30 درصد دیگر آن برای سفر کارمندان آن. ردپای کربنیِ گوگل بیشتر از بقیه است- 1.2 مگاتن (قابل مقایسه با همین میزان انتشار کربن در کشور لیبریا). همانطور که مستحضر هستید، شرکت‌های آی‌تی در انتشار کربن تأثیرات قابل‌ملاحظه‌ای می‌گذارند. حال چطور می‌شود کاری که زیرساخت آی‌تی شرکت شما کمتر کربن منتشر کند؟ در ادامه قصد داریم چهار گام خدمتتان ارائه دهیم که با کمک آن‌ها می‌توانید محیط آی‌تی خود را سبز کنید. با ما همراه بمانید.

•      از معماری قابل‌مقیاس استفاده کنید

با ظهور رایانش ابری بسیاری از کسب و کارها شروع کردند مهاجرت کردن از زیرساخت‌های خود به کلود. اما رویکرد معمول برای استفاده از زیرساخت ابری شامل اجاره‌ی سروری همیشه‌روشن می‌شود که به طور مطمئنی بتواند از اوج مصرف فعلی آن کسب و کار گامی فراتر بگذارد. با این وجود، افراد از اینترنت –و سرویس‌های شما- بسته به اینکه چه وقتِ روز باشد به طور متفاوتی استفاده می‌کنند که همین می‌تواند به لودهای مختلف منتهی شود. لود شبانه شاید به طور چشمگیری از لود روزانه کمتر باشد. ابزارهای تحلیلی می‌توانند درک روشنتری از نحوه‌ی به کارگیری آن در سرویس‌های مخصوص‌تان به شما بدهند.

درست اینجاست که مقیاس‌پذیری به کار می‌آید. برای نرم‌افزارهایی که معماری قابل‌مقیاس دارند، متعادل‌سازهای بار ترافیکی می‌توانند به طور خودکار نیروی رایانش بیشتری به یک دستگاه واحد اضافه کنند و یا بسته به تعداد درخواست‌هایی که دریافت می‌کنید سرورهای بیشتری را لحاظ نمایند. این بدان‌معناست که دیگر برق در پی بیهوده اجرا شدن سرورها مصرف نمی‌شود (و البته هزینه‌ها هم کاهش پیدا می‌کند). اکثرِ ارائه‌دهندگان کلود تعادلسازیِ بار ترافیکی را هم به صورت افقی و هم عمودی عرضه می‌کنند. البته که برای استفاده از تعادل‌سازیِ بار می‌بایست سرویس‌های خود را با داشتن ذهنیت مقیاس‌پذیر بسازید؛ اما به محض شروع در پولتان صرفه‌جویی خواهد شد و در عین حال رد پای کربن زیرساخت کلودیِ شما نیز کاهش داده خواهد شد.

•      از ارائه‌دهندگان سبزتری استفاده کنید

ارائه‌دهندگان کلود در بخش تأمین منابع انرژی با هم فرق دارند. اول از همه اینکه، انتخاب‌هایشان ممکن است به شرایط کلی سرویس‌های الکتریکی در منطقه بستگی داشته باشد. بعضی از مناطق –به عنوان مثال سوئد- بیشتر به منابع انرژی تجدیدپذیر مانند باد و آب تکیه کرده‌اند. برخی دیگر مانند فرانسه شدیداً تکیه‌اش بر انرژی هسته‌ای است که همچنین انتخابی سبزتر تلقی می‌شود. برخی کشورهای دیگر از جمله لهستان بیشتر مصرف انرژی‌شان از طریق زغال‌سنگ است.

بنابراین، بسته به موقعیت مکانی مرکز داده که رایانش ابری‌اش را ارائه می‌دهد، انتشار کربن شرکت‌تان ممکن است تفاوت داشته باشد. سرویس‌های بزرگ‌تر مانند AWS و Microsoft Azure معمولاً بیش از سرویس‌های کوچکتر به بُعد پایداریِ اکولوژیکی توجه دارند. بعنوان مثال کاربران سرویس‌های وب آمازون می‌توانند موقعیت فیزیکی نیروی رایانشی خود را انتخاب کنند و حتی نقشه‌ای هم وجود دارد که نشان می‌دهد کدام مراکز اطلاعاتی AWS از انرژی سبز استفاده می‌کند و کدام نه.

مایکروسافت به همراه گروهی از دانشمندان حتی یک مؤلف زمان‌بندیِ مبتنی بر سامانه‌ی کوبرنتیزلنگر[2] (با کربن پایین) ساخته است که در اصل کمک می‌کند امورتان را به طور پویایی به مراکز اطلاعاتی سطح جهان انتقال دهید تا بدین‌ترتیب استفاده از نیرویی سبزتر افزایش داده شده و ردپای کربنی نیز به حداقل خود برسد. این مؤلفه‌ی زمان‌بندی همچنین می‌تواند با سایر ارائه‌دهندگان کلود همکاری کند. اگر می‌خواهید سبز شوید لزوماً نیازی به انتخاب AWS یا Azure نیست. بنیاد وب سبز دایرکتوری‌ای از ارائه‌دهندگان کوچک‌تر را ارائه می‌دهد که تکیه‌شان بر انرژی سبز است. هرچند اجرای رایانش‌تان بر روی سخت‌افزار انحصاری خود معمولآً به لحاظ چشم‌انداز اکولوژیکی کار بدتری است. سیستم‌های کلود فرصت می‌دهند تا حتی توزیع بیشتری از امور میان نیروهای رایانشی صورت گیرد که این خود به صرفه‌جویی در انرژی کمک می‌کند.

•      زبان برنامه‌نویسی خود را عاقلانه انتخاب کنید

زبان‌های برنامه‌نویسی در چند ساحت با همدیگر تفاوت دارند: منطق، نحو، قابلیت‌ها و غیره. همچنین از حیث مصرف منابع نیز فرق می‌کنند. اسکریپت‌ها به زبان‌هایی چون JavaScript و Python ظاهراً در مقایسه با برنامه‌های کامپایل‌شده و نوشته‌شده به زبان‌هایی مانند Fortran،C++ و Rust منابع بیشتری را مصرف می‌کنند. و مصرف زبان‌هایشیءگرالنگر[3] در عوض بیش از زبان‌های دستوریلنگر[4] است. منابع بیشتر یعنی انتشار کربن بیشتر. همچنین شایان ذکر است که سریعتر به معنای سبزتر است. در برخی موارد، یک برنامه ممکن است برای مدت طولانی‌تری اجرا شود اما انرژی کمتری مصرف کند.

البته، بیشتر احتمال دارد بر اساس توانایی‌های نیروی کار خود و بر طبق پُشته‌ی تکنولوژیکی‌تان زبان‌های برنامه‌نویسی را برای اموری که اجرا می‌کنند انتخاب کنید؛ اما ارزشش را دارد که جنبه‌ی انرژی را نیز مد نظر قرار دهید؛ برنامه‌هایی که به فرض مثال به زبان JavaScript نوشته شده‌اند شاید دو برابرِ برنامه‌های نوشته‌شده به زبان C منابع مصرف کنند. ناگفته نماند که بهینه‌سازی کد می‌تواند به کاهش رد پای کربن شما و نیز سریعتر شدن کدتان (و همچنین کمتر وابسته‌بودنش به مصرف انرژی) –صرف‌نظر از زبان- کمک کند. نمایه‌سازی نرم‌افزار و بازنویسی بخش‌های ناکارامد می‌تواند تأثیر بسازیی داشته باشد.

•      صفحات وبی خود را بهینه‌سازی کنید

به تازگی، ابعاد یک صفحه‌ی وبیِ متوسط از ابعاد یک دانلود اورجینالِ Doom جلوتر زده: بیش از 3 مگابایت. هر قدر صفحه بزرگ‌تر باشد، قدرت بیشتری برای انتقال آن از سرور به کلاینت و نیز نمایش آن برای کلاینت نیاز است. شاید فکر کنید این نمی‌تواند بخش بزرگی از انتشار کربن را تشکیل دهد؛ اما بنیاد وب سبز عکس این ادعا را قبول دارد. برای مثال، وب سبز به این موضوع پی برد اجرای یک ویدیوی پشت زمینه روی صفحه‌ی وبی درست به اندازه‌ی رفت‌وآمد تیم این پروژه کربن منتشر کرد. یادتان می‌آید گفتیم 30 درصدِ کل انتشار کربن اپل بخاطر رفت و آمد کارکنان این شرکت است؟ حالا این مقیاس را می‌بینید.  بگذارید مقایسه‌ی دیگری را اضافه کنیم: ویدیوهایی که روی یک اکانت اینترنتی پخش می‌شوند به اندازه‌ی ردپای کربنی کشور اسپانیا انتشار کربن دارند. (جالب است بدانید: اکانت‌های پورن 27 درصد این میزان را تشکیل می‌دهند؛ مساوی با میزان کربن منتشرشده توسط کشور اتریش). بنابراین، نقطه‌ی صفرِ بهینه‌سازی به طور خودکار ویدیوها را پخش نمی‌کند. شما می‌توانید انواعی از ابزارها را برای بهینه‌سازی استفاده کنید. Google Lighthouse نمونه‌ی بارز آن است: بر پایه‌ی چهار اقدام به وبسایت شما امتیاز می‌دهد: بهینه‌سازی عملکرد، قابلیت دسترسی، استفاده از بهترین روش‌ها و بهینه‌سازی SEO. در حقیقت، «عملکرد» شامل تمام ابعاد از جمله رتبه‌بندی‌های موتور جست‌وجو و نرخ دفع کاربرلنگر[5] می‌شود.

بنیاد وب سبز ابزار دیگری را نیز تحت عنوان «خانه‌ی سبز» معرفی کرد که کارش تحلیل صفحات است و اینکه بررسی می‌کند کدام دامنه‌های استفاده‌شده بر پایه‌ی انرژی تجدیدپذیر هستند. از حیث بهینه‌سازی شاید به کارامدیِ Lighthouse نباشد اما ممکن است به سازمان‌های آگاه به اکولوژی کمک کند ارائه‌دهندگان سرویس را انتخاب کنند. شما می‌توانید برای بررسی اینکه سایت‌تان روی سروری میزبانی می‌شود که انرژی سبز استفاده می‌کند از اپ The Green Web استفاده کنید. متأسفانه، ارائه‌دهندگان میزبانیِ زیادی که اطلاعاتی پیرامون سبز بودنِ برق مصرفی بدهند وجود ندارد؛ بنابراین سایت شما شاید نهایتاً خاکستری بماند و همین بدان معناست که این بنیاد اطلاعات مرتبطی در خصوص ارائه‌دهنده‌ی میزبان شما ندارد.

صرفه‌جویی در پول و در عین حال نجاتِ سیاره

برای برخی افراد و سازمان‌ها، تلاش برای جلوگیری از گرم شدن کره‌ی زمین به حد کافی دلیل قانع‌کننده‌ای هست که بخواهند پیِ این بهینه‌سازی‌ها را به تن خود بمالند. اما برای برخی دیگر، اینگونه نیست. با این حال، وقتی بحث آی‌تی به میان می‌آید، سبز شدن معمولاً به معنای صرفه‌جویی در پول نیز هست. در صورتیکه ایده‌ی نجات سیاره به تنهایی قانع‌کننده نبود، مزایای دیگرِ سبز شدن را نیز در زیر ارائه داده‌ایم که به طور حتم مدیران را مُجاب خواهد کرد:

    بعد از بهینه‌سازی میزبان و کد، به نیروی رایانشی کمتری نیاز خواهید داشت؛ بنابراین در آن بخش پولتان صرفه‌جویی خواهد شد.
    وبسایت شما همچنین سریعتر لود خواهد شد که این یعنی مشتریان کمتری قبل از اینکه کاملاً لود شود آن را می‌بندند.
    هرقدر وبسایت سریعتر باشد موتورهای جست‌وجو امتیاز بیشتری بدان می‌دهند و درست همینجاست که مشتریان بیشتری آن را خواهند دید.

لنگر[1] Green Web Foundation

لنگر[2] سامانه‌ای متن‌باز برای ارکستراسیون برنامه‌های کانتینرسازی شده است که در ابتدا توسط گوگل توسعه داده شده و سپس به بنیاد لینوکس اهدا گردید.

لنگر[3] object-oriented

لنگر[4] Imperative languages

لنگر[5] Bounce rate

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

به ندرت پیش می‌آید شرکت‌ها یا آژانس‌های دولتی‌ از فایل‌های پی‌دی‌اف استفاده نکنند. آن‌ها اغلب از امضاهای دیجیتال برای تضمین اعتبار این داکیومنت‌ها استفاده می‌کنند. وقتی در هر پی‌دی‌اف‌خوانی یک فایل امضاشده را باز می‌کنید، این برنامه پرچمی را نمایش خواهد داد که نشان از امضا شدنِ داکیومنت دارد. حتی در این پرچم قید می‌شود که این امضا توسط چه کسی صورت گرفته است. در حقیقت شما توسط آن می‌توانید به منوی اعتبارسنجیِ امضا دسترسی داشته باشید.

بنابراین، تیمی از محققین از چندین دانشگاه آلمانی بر آن شدند تا اعتبار و استحکام امضاهای پی‌دی‌افی را مورد بررسی و آزمایش قرار دهند. ولادیسلاو ملادنوو از دانشگاه رور بوخوم، یافته‌های این تیم را در کنگره‌ی ارتباطات آشوب (36C3) به اشتراک گذاشتند.

کار محققین آسان بود: دستکاریِ محتواهای یک داکیومنت پی‌دی‌افیِ امضاشده بدون باطل کردنِ امضا در طی این فرآیند. به طور نظری، مجرمان سایبری می‌توانستند همین کار را برای ابلاغ اطلاعات غلط و یا افزودن محتوای آلوده به فایل امضاشده انجام دهند. از اینها گذشته، کلاینت‌هایی که از بانک، داکیومنت امضاشده دریافت می‌کنند احتمالاً به آن اعتماد نموده و روی هر لینکی که داخل آن باشد کلیک می‌کنند. این تیم برای پلت‌فرم‌های مختلف 22 پی‌دی‌اف‌خوانِ محبوب انتخاب کردند و به شکل نظام‌مندی نتایج آزمایشات خود را بدان‌ها خوراندند.

ساختار فایل پی‌دی‌اف

بگذارید ابتدا برایتان از فرمت پی‌دی‌اف بگوییم. هر فایلی شامل چهار بخش می‌شود: هدر که نشان‌دهنده‌ی نسخه‌ی پی‌دی‌اف است؛ بدنه که نشان‌دهنده‌ی محتوای اصلیِ دیده‌شده توسط کاربر است؛ بخش Xref که در واقع یک دایرکتوری است که آیتم‌های داخل بدنه و لوکیشن‌هایشان را فهرست می‌کند (برای نمایش محتوا)؛ و در نهایت تریلر که با آن، پی‌دی‌اف‌خوان‌ها شروع می‌کنند به خوانشِ داکیومنت. تریلر شامل دو پارامتر مهم است که به برنامه‌ می‌گویند پردازش فایل کجا شروع شود و کجا بخش Xref باید آغاز گردد.

یک تابع بروزرسانی افزایشیلنگر[1] داخل فرمت یکپارچه‌سازی شده است که به کاربر اجازه می‌دهد (بعنوان مثال) بخشی از متن را هایلایت کرده و یا کامنت بگذارد. اگر بخواهیم از نگاه فنی به ماجرا نگاه کنیم، این تابع سه بخش را اضافه می‌کند: بروزرسانی‌هایی برای بدنه، یک دایرکتوری‌ِ جدید Xref و یک تریلر جدید. این می‌تواند به طور مؤثری تغییر نحوه‌ی دیده‌شدن آیتم‌ها توسط کاربر و نیز افزودن محتوای جدید را در پی داشته باشد. در اصل، یک امضای دیجیتال همچنین یک بروزرسانی افزایشی نیز می‌باشد که کارش افزودن یک المان دیگر و شاید بخش‌های مکاتبه‌ای به فایل است.

حمله‌ی ISAلنگر[2]

نخست، این تیم سعی کرد با استفاده از یک ویرایشگر متنی بخش‌های بیشتری را به همراه بروزرسانی افزایشیِ دیگر اضافه کند. اگر بخواهیم دقیق‌تر بگوییم، این در حقیقت یک حمله نیست- این تیم صرفاً از تابعِ اجراشده توسط سازندگان آن فرمت استفاده کرد. وقتی یک کاربر فایلی را که بدین‌طریق دستکاری می‌شود باز می‌کند، پی‌دی‌اف‌خوان معمولاً پیامی را نشان می‌دهد که می‌گوید امضای دیجیتال معتبر است اما داکیومنت دستکاری شده است. بدتر اینکه یکی از پی‌دی‌اف‌خوان‌ها (LibreOffice) حتی پیام را هم نشان نداده بود.

آزمایش جدید، شامل حذف دو بخش نهایی -یعنی افزودن یک آپدیت به بدنه و نه Xref و تریلر جدید- می‌شود. برخی اپلیکیشن‌ها کار با چنین فایلی را قبول نکردند. دو پی‌دی‌اف‌خوان متوجهِ نبودِ این دو بخش شدند و به طور خودکار آن‌ها را بدون اینکه خواننده در مورد این تغییر محتوایی مطلع شود اضافه کردند. سه تای دیگر هم بدون هیچ اعتراضی، مجوزِ این عمل را روی فایل صادر کردند.

سپس، محققین این سوال برایشان پیش آمد که اگر فقط امضای دیجیتال را در آپدیت «دستیِ» خود کپی کنند چه؟ دو پی‌دی‌اف‌خوانِ دیگر هم فریب خوردند-  Foxit و MasterPDF. به طور کلی، از این 22 پی‌دی‌اف‌خوان 11 پی‌دی‌اف‌خوان ثابت کردند که در برابر چنین دستکاری‌های ساده‌ای آسیب‌پذیری هستند. افزون بر اینها، شش تای این پی‌دی‌اف‌خوان‌ها هم هیچ علامتی مبنی بر دستکاری شدن داکیومنت از خود نشان ندادند. در پنج مورد دیگر هم کاربر برای افشا و ابلاغ هر نشانه‌ای از دستکاری باید منو را وارد می‌کرد و البته اعتبار امضای دیجیتال را نیز به صورت دستی مورد بررسی قرار می‌داد (صِرفِ باز کردن فایل کافی نبود).

حمله‌ی SWAلنگر[3]

امضای یک داکیومنت دو فیلد مهم را به عنوان بروزرسانیِ افزایشی به بدنه/محتوا اضافه می‌کند. این دو فیلدشامل امضا و ByteRange می‌شود که به دقت آنچه امضا شده است را تشریح می‌کند. در مورد دوم که اشاره کردیم چهار پارامتر وجود دارد- تعریف آغاز فایل، تعداد بایت‌های قبل از کد امضا، بایتی که تعیین می‌کند کد امضا کجا تمام می‌شود و تعداد بایت‌های بعد از امضا- زیرا امضای دیجیتال در حقیقت توالی کاراکترهای تولیدشده توسط ابزارهای رمزنگاری (از کدِ داکیومنت پی‌دی‌اف) است. طبیعتاً امضا نمی‌تواند خودش را امضا کند، بنابراین آن بخشی که درش ذخیره می‌شود از فرآیند محاسبات امضایی خارج می‌شود.

محققین تلاش داشتند بلافاصله بعد از امضا، فیلد ByteRange دیگری را اضافه کنند. دو ارزش اولِ داخل آن دست‌نخورده باقی ماندند؛ تنها آدرس آخر کد امضاها عوض شد. نتیجه این بود که فضای بیشتری در فایل ایجاد شد و همین به آیتم‌های آلوده اجازه داد تا بتوانند اضافه شوند و بخش Xref نیز آن‌ها را تشریح کند. به لحاظ تئوری، اگر این فایل به درستی خوانده می‌شود، پی‌دی‌اف‌خوان نمی‌توانست براحتی مسیر خود را تا این بخش طی کند. با این حال، از این 22 اپلیکیشن، 17 اپ در مقابل چنین حمله‌ای آسیب‌پذیری نشان دادند.

USFلنگر[4] (جعل جهانی امضا)

این تیم تحقیقاتی برای دقت بیشتر و سنجش بهتر همچنین تصمیم گرفت این اپ‌ها را در برابر یک ترفند استاندارد تست نفوذ مورد آزمایش قرار دهند؛ به موجب این تست نفوذ در واقع تلاش می‌شود جای فیلدهای عدد با فیلدهای عدد ناصحیح عوض شود و یا اصلاً براحتی این فیلدها توسط محققین حذف شوند. بخش آزمایش روی محتوا که رسید، کاشف به عمل آمد که امضای واقعی جایش با ارزش x00 0 عوض شده بود و این درحالیست که همچنان دو پی‌دی‌اف‌خوان آن را معتبر تلقی کرده بودند.

و اگر این امضا آنجا جا می‌ماند ولی بخش ByteRange (یعنی اطلاعات در مورد اینکه دقیقاً چه چیزی امضا شده است) حذف می‌شد چه؟ یا اگر مقدار  null به جای ارزش‌های واقعی گذاشته می‌شد چه؟ در هر دو مورد برخی پی‌دی‌اف‌خوان‌ها روی اعتبار چنین امضایی صحّه گذاشتند. به طور کلی، از این 22 برنامه 4 برنامه حاوی خطاهای پیاده‌سازی بودند که امکان اکسپلویت‌شدن در آن‌ها وجود داشت. خلاصه‌ی نتایج نشان می‌دهد که از این 22 پی‌دی‌اف‌خوان 21 عددِ آن‌ها آسیب‌پذیر بودند. از این روست که می‌گوییم امکان دارد فایل پی‌دی‌افی با محتوای آلوده و یا اطلاعات غلط ساخته شود که به چشم کاربر بسیار معتبر بیاید.

جالب اینجاست که آن یک اپلیکیشن باقیمانده که فریب هیچ‌یک از ترفندهای تیم تحقیقاتی را نخورد Adobe Reader 9 بود. مشکل این است که این پی‌دی‌اف‌خوان خودش در معرض آسیب‌پذیری RCE است و توسط کاربران لینوکسی مورد استفاده قرار می‌گیرد (صرفاً به این دلیل که آخرین نسخه‌اش در دسترس ایشان است).

نتیجه‌گیریِ عملی

نتیجه‌گیری عملی‌ای که می‌شود از کل این تحقیق گرفت بدین‌ شرح است: ابتدا، هیچ‌کس نباید چشم و گوش بسته به امضاهای دیجیتالی پی‌دی‌اف اعتماد کند. اگر جایی چک‌مارک سبز دیدید این لزوماً بدین معنا نیست که امضا معتبر است. دوم اینکه، حتی یک داکیومنت امضاشده هم می‌تواند در معرض خطر قرار گیرد. بنابراین پیش از باز کردن هر نوع فایل دریافتی به صورت آنلاین و یا کلیک روی هر لینکی داخلشان مطمئن شوید روی کامپیوترتان یک راهکار امنیتی قابل‌اطمینان نصب است.

لنگر[1]  incremental update

لنگر[2] Incremental saving attack

لنگر[3] Signature wrapping attack

لنگر[4] Universal signature forgery

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

ایرنا- مایکروسافت با انتشار یک اخطاریه امنیتی نسبت به وجود یک آسیب‌پذیری روز صفر در مرورگر اینترنت اکسپلورر هشدار داد.

به گزارش پایگاه اینترنتی «ZDNet»، مایکروسافت آسیب پذیری جدید امنیتی در اینترنت اکسپلورر را از نوع نقص اجرای کد از راه دور RCE)Remote Code Execution) ناشی از یک باگ تخریب حافظه در موتور اسکریپت نویسی این مرورگر، شناسایی کرده است.

آسیب‌پذیری روز صفر (Zero-day Vulnerability) حفره یا نقصی در یک اپلیکیشن است که برنامه نویسان تنها صفر روز از زمان شناسایی باگ تا مقاوم کردنش در برابر حملات سایبری احتمالی هکرها زمان دارند.

مایکروسافت در اخطاریه خود با بیان این که از سوءاستفاده‌های جاری هکرها از این آسیب‌پذیری آگاه است از این حملات با عنوان «حملات هدفمند محدود» نام برد. این نکته از آن حکایت دارد که آسیب‌پذیری مذکور مورد سوءاستفاده گسترده قرار نگرفته و تنها تعداد محدودی از کاربران هدف این حملات قرار گرفته‌اند.

براساس گمانه‌زنی‌ها، این حملات محدود بخشی از یک کمپین هک گسترده‌تر هستند که حملات روز صفر هفته گذشته به کاربران مرورگر فایرفاکس را نیز دربرمی‌گیرد.

مایکروسافت هنوز پچ امنیتی لازم برای رفع این آسیب‌پذیری را عرضه نکرده است.

شرکت بوئینگ از شناسایی یک نقص نرم افزاری جدید در سیستم رایانه‌ای کنترل پرواز هواپیمای مدل ۷۳۷ مکس ۸ خبر داده است.

به گزارش خبرگزاری مهر به نقل از اینترستینگ اینجینیرینگ، بوئینگ می‌گوید نقص مذکور را به اطلاع اداره هوانوردی فدرال آمریکا رسانده است. بدیهی است تا زمان برطرف شدن نقص مذکور هواپیماهای یادشده امکان پرواز و عملیاتی شدن نخواهند داشت.

مهندسان بوئینگ در حال حاضر به دنبال آزمایش و رفع نقص سیستم رایانه‌ای مذکور هستند. با توجه به اینکه سیستم یادشده در ابتدای راه اندازی هواپیما روشن شده و برخی اجزا و قسمت‌های دیگر مورد نیاز برای ناوبری را کنترل می‌کند، هرگونه نقص در آن می‌تواند مشکلات جدی برای پرواز موفق و ایمن هواپیماها ایجاد کند.

بوئینگ می‌گوید نقص یادشده چندان جدی نیست که موجب سقوط هواپیما شود، اما می‌تواند بر روی عملکرد بسیاری از سیستم‌های دیگر رایانه‌های هواپیمای بوئینگ ۷۳۷ مکس ۸ تأثیر منفی بگذارد. تا قبل از کشف نقص یادشده بوئینگ وعده داده بود که ظرف هفته‌ها یا ماه‌های آینده این هواپیما را آماده پرواز می‌کند.

آسیب پذیری یکی از پلاگین های وردپرس موجب شده تا هکرها از آن برای نفوذ به وب سایت ها استفاده کنند.
به گزارش فارس به نقل از زددی نت، کارشناسان امنیتی می گویند یک پلاگین به راحتی نفوذپذیر را در پلتفورم وردپرس یافته اند که از طریق آن می توان سایت های مختلفی را تسخیر کرد.

پلاگین یادشده دبلیو پی دیتابیس ریست نام دارد و برای بازتنظیم پایگاه های داده به کار می رود. از طریق این پلاگین می توان پایگاه های داده را به طور کامل یا نسبی بازتنظیم کرد؛ بدون آنکه نیازی به بازنصب کامل وردپرس باشد.

پلاگین یادشده در بیش از 80 هزار وب سایت مورد استفاده قرار گرفته و لذا امکان حمله هکری به همه آنها وجود دارد. اولین بار شرکت امنیتی وردفنس از آسیب پذیری این پلاگین مطلع شد. این شرکت هشدار داد که آسیب پذیری یادشده برای بازتنظیم کامل یا جزئی وب سایت ها قابل استفاده است.

هکرها از این طریق می توانند به پست ها، صفحات، نظرات، کاربران، محتوای ارسالی و غیره در عرض چند ثانیه دسترسی یابند. وردپرس هنوز در این زمینه واکنشی از خود نشان نداده است.

جو بایدن یکی از نامزدهای دموکرات انتخابات ریاست جمهوری آمریکا، می گوید فیس بوک با اطلاع از دروغ بودن برخی اخبار و اطلاعات به انتشار و پخش آنها کمک می کند.
به گزارش فارس به نقل از انگجت، جو بایدن در تازه‌ترین مصاحبه خود با روزنامه نیویورک تایمز گفته است آمریکا باید به سرعت در برابر عملکرد برخی شرکت‌های فناوری مانند گوگل و فیس بوک عکس العمل نشان دهد و مانع از انتشار اخبار دروغین توسط آنها شود.

وی در این مصاحبه گفته است که در اکتبر گذشته از فیس بوک خواسته بود تا یک پیام بازرگانی منتشر شده در این شبکه اجتماعی را که حاوی مطالب دروغینی به نفع ترامپ بود، پاک کند. اما فیس بوک علیرغم اطلاع از محتوای دروغ پیام بازرگانی یادشده از این کار خودداری کرد.

بایدن در این مورد افزود: خود زاکربرگ بهتر از من این موضوع را می‌داند و ما نباید تنها نگران تمرکز قدرت باشیم، بلکه باید نگران فقدان حریم شخصی و عدم رعایت آن هم باشیم. فیس بوک تنها یک شرکت اینترنتی نیست و مطالبی که می‌داند دروغ است را هم منتشر می‌کند و ما باید استانداردهایی را در این زمینه وضع کنیم.

دولت اوکراین از پلیس فدرال آمریکا (اف بی آی) برای انجام تحقیقات پیرامون حمله سایبری به یک شرکت اوکراینی درخواست کمک کرد.

 به گزارش مهر به نقل از رویترز، دولت اوکراین از پلیس فدرال آمریکا (اف بی آی) خواسته است تا در روند تحقیقات این کشور پیرامون یک حمله سایبری به شرکت «بوریسما» همکاری کند.

مقامات کی‌یف ادعا می‌کنند که هکرهای ارتش روسیه در حمله سایبری به این شرکت فعال در حوزه انرژی دست داشته اند.

وزارت کشور اوکراین همچنین روز پنج شنبه از انجام تحقیقات در خصوص تحت نظر قرار دادن غیرقانونی و احتمالی «ماریا یووانوویچ» سفیر پیشین آمریکا در اوکراین خبر داد.

گفتنی است که اف بی ای از هرگونه اظهارنظر در خصوص این درخواست اوکراین خودداری کرد.

شایان ذکر است که یک شرکت فعال در حوزه امنیت سایبری واقع در ایالت کالیفرنیا روز دوشنبه با شناسایی حمله هکری به شرکت بوریسما، این حمله را به «اداره اطلاعات نظامی خارجی ستاد کل نیروهای مسلح فدراسیون روسیه» نسبت داد.

این در حالی است که شرکت بوریسما به دلیل عضویت پیشین هانتر بایدن، فرزند «جوبایدن» - رقیب انتخاباتی ترامپ- در هیأت مدیره آن یکی از موضوعات موردنظر ترامپ برای متقاعد سازی اوکراین به انجام تحقیقات درخصوص فعالیت این رقیب انتخاباتی خود بود؛ هرچند که در نهایت این اقدامات بی پروایانه ترامپ در سو استفاده از اختیارات خود در منصب ریاست جمهوری و کارشکنی‌های بعدی وی در روند قانونی کنگره به تصویب طرح استیضاح وی در مجلس نمایندگان آمریکا انجامید.

حال در شرایطی که مجلس سنای آمریکا روند قانونی استیضاح ترامپ را رسماً آغاز کرده است، سخنگوی کاخ سفید از طرح موضوع این حمله هکری به شرکت بوریسما در گفتگوی آتی دونالد ترامپ با «ولادیمیر پوتین» همتای روسی خود خبر می‌دهد.

هواوی ۲۰ میلیون پوند سرمایه گذاری کرده تا توسعه دهندگان اپلیکیشن را تشویق کند اپ استور این شرکت را توسعه دهند و تحریم های آمریکا را دور بزند.

به گزارش خبرگزاری مهر به نقل از ایونینگ استاندارد، شرکت بزرگ هواوی قصد دارد اپ استور مخصوص خود را بسازد تا به این ترتیب تحریم‌های تجاری آمریکا را دور بزند. این تحریم‌ها به کاربران موبایل‌های هواوی اجازه نمی‌دهد از نرم افزار اندروید گوگل استفاده کنند.

درهمین راستا هواوی تصمیم دارد با سرمایه گذاری ۲۰ میلیون پوندی توسعه دهندگان برنامه در انگلیس و ایرلند را تشویق کند برنامه‌هایی برای App Gallery هواوی بسازند. همچنین توسعه دهندگان برنامه که تا پایان ژانویه ۲۰۲۰ اپلیکیشنی در اپ استور آپلود کنند، ۲۰ هزار پوند پاداش دریافت می‌کنند.

یکی از موارد تمرکز هواوی حفظ کاربران خود است. هواوی تصمیم دارد اپ استور خود را به سومین اکوسیستم بزرگ موبایل در سراسر جهان تبدیل کند. Gallery App هواوی روی ۶۰۰ میلیون موبایل در ۱۷۰ کشور جهان نصب شده است.

البته در حال حاضر مشکل هواوی آن است که توسعه دهندگان اپ را وادار کند اپلیکیشن‌هایی برای اکوسیستم جدید بسازند.

طبق گزارشی جدید فیس بوک برنامه خود را برای ارائه تبلیغات در واتس‌اپ متوقف کرده است.

به گزارش خبرگزاری مهر به نقل از وال استریت ژورنال، فیس بوک تلاش برای فروش تبلیغات در واتس‌اپ را متوقف کرده است. این در حالی است که طی ۱۸ ماه قبل برنامه فیس بوک برای عرضه تبلیغات در واتس‌اپ سبب شد موسسان پیام رسان از سمت خود استعفا دهند.

به گفته منابع آگاه در ماه‌های اخیر گروهی که برای ارائه راه حلی جهت یکپارچه سازی تبلیغات در واتس‌اپ گردهم جمع شده بود، تجزیه شده است. سپس نتیجه فعالیت‌های گروه از کد واتس‌اپ حذف شد.

این در حالی است که در سال ۲۰۱۸ میلادی فیس بوک اعلام کرد آگهی‌های تبلیغاتی در ویژگی Status این پیام رسان قرار می‌دهد تا به این ترتیب به درآمدزایی برسد. به نوشته این نشریه تصمیم برای افزودن آگهی‌های تبلیغاتی به واتس‌اپ دلیل اصلی استعفای موسسان این پیام رسان بوده است.

موسسان واتس‌اپ در یک پست وبلاگی در ۲۰۱۲ میلادی ارائه تبلیغات در پیام رسان را اهانتی به هوش کاربر نامیده و اعلام کرده بودند هدفشان ارائه یک محصول با هدف گسترش تبلیغات نبوده است.

البته هنوز مشخص نیست فیس بوک برنامه‌های خود برای ارائه تبلیغات در فیس بوک را به طور کامل رها کرده یا خیر. بنابراین ممکن است در آینده تبلیغات در واتس‌اپ ارائه شود. در حال حاضر تمرکز واتس‌اپ ساختن ویژگی‌های مختلف برای کاربران تجاری است. بسیاری از افراد از واتس‌اپ برای کسب و کار خود استفاده می‌کنند.

در این اواخر واتس‌اپ قابلیتی ارائه کرده که به کاربران اجازه می‌دهد تا کاتالوگی از محصولات خود در اپلیکیشن بسازند.

آمریکا به انگلیس فشار وارد می کند تا در توسعه زیربنای اینترنت۵G خود از تجهیزات هواوی استفاده نکند. بوریس جانسون نیز خواستار ارائه یک جایگزین برای هواوی شده است.

به گزارش خبرگزاری مهر به نقل از رویترز،  بوریس جانسون نخست وزیر انگلیس پیش از تصمیم گیری برای همکاری با هواوی در توسعه زیربنای اینترنت۵G انگلیس به شدت تحت فشار است.

طبق گزارش ها روز گذشته مقامات دولت آمریکا شواهد جدیدی از ریسک های همکاری با هواوی به دولت انگلیس ارائه کرده اندو آن را «دیوانگی» خوانده اند.  در همین راستا جانسون  اعلام کرد امنیت ملی کشورش را نادیده نمی گیرد. اما او گفت مخالفان هواوی باید جایگزین دیگری برای این شرکت ارائه کنند.

جانسون در این باره گفت: مردم انگلیس باید به بهترین فناوری موجود دسترسی داشته باشند. من قبلا درباره زیربنا وفناوری صحبت کرده ام. ما تصمیم داریم اینترنت پرسرعت را در اختیار همه قرار دهیم. اکنون اگر مردم مخالف یک برند باشند چه باید کرد؟ آنها باید به ما بگویند جایگزین آن برند چیست. از سوی دیگر  بیایید صادق باشیم، من نمی خواهم به عنوان نخست وزیر انگلیس امنیت انگلیس را به خطر بیندازم.

این درحالی است که مقامات انگلیس و آمریکا و نمایندگان هواوی روز دوشنبه با یکدیگر دیدار کردند. دراین دیدار آمریکا همچنان برفشارها افزود.

 از سوی دیگر وزیردفاع انگلیس اعلام کرده  دونالد ترامپ و مشاورانش تهدید کرده اند در صورتیکه انگلیس با هواوی همکاری کند، برخی از شریان های انتقال اطلاعات خود به این کشور را قطع می کنند.

وزیر ارتباطات دولت نجات ملی یمن اعلام کرد، ائتلاف سعودی اجازه ورود تجهیزات ارتباطی و ایستگاه‌های اتصال بین‌المللی به یمن را نمی‌دهد و در قطع اینترنت دخیل است.
به گزارش فارس، یمن یک هفته است که در نتیجه قطع یک کابل دریایی (فالکون) با قطعی تقریبا کامل اینترنت روبه‌روست و این موضوع بر زندگی مردم و بخش‌های مختلف سازمانی و بانکی تأثیر گذاشته است.

بر اساس گزارش «العربی الجدید»، قطع اینترنت از پنجشنبه هفته گذشته باعث شده بیش از هشتاد درصد از خدمات اینترنت بین‌المللی در یمن از کار بیفتد و خسارت‌های میلیاردی به اقتصاد این کشور روبه‌رو شود.

گفته می‌شود با قطع برخی کابل‌ها معمولا کشورها کابل‌های رزرو در اختیار دارند اما این موضوع درباره یمنی که پنج سال است درگیر حمله و جنگ است، صدق نمی‌کند.

«مسفر النمیر» وزیر ارتباطات و فناوری یمن با برگزاری جلسه‌ای فنی، کشورهای عضو ائتلاف سعودی را مسؤول قطع اینترنت در یمن دانست.

بر اساس گزارش شبکه «المسیره»، النمیر گفت، کشورهای عضو ائتلاف مانع از ورود تجهیزات ارتباطی و ایستگاه‌های اتصال بین‌المللی و نیز ترکیب کابل‌های دریایی می‌شوند و همین موضوع باعث ادامه قطع اینترنت شده است.

مهندس مسفر النمیر در ادامه تأکید کرد، اینترنت و ارتباطات از ضروریات زندگی است و در بیشتر فعالیت‌های روزانه به آن نیاز است، به همین دلیل وزارت ارتباطات توسعه آن را در صدر اولویت‌های خود قرار داده است.

طبق گفته‌های محققین، گوشی‌های موبایل کم‌هزینه و حمایت‌شده توسط دولت با بدافزارهای از پیش‌نصب‌شده درشان عرضه شده و کاربران را با آگهی‌های تبلیغاتی ناخواسته بمباران کرده‌اند. ظاهراً این گوشیِ اندرویدیِ UMX U686CL -که تحت طرح کمکی کمیسیون فدرال ارتباطاتِ[1] Lifeline در اختیار شهروندان آمریکاییِ کم‌درآمد به قیمت 35 دلار قرار داده شد- از اپی به نام Settings استفاده می‌کرده است؛ اپی که به نقل از محققین در واقع یک تروجانِ دراپر بوده است. طبق گفته‌های ناتان کولیر، محقق شرکت Malwarebytes کار این اپ در حقیقت گرفتن و نصب سایر اپ‌ها یا بدافزارهاست.
متأسفانه، برای آن دسته از افرادی که در Lifeline ثبت‌نام کردند، اپ Settings حذف نمی‌شود. دلیلش هم این است که اپ Settings الزامی است و به کاربر، دسترسی به بخش تنظیمات هسته‌ای گوشی را می‌دهد. در نتیجه، اگر این اپ از حالت نصب خارج شود (uninstall) دستگاه دیگر هیچ کارایی‌ای نخواهد داشت.
کولیر در پستی اینطور نوشت: «کد مذکور به شدت مبهم‌سازی شده است. ما این بدافزار را Android/Trojan.Dropper.Agent.UMX شناسایی کرده‌ایم». او همچنین افزود که جزئیات اجرایی آن تا حد زیادی به جزئیات اجرایی و فنی یک تروجان دراپر موبایل دیگر شباهت دارد که در نوع مدل متغیر ALReceiver و ALAJobService ارائه می‌شود. بر اساس این تحلیل، «تنها تفاوت بین این دو کد، نام مدل‌های متغیرشان است». در اصل بنیادی‌شان، هر دو دراپر یک رشته‌ی کدسازی‌شده در کدشان دارند که وقتی کدگشایی شوند فایل آرشیو پنهان‌شده‌‌ای را به نام com.android.google.bridge.LibImp. نمایان می‌کنند. این آرشیو وقتی کدگشایی می‌شود -با استفاده از کدگشایی Base64- به کمک DexClassLoader در حافظه لود می‌شود. و وقتی آرشیو در حافظه ذخیره شده، دراپر با نصب یک تکه بدافزار دیگر رسالت خود را به پایان می‌رساند- در مورد UMX U686CL این بدافزار یک اپ آگهیِ مخرب موسوم به HiddenAds است.
به گفته‌ی کولیر، مشتریان Malwarebytes خود تأیید کردند که اپی به نام HiddenAds ناگهان روی گوشی‌هایشان ظاهر شده است. بعد از نصب روی دستگاه، آگهی‌هایی به صورت تمام‌صفحه به طور دوره‌ای کاربر را گیر می‌انداختند.

Wireless Update
اپِ از پیش‌نصب‌شده‌ی نگران‌کننده‌ی دیگری نیز وجود دارد که نامش Wireless Update است. این اپ نیز کارکردش به خودی خود، قانونی تلقی می‌شود (دریافت و نصب آپگریدهای بی‌سیمِ سیستم‌عامل برای گوشی) و البته کار خود را به طور خودکار انجام می‌دهد. با این وجود، همچنین به طور خودکار بدون رضایت کاربر سایر اپ‌ها را دریافت و نصب می‌کند.
کولیر: «از لحظه‌ای که به دستگاه موبایل خود لاگین می‌شوید، Wireless Update شروع می‌کند به نصب خودکار اپ‌ها. برای انجام این کار، رضایت هیچ کاربری جلب نشده است و همچنین هیچ دکمه‌ای هم برای تأیید این نصب‌ها وجود ندارد؛ تنها به خودی خود شروع می‌کند به نصب اپ‌ها».
این اپ‌ها تاکنون بدون بدافزار بوده‌اند اما قابلیت‌هایشان به طور آشکارا دری باز کرد تا بدافزار با خود تأثیرات مخربش را وارد آن‌ها کند. چیزی که این نگرانی را دوچندان می‌کند این است که کد Wireless Update درست مثل کد استفاده‌شده توسط بدافزایست ساخت شرکت به نام Adups Technology. کولیر: «Adups یک شرکت چینی است که حین جمع‌آوری اطلاعات کاربری دستگیر شد. این شرکت داشت برای دستگاه‌های موبایل بک‌در می‌ساخت و بله، داشت در حقیقت اینستالرهای خودکار درست می‌کرد».
بر اساس تحقیقات قبلی، اپ Adups در گذشته حین نصب HiddenAds و سایر تروجان‌ها روی دستگاه‌های قربانی مچش گرفته شد. شرکت Adups قبلاً سر اعتراف BLU Products، شرکت تولیدکننده‌ی گوشی‌های اندرویدی مبتنی بر اشتراک‌گذاری کلی اطلاعات (شامل پیام‌های متنی کاربرانش، اطلاعات لوکیشن برج سلولی در لحظه، لاگ‌های پیام متنی، فهرست کانتکت‌ها و اپلیکیشن‌های استفاده‌شده و نصب‌شده روی دستگاه‌ها) با این شرکت زیر نظر قرار گرفته بود. Wireless Update می‌تواند uninstall شود اما کاربران در نهایت مشکلات امنیتی‌شان هیچگاه رفع نمی‌گردد.

چه کسی مسئول است؟
کولیر با بررسی نحوه‌ی ورود این بدافزار به گوشی‌های مذکور فقط به بن‌بست و عدم مسئولیت‌پذیری رسید. چین کشوریست که این گوشی‌ها در آن تولید شدند و کد اپِ این دراپر نیز توسط مسئولین چینی ساخته شده است. طبق تحقیقات: «اکثر انواع قابل‌تشخیصِ این بدافزار دارند کاراکترها را به زبان چینی استفاده می‌کنند». بنابراین، می‌شود فرض را بر این داشت که اصلیت این بدافزار برای چین است. این خود سوالی ایجاد می‌کند: آیا دراپر جایی در راستای زنجیره تأمین (در طول روند تولید در آسیا) بدون آنکه تولیدکننده حتی روحش هم خبر داشته باشد تزریق شده بوده است یا نه.
سال گذشته گوگل افزایش میزان اقدامات مخرب عاملین را برای کاشت اپ‌های (به طور بالقوه) آسیب‌رسان روی دستگاه‌های اندرویدی گزارش داد. گوگل در تحلیل سالانه‌ی حریم‌شخصی و امنیت اندروید خود در سال 2018 چنین گفت: «عاملین مخرب، تلاش‌های خود را برای جاساز کردن PHAها در زنجیره تأمین –با استفاده از دو نقطه ورود اصلی- مضاعف کردند: دستگاه‌های جدیدی که با PHAهای از پیش‌نصب‌شده فروخته شده بودند و آپدیت‌های OTA (بی‌سیم) که در خود به صورت قانونی آپدیت‌های سیستم به همراه PHAها را داشته‌اند».
«توسعه‌دهندگان PHAهای از پیش‌نصب‌شده تنها باید تولیدکننده‌ی دستگاه و یا شرکتی دیگر در زنجیره تأمین را به جای تعداد زیادی کاربر فریب می‌دادند؛ بنابراین خیلی راحت‌تر توانستند به توزیع در مقیاس بزرگ دست یابند». کولیر از شرکت Malwarebytes گفت نتوانسته اینکه شرکت خود آگاه از چنین بدافزارِ از پیش‌نصب‌شده‌ای بوده است یا نه تأیید کند. در مورد Wireless Update احتمال می‌دهیم شرکت انتخاب کرده بوده برای این قابلیت کار را با کد Adups جلو ببرد اما دوباره بگوییم- این هنوز تأیید رسمی نشده است. در عین حال، گوشی مارک Virgin دارد و توسط Assurance Wireless توزیع شده است. Assurance Wireless خود ارائه‌دهنده‌ی خدمات تلفن همراه فدرال Lifeline است که کارش عرضه‌ی گوشی و داده‌ها به مشتریان واجد شرایط است. این گوشی تحت طرح مذکور که حامی‌اش دولت 35 دلار قیمت دارد.
کولیر می‌گوید: «ما به Assurance Wireless در مورد یافته‌های خود اطلاع دادیم و از آن‌ها پرسیدیم چرا یک کریر موبایل که دولت آمریکا آن را حمایت مالی می‌کند دارد دستگاه موبایلی می‌فروشد که در خودش به طور از پیش‌نصب‌شده‌ای بدافزار دارد؟ با اینکه زمان خوبی برای جواب دادن بهشان دادیم اما هرگز پاسخمان را دریافت نکردیم».

سناریویی قدیمی
بدافزارهای از پیش‌نصب‌شده و اپ‌های ناخواسته پدیده‌ی تازه‌ای نیستند، این سناریوها دیگر قدیمی شدند. بعنوان مثال، در طی بررسی خرابی‌های بدافزار روی گوشی‌های مارک BLU، پی بردیم بسیاری از گوشی‌ها همراه با بدافزارهای از پیش‌نصب‌شده بودند و همچنین از طریق یک ابزار آپدیت طرف‌سوم بدافزارهای بیشتری را نیز دانلود کرده‌اند. اگر این کار تعمدی بود باشد عواقبش گریبان تولیدکننده‌ها را خواهد گرفت. برای مثال، لنوو این غول چینیِ تولیدکننده‌ی پی‌سی سر پیش‌لود کردن کد Superfish در سال 2014 حسابی به دردسر افتاد.
 
[1] Federal Communications Commission

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

محققان موسسه امنیتی کاسپراسکای از شناسایی یک اپلیکیشن تروجان خبر داده‌اند که با انتشار تبلیغات و متون دروغین در مورد اقلام و کالاهای مختلف کاربران را فریب می‌دهد.
به گزارش فارس به نقل از آسین ایج، برخی شرکت‌های تجاری برای جلب نظر مثبت کاربران تلاش می‌کنند نظرات و دیدگاه‌هایی مثبت را در مورد تولیدات خود در سایت‌های مختلف فروش آنلاین درج کنند. این شرکت‌ها برای تسهیل این کار برخی از مواقع تروجان‌هایی مخرب را طراحی می‌کنند تا این وظیفه بر عهده آنها گذاشته شود.

امروزه بسیاری از کاربران به نقدها و نظرات دیگر کاربران در مورد کالاهای مختلف بسیار توجه می‌کنند و نتیجه این امر تلاش برای دستکاری این نظرات و دیدگاه‌ها توسط اپلیکیشن‌ها و تروجان‌های جاسوس است.

اپلیکیشن مخرب شناسایی شده توسط کاسپراسکی به فروشگاه‌های آنلاین مختلف، سایت‌های بارگذاری و غیره سر می‌زند و دیدگاه‌های مثبت تقلبی خود را در مورد کالاهای هدف درج می‌کند و تبلیغاتی را در مورد آنها به نمایش می‌گذارد.

این تروجان که شاپر نام دارد، برای واقعی به نظر رسیدن دیدگاه‌های قلابی با استفاده از خدمات Accessibility گوگل، برخی از این دیدگاه‌ها را از سایت‌های مختلف جمع آوری می‌کند و در سایت‌های دیگر کپی می‌کند.این اپلیکیشن کماکان به فعالیت‌های تخریبی خود ادامه می‌دهد.

خیلی از افراد فکر می‌کنند نرم‌افزار اگر منبع‌باز باشد ایمن‌تر از نرم‌افزارهای مالکیتی است. در سی و ششمین کنگره‌ی ارتباطات آشوب (C3[1]36) که ماه گذشته برگزار شد، متخصصین اندرو هوانگ، شاین کراس و تام ماربل این موضوع چالش‌برانگیز را پیش کشیدند که آیا اساساً پیاده‌سازی طرح منبع‌باز برای حل مشکلات امنیتی در بخش سخت‌افزاری کافیست یا نه. در ادامه قرار است روشن کنیم چرا پدیده‌ی منبع‌باز نیز در نهایت نمی‌تواند چاره‌ی همه‌ی مشکلات باشد. پس با ما همراه شوید.

تفاوت‌های بین سخت‌افزار و نرم‌افزار از حیث اعتماد
ایمنیِ نرم‌‌افزارهای منبع‌باز نه تنها در باز بودنشان که همچنین در افزارهای پرکاربردشان نهفته است؛ ابزارهایی که به طور گسترده‌ای از آن‌ها استفاده می‌شود؛ ابزارهایی که تضمین می‌دهند برنامه‌ای که در اندپوینت اجرایش می‌کنید با کد منبع نشرشده صادق است. برای مثال، برنامه‌نویس‌ها با یک گواهی دیجیتال نرم‌افزارهای خود را امضا می‌کنند و سیستم پیش از اجرای این نرم‌افزار روی کامپیوتر کاربر گواهی را بررسی می‌کند. اما در خصوص بخش سخت‌افزاری این مسئله فرق دارد: کاربران اگر برای هش کردن و یا امضاهای دیجیتال به هیچ آنالوگ سخت‌افزاری دسترسی نداشته باشند دیگر ابزاری هم ندارند که با آن بتوانند صحت و صداقت سخت‌افزار را در مقابل اطلاعات نشرشده در خصوصِ آن بررسی کنند. آخرین باری که یک دستگاه یا قطعه در واقع مورد بررسی قرار می‌گیرد همان فکتوری (کارخانه) است. و هر قدر فاصله‌ی بین بررسی کارخانه‌ای با استفاده‌ی دستگاه بیشتر طولانی‌تر باشد، شانس یک حمله‌ی موفق MITM[2] نیز بیشتر است.

ایراد کار کجا می‌تواند باشد؟
اگر بخواهیم کلی صحبت کنیم، هر چیزی می‌تواند برای تراشه‌ها و یا کل دستگاه‌ها در فاصله‌ی بین ترک کردن کارخانه و استفاده شدن برای اولین بار بیافتد. نخست اینکه، سفت‌افزار[3] می‌تواند تعویض شود. (البته که سفت‌افزار در واقع می‌توان گفت یک مشکل نرم‌افزاری است؛ بنابراین می‌تواند مورد تأیید قرار گیرد اما شما همچنان باید در طول این تأییدیه به سخت‌افزار خود متکی باشید). از همین روست که هوانگ مرکز صحبت‌هایش مشکلات مرتبط با بخش سخت‌افزاری بود (تعویض، دستکاری و ایمپلنت اجزا).

افزودن اجزا
این روزها، ماژولی کاملاً غیرمجاز می‌تواند در یک رابط کابل شارژ یو‌اس‌بی جاساز شود. حتی این کار در تجهیزات پیچیده‌تر که متشکل از اجزای مختلفی هستند آسان‌تر نیز می‌شود زیرا این قسم تجهیزات از فضای بیشتری برای ایمپلنت‌ها برخوردار هستند. تنها خبر خوب این است که به همان میزان که جاساز شدن آن‌ها راحت است به همان اندازه هم می‌توان براحتی تراشه‌های اضافه‌شده‌ی مزاحم را شناسایی نمود.

تعویض اجزا
ساده‌ترین ترفند جایگزینی، عوض کردن مارک است. نمونه‌ای بارز در زندگی واقعی: یک میکروکنترلرِ بدکارکرد در بررسی‌ای بصری چنین می‌نمود که گویی مارک درستی دارد (از شرکت STMicroelectronics) حال آنکه کل تراشه ساخت شرکت دیگری بود. آن زمان این تقلب در تعویض تراشه‌ای بسیار ارزان به جای تراشه‌ای بسیار گران بود اما این ترفند جایگزینی می‌تواند شامل هر دسیسه‌ای بشود؛ دسیسه‌هایی که عواقبش سنگین‌تر از اینها خواهد بود.

دستکاری تراشه
افراد گمان می‌کنند تراشه‌ را وقتی از کارخانه بیرون می‌آید دیگر نمی‌شود دستکاری کرد؛ اما چنین چیزی اصلاً حقیقت ندارد. در بسیاری از موارد آنچه ما به عنوان یک تراشه‌ی واحد می‌بینیم در واقع چندین ریزمدار[4] است قرار گرفته در یک بسته. یک مهاجم خبره می‌تواند از همین فناوری برای گذاشتن قطعات بیشتری از سیلیکون در همان بسته استفاده کرده و این ایمپلنت را به کانکت‌های موجود وصل کند. در حقیقت، تجهیزاتی که برای انجام این کار لازم است نسبتاً کم‌هزینه بوده و خیلی زود هم فراهم می‌شود (بر طبق گفته‌های این سخنگو، یک دستگاه سیم‌کشی از چین حدود 7000 دلار قیمت دارد)، هرچند نتایج جعلی در X-rayها قابل‌شناسایی خواهند بود. بسته‌ها یا پکیج‌هایی که در مقیاس تراشه و در سطح ویفر[5] هستند برای دستکاری هزینه‌ی بیشتری برمی‌دارند اما X-rayها دیگر قادر به نمایش این فریب‌ها نیستند.

اصلاح مدار مجتمع (IC)
عموماً، شرکت‌ها برای امور مخصوص به حوزه‌ی خود تراشه طراحی می‌کنند اما آن‌ها را برای تولید برون‌سپاری می‌نمایند؛ تنها مهره‌های اصلی و به اصطلاح کله‌گنده‌ی بازارند که توان تولید تراشه‌های خود را دارند. در چنین آرایشی، بیش از یک روش برای دستکاری محصول نهایی وجود دارد. علاوه بر اینها، بعد از اینکه تراشه یا دستگاه از دستان طراح خارج می‌شود دیگر کسی به خودش زحمت بررسی کردن محصول نهایی برای مطابقت دادن ریزه‌کاری‌ها نمی‌دهد (به ندرت پیش می‌آید اینطور باشد).

در چه نقطه‌ای سخت‌افزار می‌تواند عوض شود؟
متخصصین در این کنگره چندین سناریوی تعویض ارائه دادند- از سناریوهای بسیار ساده گرفته تا بسیار ظریف و فریب‌دهنده. اگر بخواهیم به طور وسیع در این باره صحبت کنیم، هر کسی می‌تواند محصولی را بخرد، آن را دستکاری کند و به فروشنده برش گرداند (همان کسی که آن را دوباره می‌فروشد). حکماً، در مراحل مختلف تدارکات، تیم بسته‌بندیِ شرکت تولیدکننده، نماینده‌های سفارشی‌سازی و طرفین مختلف به این تجهیزات دسترسی دارند (و البته هر کسی که بتواند در صورت انتخاب آن‌ها را دستکاری کند). هدف و مقصود هر چه که باشد، استفاده از سخت‌افزار منبع‌باز نمی‌تواند تا حد زیادی امنیت را به ارمغان اورده و ابعاد ایمنی را قوی‌تر سازد.

نتیجه‌گیری
هوانگ در پایان سخنرانی‌اش اشاره کرد تغییرات در تولید سخت‌افزار می‌تواند کاربران نهایی را قادر به تأیید امنیت تراشه‌ها و دستگاه‌ها کند. همه‌ی راه‌های خطرناک‌سازیِ سخت‌افزار هم گران و پرزحمت نیستند و از همه مهمتر اینکه بین پیچیدگی حمله و اینکه شناسایی‌اش تا چه حد می‌تواند سخت باشد هیچ همبستگی مستقیمی وجود ندارد. در مورد کاربران تجاری هم فقط باید گفت مراقب این تهدید باشید و صرفاً به محصولات امنیتی اندپوینت تکیه نکنید.
 
[1] Chaos Communication Congress
[2] حمله مرد میانی
[3] firmware
[4] microcircuit
[5] یک برش نازک از یک نیمه‌رسانا مانند سیلیکون بلورین است که در ساخت تراشه‌های الکترونیکی و در فتوولتائیک برای ساخت سلول‌های خورشیدی کاربرد دارد
 
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

اگر تجربه‌ی آموزش اصول مقدماتیِ امنیت اطلاعات به کارمندان را داشته باشید خوب می‌دانید که مدیریت این کار تا چه اندازه می‌تواند چالش‌برانگیز باشد. آن دسته از کارمندان که از پیش، با این حوزه آشنایی‌ نداشته‌اند که خیلی سخت می‌توانند ذهن خود را متمرکز نموده و کمی بعد از دیدن آموزش، مطالب را پاک فراموش می‌کنند. خیلی از وقت‌ها هم ساز و کار ارائه‌شده در مفاهیم آموزشی را درک نمی‌کنند. بطور کلی می‌توان گفت امر آموزش در حوزه امنیت فناوری شاید آنقدرها هم مؤثر نباشد.
 آموزش مؤثر و حفظ این میزان تأثیر در زنجیره‌ی امنیت سایبری شرکت نقش بسیار مهمی دارد. درست مانند سایر بخش‌های آموزشی، روانشناسی حافظه نیز (که به الگوهای حفظ کردن و بازتولید اطلاعات شناخته می‌شود) در حوزه‌ی آموزش امنیت سایبری می‌تواند بسیار مفید باشد. در ادامه قصد داریم چهار تئوری مهم و کارامد را به شما معرفی کنیم تا با استفاده از آن‌ها بتوانید در حوزه‌ی امنیت فناوری یادگیری بهتری داشته باشید. پس با ما همراه بمانید.
هرمان ابینگاسِ روانشناس با بررسی مطالعات تجربی روی حافظه دریافت که انسان‌ها تا 60 درصدِ اطلاعاتی را که طیِ یک ساعتِ اول دریافت می‌کنند از یاد می‌برند. ده ساعت بعد از جلسه‌ی یادگیری، حافظه 35 درصد داده را حفظ می‌کند. شش روز بعد حدود 20 درصد اطلاعات باقی می‌ماند و از آنجا منحنی وارد یک سطح پایدار می‌شود (حتی بعد از یک ماه).
ابینگاس مطالعات خود را ادامه داد تا نشان دهد تکرارِ مطالب حفظ‌شده باعث کاهش نرخ فراموشی شد و اینکه این تکرارها خود به دریافت بهتر اطلاعات انجامید. نتیجه‌گیری ما این است که برای آموزشی صحیح، ارائه‌ی مطالب جدید تنها یک بار کافی نیست. بهترین راه این است که اطلاعات با تکرار حفظ شوند؛ درست به همان روشی که ابینگاس در مطالعاتش بدان رسید.

تأثیر یادآوری
روانشناس تجربی دیگری به نام فیلیپ بالارد نیز دریافت که افراد دو تا سه روز بعد از یادگیری، اطلاعات را بیشتر بازتولید می‌کنند تا بلافاصله بعد از یادگیری. آزمایش او بسیار ساده بود: او به سوژه‌های آزمایش خود مطالبی برای حفظ کردن داد و ازشان خواست آن را همان لحظه بازتولید کنند و بعد همین کار را چند روز بعد هم انجام دهند. ما توصیه نمی‌کنیم بعد از یک جلسه آموزشی سریعاً از کارمندان خود امتحان بگیرید.

اثر تداخل
البته اینکه به کارمندان هرآنچه برای یک جلسه آموزشی نیاز دارند بدهیم عالیست. افسوس که چنین جلسات آموزشی چندان کارامد نخواهند بود. حجم اطلاعات تزریق‌شده در مغز فرد آن هم به طور یکجا به اثر تداخل منجر می‌شود؛ پدیده‌ای که روانشناسان چنین نامی برایش گذاشته‌اند. مسئله اینجاست که یادگیری مطالب باید بینش کمی فاصله باشد اگر نه با همدیگر تداخل پیدا می‌کنند.
فرقی ندارد اطلاعات قدیمی با ذخیره‌سازی اطلاعات جدید تداخل پیدا می‌کند یا اطلاعات جدید باعث می‌شود یادگیرنده‌ها اطلاعات قبلی را از یاد ببرند. به هر حال اگر بین یادگیری فاصله داده نشود همه‌چیز بهم می‌ریزد. به عقیده‌ی ما فاصله گذاشتن بین جلسات آموزشی آن هم روی مباحثی مختلف می‌تواند ایده‌ی خوبی باشد.

اثر موقعیت ترتیبی
آیتم‌های ابتدایی و انتهایی بهتر به خاطر سپرده می‌شوند. برای ما مهم این است که برای هر مطلب ارائه‌شده یادگیری درست صورت گیرد: متن، ویدیو حتی نامه‌های کاری.
بدیهی است که مهمترین اطلاعات باید اول و آخر جریان/جلسه‌ی یادگیری ارائه شود. با این حال، این اثر چنانچه جلسه‌ی یادگیری محرک‌های عاطفی نداشته باشد به طور عادی پدیدار نمی‌شود. در این حالت، یادآوری، شخصی است و نه لزوماً قابل‌پیش‌بینی.
همکاران ما به طور خاص در راهکار Kaspersky Automated Security Awareness Platform (پلت‌فرم آگاهی امنیتی خودکار کسپرسکی) بررسی‌های خود را روی روانشناسیِ رفتار، جذب اطلاعات و تئوری یادگیری متمرکز کرده‌اند که شرکت‌ها با هر ابعادی می‌توانند از آن برای آموزش مهارت‌های امنیت سایبری به کارمندان خود استفاده کنند.

منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

[1]  "اطلاعاتی که در ابتدا و انتها ارائه می‌شوند بهتر بخاطر سپرده می‌شوند".

شرکت امنیتی روسی کاسپراسکای از تغییراتی اساسی و مهم در تاکتیک های گروه هکری لازاروس خبر داد که نشانه علاقمند شدن آنها به سرقت ارزهای دیجیتال است.

به گزارش خبرگزاری مهر به نقل از آسین ایج، بررسی‌های جدید کاسپراسکای نشان می‌دهد گروه هکری لازاروس از سال ۲۰۱۸ به سرقت ارزهای دیجیتال علاقمند شده و در همین راستا عملیاتی موسوم به اپل جئوس را به اجرا گذاشت.

این عملیات مخرب در سال ۲۰۱۹ نیز ادامه یافته و لازاروس با کسب تجارب قبلی گام‌های محتاطانه ای را برای استفاده از اپلیکیشن‌های مختلف در همین زمینه برداشته است. از جمله برنامه‌های مورد استفاده برای سرقت ارزهای دیجیتال تلگرام است.

قربانیان حملات گروه هکری لازاروس اهل کشورهای مختلفی مانند انگلیس، لهستان، روسیه و چین هستند. همچنین برخی شرکت‌های فعال در زمینه خرید و فروش ارزهای دیجیتال نیز به همین علت دچار مشکل شده‌اند. گروه یادشده در سال ۲۰۱۸ بدافزار قدرتمندی برای حمله به رایانه‌های مک تولید کرد که وب سایت‌های ثالث را آلوده می‌کرد و کاربرانی که به آنها مراجعه می‌کردند شاهد آلوده شدن رایانه‌های خود و سرقت ارزهای دیجیتالشان بودند.

ایرنا- شرکت مایکروسافت با همکاری چند شرکت دیگر تکنیک جدیدی را برای شناسایی و ریپورت شکارچیانی که در فضای آنلاین سعی در اغوای کودکان دارند، ابداع کرده است.

به گزارش پایگاه اینترنتی «انگجت»، این فناوری که پروژه آرتمیس (Project Artemis) نام دارد، به صورت رایگان در اختیار شرکت‌های خدمات آنلاینی قرار خواهد گرفت که امکان چت را برای کاربران فراهم می‌کنند.

آرتمیس با مرور مکالمات متن محور ارزیابی می‌کند که آیا می‌توان آنها را نمونه‌ای از کودک‌آزاری تلقی کرد یا نه. شرکت‌ها در ادامه با استفاده از رتبه‌بندی‌های صورت گرفته توسط این فناوری، برخی از مکالمات را برای بررسی توسط ناظران انسانی پرچم‌گذاری می‌کنند.

این پروژه در نوامبر سال ۲۰۱۸ آغاز شد و از آن زمان تاکنون شرکت‌های مایکروسافت (Microsoft)، میت گروپ (Meet Group)، روبلاکس (Roblox)، کیک (Kik) ، تورن (Thorn) در کنار طرف‌های دیگر در ساخت این ابزار همکاری کرده‌اند.

مایکروسافت تنها غول فناوری نیست که علیه سوءاستفاده از کودکان و کودک‌آزاری مبارزه می‌کند. یوتیوب سال گذشته در پی گزارش‌هایی در خصوص کودک‌آزاری گسترده در این پلتفرم فعالیت صدها کانال را متوقف و گزینه ثبت نظر بر روی ده‌ها میلیون ویدئو را غیرفعال کرد. فیس‌بوک نیز مدعی است که از یادگیری ماشینی برای مبارزه با سوءاستفاده از کودکان استفاده می‌کند.

ایرنا- وزارت امنیت داخلی آمریکا با اشاره به وجود یک آسیب‌پذیری روز صفر در ورژن‌های قدیمی فایرفاکس، از کاربران خواست تا این مرورگر را بر روی سیستم خود به‌روزرسانی کنند.

به گزارش پایگاه اینترنتی «انگجت»، آن‌طور که آژانس زیرساخت و امنیت سایبری آمریکا (CISA) می‌گوید، این اکسپلویت به هکرها اجازه می‌دهد تا کنترل سیستم‌های آسیب‌پذیر وآلوده را به دست گیرند.

آسیب‌پذیری روز صفر (Zero-day Vulnerability) حفره یا نقصی در یک اپلیکیشن است که برنامه نویسان تنها صفر روز از زمان شناسایی باگ تا مقاوم کردنش در برابر حملات سایبری احتمالی هکرها زمان دارند.

از همین رو پس از آن که موزیلا دو آپدیت امنیتی مهم منتشر کرد، وزارت امنیت داخلی آمریکا از کاربران خواست تا مرورگر فایرفاکس خود را به‌روزرسانی کنند.

یکی از سخنگویان شرکت موزیلا با انتشار بیانیه‌ای گفت: شرکت امنیتی چینی Qihoo ۳۶۰ روز سه شنبه ۷ ژانویه سال ۲۰۲۰، وجود یک آسیب‌پذیری را گزارش کرد که در حملات هدفمند به یک شبکه محلی مورد استفاده قرار گرفته بود. ما نیز برای رفع و رجوع این آسیب‌پذیری صبح روز بعد آپدیت‌هایی را برای فایرفاکس منتشر کردیم.

این سومین اکسپلویتی است که موزیلا در کمتر از یک سال پچ کرده است. این شرکت تابستان گذشته در کمتر از یک هفته دو باگ اساسی در مرورگر خود پیدا کرد که هردوی آن‌ها مورد سوءاستفاده جدی هکرها قرار گرفته بودند.

برای تضمین امنیت خود فایرفاکس ۷۲.۰.۱ یا ESR ۶۸.۴.۱ را دانلود کنید.

یک محصولِ کانکتد  یا همان متصل به اینترنت باید چرخه‌ی عمرِ چندساله داشته باشد؟ البته پاسخ به این سوال تا حد زیادی به محصول بستگی دارد: افراد، خودروهای خود را سال‌ها یا حتی دهه‌ها نگه می‌دارند و این درحالیست که یک مسواک معمولاً هر چند ماه یکبار تعویض می‌شود. این روزها بیش از هر زمان دیگری شاهد افزایش تعداد محصولات کانکتد هستیم و از همین رو نمی‌شود سوال مطرح‌شده را به طور شفاف و بی‌ابهام پاسخ داد زیرا این موضوع بسیار پیچیده‌تر از اینهاست. راس آندرسون، استاد دانشگاه کمبریج در طی سخنرانی خود در سی و ششمین کنگره‌ی «ارتباطات آشوب » به این مسئله پرداخت که قرار است در این خبر آن را پوشش دهیم. پس با ما همراه بمانید.

چرخه‌ی عمر یک محصول کانکتد
محصولاتی که دسترسی به اینترنت ندارند در مقایسه با محصولات کانکتد یا همان‌ دستگاه‌هایی که به اینترنت وصل می‌شوند بیشتر در معرض هک شدن قرار می‌گیرند. اگر بخواهیم این موضوع را از چشم‌انداز امنیت اطلاعات فناوری ببینیم، این بدان معنا می‌باشد که چرخه‌ی عمر بیشترِ محصولاتی که به اصطلاح «هوشمند» یا «کانکتد» نیستند چندان هم قابل‌توجه و تمرکز نیست.
محصولات کانکتد اما داستانشان فرق دارد؛ آن‌ها در طول چرخه‌ی حیاتشان نیاز به ایمن‌سازی دارند. در برخی موارد - برای مثال خودروها را در نظر بگیرید- ایمنی و امنیت دو مؤلفه‌ی مهمند که دوشادوش یکدیگر پیش می‌روند. آن جیپِ هک‌شده را به خاطر دارید؟ چنین بلایی فقط سر محصولات هوشمند است که می‌تواند بیافتد که پیامدهایش هم هیچ جزئی نخواهد بود.
امنیت‌دهیِ محصولات مستلزم پشتیبانی و آپدیت‌های نرم‌افزاری مرتب است. این آپدیت‌ها باید سر موعدهای منظمی صورت گیرند و هر محصول نیز نیازمند چندین نفر نیروست. از آنجایی که کسب و کارها زود به زود محصولات جدید ارائه می‌دهند دیری نمی‌پاید که خواهید فهمید برای کنترل چنین وضعیتی به یک تیم امنیتی نیاز است.
بنابراین، پاسخ به نظر ساده می‌آید: چرخه‌ی عمر یک محصول کانکتد باید تا حد امکان کوتاه باشد. اسمارت‌فون‌ها را در نظر بگیرید. اسمارت‌فون‌ها بیشتر از سه سال نباید ازشان استفاده کرد. برخی شرکت‌ها بعد از یکی دو سال دیگر اسمارت‌فون‌هایشان را پچ نمی‌کنند و آن‌ها را همینطور به امان خدا می‌سپارند. که همین بحث دیگری را نیز مطرح می‌کند: پایایی .

کربن چه ارتباطی با چرخه‌ی عمر یک محصول دارد؟
البته از حیث اکولوژیک، مشتریان زیرک تا حد امکان محصولات «سبز» را انتخاب می‌کنند؛ اما این انتخاب در مواجهه با رویکرد «چرخه‌ی عمرِ حتی‌المقدور کوتاه» از بین می‌رود. هر محصولی بالاخره از خود ردّ پایی کربنی به جای می‌گذارد.
محصولاتِ کانکتد شما باید سبز باشند- تا اینجای کار همه‌چیز واضح است. اما اصلاً سبز یعنی چه؟ کاهش مصرف سوخت یا برق کافی نیست. در بسیاری از موارد، خرید محصولی «سبزتر» می‌تواند بیش از نگه داشتن محصولات قدیمیِ نه چندان سبزتان آسیب‌رسان باشد. بعنوان مثال، یک خودروی معمولی وقتی دارد ساخته می‌شود بیشتر کربن‌دی‌اکسید طول می‌کند تا زمانی در چرخه‌ی حیاتش به سر می‌برد. تولید اسمارت‌فون در مقایسه با مصرفش در طور چرخه‌ی حیاتی که دارد (عمر مفید) ده برابر بیشتر انرژی مصرف می‌کند. اساساً این بدان معنا می‌باشد که برای حامی سبزیِ محصولات باید همگان خرید گوشی و خودرو را پایین بیاوریم (نه که فقط چرخه‌ی عمرشان را کوتاه نگه داریم). بنابراین، برای نجات سیاره‌مان، چرخه‌ی عمر محصولات باید تا جایی که می‌شود بلندتر باشد. شاید نشود به این تناقض همان ابتدای امر پی برد: چرخه‌ی عمر یک محصول کانکتد باید تا آنجا که می‌شود از هزینه‌ها پشتیبانی کرد پایین آورده شود و تا جایی که بشود از سیاره‌مان مراقبت کرد نیز باید آن را طولانی نگه داشت. حال باید دقیقاً چه کرد؟

حلِّ معمای چرخه‌ی عمر
ظاهراً برای این گره کور، چاره‌ای وجود دارد. شما می‌توانید نه تنها با کوتاه کردن چرخه حیات محصولات هوشمند پشتیبانی مالی بعمل آورید بلکه همچنین می‌توانید در همان وهله‌ی اول آن را ایمن‌سازی کنید. منظورمان این است که طراحی محصولات از همان وهله‌ی اول بر پایه‌ی امنیت‌دهی باشد. یک محصول مطمئن بعید است به آپدیت‌های مکرر برای جلوگیری از آسیب‌پذیری‌ها نیاز داشته باشد. پس این یعنی در طول چرخه‌ی حیاتش به پشتیبانی کمتری نیاز خواهد داشت. البته، اینکه چیزی را از همان طرح اولیه امنیت‌دهی و ایمن‌سازی کنیم به حرف ساده است اما به عمل امریست بس پیچیده. این کار مستلزم یک زیربنای مطمئن برای تولید محصولات است- برای مثال استفاده از  KasperskyOS، سیستم‌عامل مبتنی بر micro-core ما فقط اقداماتی را مجاز می‌داند که صراحتاً بدان‌ها مجوز داده است؛ در غیر این صورت هیچ اقدام دیگری اجازه‌ی پیشروی ندارد. بدین‌ترتیب دیگر فضایی برای بروز آسیب‌پذیری‌ها باقی نمی‌ماند؛ زیرا یک آسیب‌پذیری معمولاً اجازه‌ی اجرای اقداماتی را می‌دهد که سازندگان دستگاه فکرش را هم نمی‌کردند. سیستم‌هایی که از اساس طراحی‌شان بر پایه‌ی امنیت بوده است (از جمله KasperskyOS) به شما این قدرت را می‌دهند تا محصولات هوشمندی بسازید با چرخه‌ی حیات بالا (چون پشتیبانی مالی‌شان کمتر است). چرخه‌های طولانی‌ترِ محصولات نیز (از چشم‌انداز اکولوژیکی) ماناییِ کسب و کار شما را تضمین می‌کند.
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

فیس بوک علیرغم فشارهای مختلف برخلاف توییتر و گوگل تبلیغات سیاسی را ممنوع نمی کند.

به گزارش خبرگزاری مهر به نقل از دیلی میل، فیس بوک همچنان در برابر فشار برای ممنوعیت تبلیغات سیاسی  مقاومت می کند.

طبق ادعای فیس بوک ، این شرکت به جای حذف یا محدود کردن تبلیغات سیاسی تصمیم دارد دسترسی کاربران به تبلیغات سیاسی طبقه بندی شده در فضای آنلاین را تسهیل کند. علاوه برآن فیس بوک ادعا می کند قصد دارد به کاربران اجازه دهد کنترل خود بر شبکه های اجتماعی را بیشتر کنند و تبلیغات سیاسی و اجتماعی کمتری ببینند.

این در حالی است که هنوز فیس بوک مشخص نکرده برای راستی آزمایی تبلیغات سیاسی چه اقداماتی انجام می دهد.

راب لیترن مدیر محصولات فیس بوک در این باره گفت: شرکت نسبت به انتقادات ناشنوا نیست.

این در حالی است که شرکت های فناوری دیگر از جمله گوگل و توئیتر  اعلام کردند تبلیغات سیاسی را محدود می کنند.  توییتر تبلیغات سیاسی را قبل از انتخابات پارلمان انگلیس ممنوع کرد و گوگل نیز اجازه نمی دهد تبلیغ کنندگان در این پلتفرم رای دهندگان را براساس تمایل سیاسی شان هدف بگیرند.

ایرنا- کمپانی گوگل اعلام کرده است که ماهانه بیش از ۵۰۰ میلیون نفر در سراسر جهان از دستیار صوتی گوگل (Google Assistant) استفاده می‌کنند.

به گزارش پایگاه اینترنتی «دیجیتال ترندز»، این غول فناوری در جریان نمایشگاه CES ۲۰۱۹ اعلام کرد گوگل اسیستنت که در ۳۰ کشور و به ۹۰ زبان قابل دسترس است، بیش از نیم میلیارد کاربر دارد.

گوگل که چند سالی است از این رویداد برای رونمایی از بزرگترین به روزرسانی‌های گوگل اسیستنت استفاده می‌کند، در نمایشگاه امسال نیز به چند مورد از قابلیت‌ها و ویژگی‌های جدیدی که در سال میلادی پیش‌رو به این برنامه اضافه خواهد شد، اشاره کرد.

یکی از مهمترین مورد از این قابلیت‌های جدید «برنامه‌های زمان بندی شده» (Scheduled Actions) نام دارد. با استفاده از این قابلیت، کاربران می‌توانند از گوگل بخواهند تا یک کار را در یک زمان مشخص انجام دهد. به عنوان نمونه، کاربر می‌تواند با فرمان صوتی از گوگل اسیستنت بخواهد چراغ حیاط، دستگاه‌های تهویه و تصفیه هوا را راس یک ساعت مشخص روشن یا خاموش کند.   

علاوه بر این، گوگل که قصد دارد تعامل با گوگل اسیستنت را به تجربه بهتری تبدیل کند، به این منظور بر روی بهبود صدای دستیار صوتی خود نیز کار کرده است. در نتیجه این تلاش‌ها، گوگل اسیستنت از این پس می‌تواند مقالات و مطالب طولانی را با صدای طبیعی‌تری برای کاربران بخواند. این ویژگی جدید گوگل اسیستت را به ابزاری کاربردی برای افراد مبتلا به اختلالات بینایی تبدیل خواهد کرد.

گوگل همچنین به گزینه‌ها و امکانات امنیتی جدیدی که به دستیار صوتی خود اضافه کرده نیز اشاره کرد. به این ترتیب، از این پس ضبط هرگونه صوت بر روی دستگاه منوط به اجازه کاربر خواهد بود و کاربران همچنین می‌توانند با فرمان‌هایی از گوگل اسیستنت بخواهند تا صدا و مکالمه‌ای را که به طور ناخواسته ضبط شده است، پاک کند.

یکی از اعضای کمیسیون فدرال تجارت آمریکا در پنلی در CES۲۰۲۰ به مدیران ارشد اپل و فیس بوک گفتند شیوه های فعلی برای حفظ حریم شخصی افراد غیر قابل دفاع و ناکافی است.

به گزارش خبرگزاری مهر به نقل از پرس اسوسیشنز، در یک مناظره که در نمایشگاه CES۲۰۲۰برگزار شده بود، یکی از اعضای کمیسیون فدرال تجارت آمریکا(FTC) خطاب به اپل و فیس بوک گفت شیوه های فعلی برای حفظ حریم شخصی افراد غیرقابل دفاع و ناکافی هستند.

اعضای کمیسیون FTC در پنلی که با حضور مدیران ارشد از هر دو شرکت برگزاری شده بود، از صنعت فناوری خواستند تا مسئولیت بیشتری درباره این مشکل بپذیرد.

ربکا اسلاتر یکی از اعضای کمیسیونFTC اعلام کرد تعداد موارد افشای اطلاعات امنیتی در سال های گذشته به شدت افزایش یافته و نشان می دهد باید اقدامات بیشتری برای حفاظت از اطلاعات کاربران انجام داد.

 او در این باره گفت: این واقعیت که هر روز در روزنامه ها اخبار مختلفی درباره نشت اطلاعات منتشر شده می شود، بدان معنا است که اقدامات کافی برای حفظ امنیت اطلاعات انجام نشده است.

همچنین پس از سال های متمادی، برای نخستین بار یکی از مدیران اپل در نمایشگاهCES شرکت کرد.  جین هوروات مدیر ارشد امنیت جهانی اپل همراه همتای خود از فیس بوک(ارین ایگان) در این پنل حضور داشند.

 ایگان در پاسخ به اسلاتر عنوان کرد ارائه ابزارهای کنترل امنیت سایبری برای کاربران، نمونه ای از اقدامات شرکت برای محافظت از مشتریان خود است.

 با این وجود اسلاتر  معتقد بود اینکه از مشتریان خواسته شود تا بر نحوه جمع آوری اطلاعات خود نظارت کنند، کاری غیر عادلانه است. او در این باره گفت: تصور می کنم حتی اگر کاربران بتوانند  از کنترل های تعیین شده برای حفظ حریم شخصی گذر کنند، مقدار اطلاعاتی که آنها باید پردازش کنند، برای بیشتر افراد قابل توجیه نیست.

هوارت نیز در دفاع از اقدامات شرکت خود گفت: در اپل ما کاربران را مانند رانندگان خودروها تصور می کنیم. آنها باید روی اطلاعات خود دسترسی داشته باشند و بتوانند اطلاعات راگزینش کنند. این یکی از حوزه های تمرکز ما در اپل است. از سوی دیگر  مدیر ارشد اجرایی ما (تیم کوک) به شدت به حفظ حریم اطلاعاتی افراد معتقد است.

در ادامه این پنل اسلاتر  اظهار امیدواری کرد تا قانون حفظ حریم شخصی تا ۲۰۲۱ در آمریکا ارائه شود.

یکی از مدیران ارشد فیس بوک اعتراف کرده است که در انتخابات ریاست جمهوری ۲۰۱۶ ترامپ با کمک این شبکه اجتماعی برنده شد.

به گزارش خبرگزاری مهر به نقل از نیویورک تایمز، در ۳۰ دسامبر اندرو بازورث یکی از مدیران ارشد قدیمی فیس بوک و از مشاوران مارک زاکربرگ، یک نامه طولانی در شبکه داخلی این شرکت منتشر کرد.

او بر تلاش های تبلیغات فیس بوک در انتخابات ۲۰۱۶ آمریکا نظارت داشت و اکنون مسئول بخش واقعیت های مجازی و افزوده شرکت است. بازورث در این نامه اعتراف کرده ترامپ از ابزارهای تبلیغاتی فیس بوک (هر چند در مقیاس کوچک) برای برنده شدن دوباره در انتخابات ریاست جمهوری استفاده می کند.

اما او همچنان معتقد است این شرکت نباید سیاستهای تبلیغات سیاسی خود را تغییر دهد زیرا جلوگیری از پیروزی ترامپ در انتخابات سواستفاده از قدرت به حساب می آید.

او همچنین به چالش های مختلفی اشاره کرد که فیس بوک طی سال های اخیر با آنها روبرو شده است از جمله رسوایی های مربوط به حفاظت از حریم شخصی، دخالت روسیه، دوقطبی سیاسی.

در این نامه آمده است: انتخابات دونالد ترامپ به عنوان رئیس جمهور دوباره فیس بوک را در مرکز توجهات قرار می دهد.

بازورث در بخش دیگری از نامه نوشته است: آیا  فیس بوک به انتخاب دونالد ترامپ به عنوان رئیس جمهور کمک کرد؟ من تصور می کنم پاسخ به این سوال مثبت است. دلایل من برای این پاسخ با آنچه در ذهن شما است، تفاوت دارد. دلیل برنده شدن او اخبار جعلی روسیه یا رسوایی کمبریج آنالایتیکا نبود. بلکه او بهترین برنامه تبلیغاتی دیجیتالی را برگزار کرد. البته من طرفدار ترامپ نیستم.

بازورث برای روشن شدن بیشتر مسئله فیسبوک را به شکر تشبیه کرده که استفاده از آن در حد معمول دلپذیر است.اما اگر مفرط از آن استفاده شود، بیماری را در پی خواهد داشت.  در نتیجه مسئولیت استفاده درست از فیسبوک هم مثل شکر بر عهده خود مصرف کنندگان قرار دارد.

نوامبر در آمریکا، ماه «آگاهی ملیِ صرع» شناخته شده است. نوامبر گذشته بی‌شک آگاهی بی‌سابقه‌ای نسبت به بیماری صرع به خود دید البته دلیلش، حملات مهاجمین سایبری بود: ترول‌های اینترنتی در توییتر از تصاویر انیمیشنیِ فلش‌دار (چشمک‌زن) استفاده نموده و برای آزار دادن افراد مبتلا به صرع، سازمان صرع را تگ کردند. در ادامه ضمن ارائه‌ی راهکارهای امنیتی شما را با چند و چون این حمله آشنا کرده‌ایم. با ما همراه باشید.

عملکرد حمله
صرع، -که یک اختلال عصبی است- به تشنج‌های صرعیِ پیاپی‌اش شناخته شده است. هر ساله بیش از 100 هزار نفر بر اثر این بیماری جان خود را از دست می‌دهند. یکی از انواع رایج این بیماری، صرعِ حساس به تصویر است که طی آن، حملات می‌توانند با استفاده از نورهای چشمک‌زن تحریک شوند. در حمله‌ای که قصد داریم امروز شما را در جریانش قرار دهیم نیز همین نوع صرع مورد هدف مهاجمین سایبری قرار گرفته است. کاربران توییتر نه تنها می‌توانند در این پلت‌فرم اجتماعی پیام‌های متنی پست کنند که همچنین قادر به نشر تصاویر، ویدیو و تصاویر انیمیشنی نیز هستند. مورد آخر با دو گزینه ارائه می‌شود: گیف و PNG انیمیشنی (APNG). هر دو نوع فایل تا حد زیادی مانند هم هستند و تنها فرقشان در کیفیت و عمق رنگ تصویر است. اما در این مورد خاص، مهاجمین از قابلیت دور زدن تنظیمات اتوپلیِ توییرِ APNG سوء استفاده کردند.
کاربران ثبت‌نامیِ توییتر می‌توانند انتخاب کنند به محض اینکه این مدیا در فیدهایشان پدیدار می‌شود، گیف‌ها و ویدیوها شروع کنند به پخش شدن. کاربران مبتلا به صرع بهتر است این بخش اتوپلی را غیرفعال کنند چون ممکن است محتوای انیمیشنی تشنج‌هایشان را تحریک کند. اما تا همین اواخر تنظیمات، روی APNGها اجرایی نمی‌شد و همین باعث می‌شد آن‌ها به طور خودکار شروع به پخش شدن کنند. استفاده‌ی سوء از APNGها ایده‌ی اصلیِ این حمله‌ی ترول بود. بر اساس گزارشات سی‌ان‌ان، بیش از 30 اکانت توییت‌هایی با تصاویر انیمیشنی و چشمک‌زن پست کردند که سازمان صرع نیز در آن‌ها تگ شده بوده است (همچنین هشتگ‌های این سازمان‌ نیز کپی پیست شده بوده). این تصاویر بیشتر در قالب APNG بودند بنابراین می‌توانستند به طور خودکار شروع به پخش و حرکت کنند. در طول این ماهِ آگاهی ملی، افراد بیشتری اکانت سازمان صرع را دنبال کرده و از هشتگ‌های آن استفاده نمودند که می‌شود گفت احتمال اینکه خیلی از آن‌ها مبتلا به صرع بودند بسیار زیاد است.

پیامد این حمله
در ماه بعد این حمله، پیامدها به شرح زیر بود:
•    بسیاری از رسانه‌های مهم این حمله را تحت پوشش قرار داده و ماه آگاهی ملی صرع را به جد ماهِ آگاهی خواندند.
•    سازمان صرع در پی این حمله شکایتی تنظیم کرد و در پاسخ به این هجوم سایبری خواستار انجام تحقیقات لازمه شد. هنوز کشمکش‌های این ماجرا ادامه دارد اما سخت بشود انکار کرد این حمله هدفش آسیب رساندنِ جدی به بیماران صرع در سراسر جهان بوده است.
•    توییتر هم به سهم خود روی پلت‌فرمش تغییراتی اعمال کرد و سعی نمود از تکرار چنین اتفاقی تا حد امکان جلوگیری کند. ابتدا این پلت‌فرم اجتماعی شروع کرد به ممنون کردن APNGها. بعد از آن اکنون توییتر نمی‌گذارد گیف‌ها وقتی فرد دارد «صرع» یا «تشنج» را جست‌وجو می‌کند روی صفحه ظاهر شوند.
 
ما می‌خواهیم همه تجربه‌ای مطمئن در توییتر داشته باشند.
 APNG‌ها سرگرم‌کننده بودند اما به تنظیمات پخش خودکار احترام نمی‌گذاشتند، از این رو قابلیت افزودن آن‌ها به توییت‌ها را از میان برداشتیم.
بدین‌ترتیب، امنیت افرادی که به تصاویر متحرک و چشمک‌زن حساسند (شامل کسانی که مبتلا به بیماری صرع هستند) حفظ می‌شود. https://t.co/Suogtrop1u
-Twitter AccessibilityTwitterA11y@ -23 دسامبر  2019

آیا ممنوع کردن APNG‌ها کافیست؟
اقداماتی که توییتر انجام داد به طور حتم برای جلوگیری از وقوع مجدد چنین حملاتی در آینده بسیار مؤثر واقع شده است اما شاید کافی نباشد. اینکه توییتر قصد دارد در این راستا اقدامات بیشتری بردارد دیگر به خود این شرکت بستگی دارد. به نقل از سازمان صرع، بسیاری از افراد تا وقتی تشنج نکنند متوجه نمی‌شود صرعشان از نوع حساس به تصاویر متحرک و چشمک‌زن است. با این حال، تنظیمات پخش خودکار توییتر به طور پیش‌فرض فعال است و این بدان معنا می‌باشد که برای کاربرانی که نوع صرعشان را نمی‌دانند و یا نسبت به تنظیمات اتوپلی توییتر آگاهی ندارند، گیف‌ها و ویدیوها همچنان به طور خودکار پخش خواهد شد (حتی اگر حاوی محتوای متحرک و چشمک‌زن باشند که بسیار خطرناک است).
افزون بر این، افرادی که در توییتر لاگین نمی‌شوند و یا اکانتی ثبت نکردند هیچ گزینه‌ای بهشان داده نمی‌شود. در صورتی که قابلیت پخش خودکار به صورت پیش‌فرض باشد، اگر فردی در توییتی به شما لینکی با تصاویر انیمیشنی بفرستد به طور خودکار پخش خواهند شد.
حمله‌ی سال گذشته تلنگر دیگری بود برای اینکه یادمان باشد جهان فیزیکی و دیجیتالی ما از هم جدا نیستند و اتفاقاً پیوند عمیقی بین آن‌ها وجود دارد. این دو جهان مدت‌هاست با هم عجین شدند، حالا دیگر چیزهای دیجیتالی روی سلامت افراد تأثیر می‌گذارد (و نه این تنها به بیولوژی‌مان محدود نمی‌شود، در آینده شاهد خواهیم بود چطور بُعد اکولوژیکی‌مان نیز پوشش داده خواهد شد)؛ درست همانطور که چیزهای فیزیکی می‌تواند سلامتی انسان را تحت‌الشعاع قرار دهد.
افرادی که صرعشان از نوع حساسیت به تصاویر متحرک و چشمک‌زن است به مهمانی‌هایی که در آن‌ها نورپردازی‌های شدید انجام می‌شود نمی‌روند. بسیاری از فیلم‌ها و بازی‌های ویدیویی نیز وقتی می‌خواهند نمایش داده شوند اخطار می‌دهند که ممکن است تشنج‌های صرعی را تحریک کنند.

راهکارهای امنیتی
ما مشاورین پزشکی نیستیم و در تیم کسپرسکی چنین افرادی را نداریم؛ بنابراین پیشنهاد اصلی ما برای افراد مبتلا به این بیماری و یا کسانی که مشکوک به ابتلا بدان هستند این است که (در خصوص توییتر):
•    اتوپلی را غیرفعال کنید. برای انجام این کار به بخش Settings and privacy در اکانت توییتر خود رفته، گزینه‌ی Accessibility را انتخاب نموده سپس Autoplay را زده و بعد هم Never را برگزینید. همچنان قادر خواهید بود ویدیوها  گیف‌های انیمیشنی را ببینید ولی بعد از کلیک روی آن‌ها شروع به اجرا خواهند کرد.
•    به تنظیمات حریم خصوصی توجه کنید. برای اینکه نگذارید افراد برایتان پیام‌های دایرکت بفرستند (با محتوایی ناخواسته مانند گیف‌های چشمک‌زن) گزینه‌ی Privacy and Safety را انتخاب کرده و تیک Receive messages را از روی همه بردارید.
•    یادتان باشد اگر می‌خواهید برای همیشه با توییتر خداحافظی کنید اما همچنان توییت‌ها را بخوانید، در معرض تنظیمات پیش‌فرض و اتوپلی‌ها باقی خواهید ماند.
 
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛

ایرنا – پلیس فدرال آمریکا موسوم به "اف.بی.آی" (FBI) با صدور بیانیه‌ای به شهروندان آمریکایی درباره خرید تلویزیون‌های هوشمند هشدار داد و اعلام کرد که این تلویزیون‌ها قادر به جاسوسی و رصد زندگی آنها هستند.

شبکه خبری آمریکایی "سی.بی.اس نیوز" روز چهارشنبه با انتشار هشدار اف.بی.آی گزارش داد: تلویزیون‌های هوشمند که قابلیت  اتصال به  اینترنت را دارند، امکان آنرا فراهم می سازند تا از این دستگاه بعنوان وسیله جاسوسی از داخل خانه‌ها  استفاده شود.

بنابراین گزارش پلیس فدرال آمریکا در بیانیه هشدار خود درباره این نسل از تلویزیونها اعلام کرد: چنانچه قصد خرید تلویزیونهای هوشمند را دارید و یا احتمالا آن را خریداری کرده اید، این دستگاه در  اتاق نشیمن شما می تواند توسط هکرها بعنوان ابزاری برای رصد سایبری به شبکه کامپیوتری داخل منزل و همچنین جاسوسی استفاده قرار گیرند.

پلیس اف.بی.آی در هشدار خود به مجهز بودن این گونه تلویزیون ها به دوربین، میکروفن و تکنولوژی شناسایی چهره اشاره کرده و افزوده است که این تلویزیون ها در کارخانه سازنده در قیاس با رایانه های شخصی و یا گوشی های همراه هوشمند، از تمهیدات ضعیف امنیتی برخوردار بوده و راه های نفوذ برای هکرها به آن سهل است و می تواند شبکه اینترنتی داخل منازل را به شدت دربرابر چنین نفوذهایی آسیب پذیر سازد.

سی.بی.اس نیوز افزود: پلیس اف.بی.آی به خریداران این نوع از تلویزیون های هوشمند توصیه کرده است تاهراز گاه گذرواژه این تلویزیون ها را تغییر دهند و زمانی که از آن استفاده نمی کنند دوربین های تعبیه شده برروی آنرا خاموش کنند.

بنابر تحقیقات صورت گرفته تنها  در سال ۲۰۱۶ میلادی نزدیک به ۱۰۰ میلیون تلوزیون خانگی هوشمند در آمریکای شمالی و اروپای غربی مورد استفاده قرار گرفته که همگی آنها به شبکه اینترنت متصل بوده اند.

با ترور سردار سلیمانی و افزایش تنش بین ایران و آمریکا تقاضا برای ارزهای مجازی مانند بیت‌کوین افزایش یافته و قیمت آن در چند روز اخیر 5 درصد رشد کرده است. تقاضا برای ارزهایی مانند ین ژاپن و طلا هم شدت یافته است.
به گزارش فارس به نقل از فوربس، با افزایش تنش‌ها بین ایران و آمریکا تمایل سرمایه‌گذاران روی سرمایه گذاری های مطمئن از جمله ارزهای مجازی و طلا افزایش یافته و امیدواری برای تقاضا برای بیت‌کوین بیشتر شده است.

تنش‌ها در منطقه خاورمیانه پس از ترور قاسم سلیمانی فرمانده نیروی قدس سپاه پاسداران انقلاب اسلامی افزایش یافته و در نتیجه سرمایه‌گذاران برای حفظ سرمایه‌های خود به دنبال محیط امنی در سرمایه‌گذاری هستند که از نظر کارشناسان طلا و ارزهای مجازی مطرح است. طی چند روز گذشته تقاضا برای این دست از سرمایه‌گذاری و همچنین ارز ین ژاپن افزایش یافته است.

تنش در منطقه باعث شده  در روزهای گذشته قیمت نفت 3 درصد، طلا 2 درصد و بیت‌کوین 5 درصد رشد یابد.

فوربس همچنین گفته که بیت‌کوین این ظرفیت را دارد به قیمت اوج خود برگردد.

بیت‌کوین پس از آنکه به 20 هزار دلار رسیده بود، طی چند ماه گذشته قیمت به 4000 تومان کاهش یافت، اما افزایش تنش‌ها بین ایران و آمریکا احتمال بالا رفتن قیمت بیت‌کوین را بیشتر کرده و شواهد حاکی است که در روزهای گذشته تقاضا برای این نوع ارز افزایش یافته است.

قیمت بیت‌کوین در اواسط 2019 در محدوده 4000 دلار بود، در حالی که پیشتر در ماه جولای به رقم 13 هزار دلار رسیده بود، سال گذشته قیمت بیت کوین در محدوده 20 هزار تومان معامله شد.

شرکت فضایی خصوصی ایالات متحده اسپیس‌اکس روز دوشنبه سومین گروه از ۶۰ ماهواره Starlink خود را به فضا پرتاب کرد.
به گزارش فارس به نقل از شینهوا، شرکت فضایی خصوصی ایالات متحده اسپیس‌اکس روز دوشنبه سومین گروه از ۶۰ ماهواره Starlink خود را به فضا پرتاب کرد و در تلاش برای ساختن یک شبکه ماهواره‌ای با قدرت 12000 نیرو یا حتی بیشتر که قادر به ارائه خدمات اینترنت باند پهن باشد است.

موشک Falcon ۹ که ماهواره‌ها را حمل می‌کرد، ساعت ۹:۱۹ به سوی فضا پرتاب شد؛ این شرکت سعی دارد بدون ائتلاف وقت فعالیت‌های خود در ٢٠٢٠ را نیز ادامه دهد. ارسال ماهواره‌های روز گذشته نخستین ماموریت فضایی اسپیس اکس در ٢٠٢٠ میلادی است.

این درحالی بود که این شرکت نخستین و دومین دسته از ۱۲۰ ماهواره Starlink را سال ۲۰۱۹ در مدار  مستقر کرد.

اسپیس ایکس تصمیم دارد سالانه چند ماموریت پرتاب ماهواره‌های استارلینک انجام دهد. این ماهواره‌ها اینترنت پرسرعت را برای مناطق مختلف فراهم می‌کنند.

ایلان ماسک (Elon Musk) رئیس اسپیس‌اکس نیز به تازگی موفق شده توئیتی را از طریق اینترنت ماهواره‌های استارلینک در توئیتر ارسال کند.

بچه‌ها خوب بلدند چطور سوال بپرسند که آدم معذب شود: «اصلاً بابا نوئل وجود داره؟ پریِ دندون، دندونایی که جمع می‌کنه رو کجا می‌برده؟ اصلاً میشه هر کسی که آدم بخواد، تعقیب کنه؟ این درسته که دولت‌ها خودشون پشت همه‌ی حملات هدف‌دارن؟». خوشبختانه پاسخ دو سوال آخر را می‌شود خیلی راحت از دلِ داستان سفیدبرفی و هفت‌کوتوله درآورد. در این داستان تعدادی فناوری‌های جالب (البته به صورت تمثیلی) شرح داده می‌شود که به محض اینکه متوجه آن‌ها شدید همه‌چیز مثل تکه‌های پازل به هم چسبانده می‌شود. افسانه‌های برادران گریم در حقیقت منابع اصلی و نمودی‌ هستند برای امنیت اطلاعات. این آموزه‌ها نه فقط برای کودکان که همچنین برای بزرگسالان ارزشمندند. در این خبر قصد داریم داستان محبوب و قدیمیِ سفیدبرفی و هفت‌کوتوله را از منظر امنیت اطلاعات مورد بررسی قرار دهیم. این مقاله‌ی جذاب را از دست ندهید.

آینه، ای آینه‌ی روی دیوار
داستان از پادشاهی شروع می‌شود که درست سر تولد دخترش، همسر خود را از دست می‌دهد. او خیلی زود برای خودش ملکه‌ای پیدا می‌کند؛ ملکه‌ای با یک آینه‌ی جادویی دیواری که تمام سوالات او را جواب می‌دهد. ملکه از آینه می‌پرسد:

آینه، ای آینه‌ی روی دیوار؛ بگو در این سرزمین چه کسی زیباترین است؟
شاید قدیم‌ترها اینکه کسی با یک آینه‌ی سخنگو حرف بزند خیلی عجیب بود اما الان ما خودمان از ملکه هم عجیب‌تر هستیم، می‌پرسید چطور؟ تا به حال نشده با دستیار دیجیتالی خود صحیت کنید و از او سوال‌های مختلف بپرسید؟ (اوکی گوگل، های سیری). آینه‌ی سخنگو و دیواری ملکه درست حکم همان اسمارت تی‌وی را دارد که به دستیار صوتی درون‌سازه‌ای مجهز است. با این حال، پاسخ‌های آینه چنین نشان می‌دهد که انگار دسترسی مستقیمی به پایگاه اطلاعاتیِ کل ساکنین قلمروی پادشاهی داشته است. اینجا بحث، سر دایکومنت‌هاست، یا بیومتریک‌ها، هر چه که می‌خواهید اسمش را بگذارید. علاوه بر این، چنین دستیار دیجیتالی‌ای می‌تواند از این داده‌ها برای قضاوتِ زیبایی -که مفهومی است بسیار شخصی و سلیقه‌ای- استفاده کند. آینه‌ی جادویی می‌بایست به طور حتم به فناوری‌های یادگیری ماشین مجهز بوده باشد.

گروه APT نامادری: پشت‌بند و شانه
خوب برویم سراغ خط اصلی روایی داستان. فراموش نکنید که اساس و بنیاد این داستان بر پایه‌ی یک نامادری است که هیچ تاب و توان رقابت کردن ندارد و می‌خواهد از شر رقیب خلاص شود. مأمورین دولتی شروع کردند به تعقیب سفیدبرفی و مجبورش کردند از قلمروی پادشاهی بیرون برود و به جنگل پناه بیاورد؛ جایی که با هفت کوتوله آشنا می‌شود.
کوتوله‌ها به دخترک بی‌پناه، پناه می‌دهند. با این حال، سرشان هم خیلی شلوغ است و هر روز باید برای انجام کارهای مهم خانه را ترک کنند. آخر آن‌ها معدنچی هستند. برادران گریم همه‌ی جزئیات را هم نداده‌اند؛ برای مثال اینکه کوتوله‌ها تجهیزات خود را کجا نگه می‌داشتند، کدام رمز ارز را ماینینگ می‌کردند و برقشان از کجا تولید می‌شد. اما با توجه به اینکه آن‌ها انتخابشان، استخراج کردن یک محل بخصوص در جنگل بود می‌شود اینطور نتیجه‌گیری کرد که فعالیتشان چندان هم به نظر قانونی نمی‌آمده است.
آیا سفید برفی در این مخفیگاه می‌توانست امن باشد؟ آیا می‌شد هیچوقت مورد شناسایی قرار نگیرد؟ نه. آینه‌ی همه‌چیزدان نه تنها به ملکه گفته بود که سفیدبرفی زنده است؛ بلکه همچنین دقیقاً موقعیت مکانی او را هم لو داده بود (آن سوی کوه‌ها به همراه هفت کوتوله). وقتی نامادری به حد کافی اطلاعات جمع کرد، تصمیم گرفت حمله‌ای هدف‌دار روی دخترخوانده‌ی خود بزند. او در قاموس پیرزن تاجری درآمد؛ پیرزنی که سعی داشت به سفیدبرفی پشت‌بند بفروشد. درست با استفاده از همین پشت‌بند بود که سفید برفی را به دام انداخت. پیرزن آنقدر پشت‌بند را توی تن سفید برفی تنگ کرد تا سفید برفی از حال رفت و بر روی زمین افتاد.
خوشبختانه، کوتوله‌ها پشت‌بند را از تن سفید برفی درمی‌آورند و او را احیا می‌کنند. این می‌تواند توصیف استعاری‌ای باشد از عملکرد یک بدافزار بلاکر. بدافزار بلاکر در حقیقت دستگاه را قفل می‌کند و مانع دسترسی کاربر می‌شود (معمولاً برای باجگیری ولی برخی اوقات هم برای مقاصد خرابکارانه). با این حال، میان کوتوله‌ها حتماً یک کوتوله‌ی ماهر بوده که توانسته خیلی سریع حمله را خنثی کند.
آیا نامادری از این اتفاق درس می‌گیرد و دیگر تکرارش نمی‌کند؟ نه. او که می‌فهمد نقشه‌اش نقش بر آب شده کنار نمی‌کشد و شروع می‌کند از راه دیگری وارد شدن. این بار تصمیم می‌گیرد از شانه استفاده کند. بخت با ملکه یار بود و این بار هم سفید برفی از تجربه‌ی قبلی‌اش درس نگرفت و دوباره فریب خورد: خرید شانه از فروشنده‌ای ناشناخته (دانلود از تورنت‌ها) و زدنش به سر. کوتوله‌ها باری دیگر این آلودگی بلاکر را هم خنثی می‌کنند.

سیب «زهرآلود»
نامادری موج سوم حملات خود را به راه می‌اندازد؛ این بار با دقت بیشتر. او دستگاهی را جفت‌سازی می‌کند که مادامیکه به سفیدبرفی وصل است او غیرفعال می‌ماند. آن دستگاه، سیب است. بی‌دلیل نبوده برادران گریم از المان سیب استفاده کردند. شاید واقعاً می‌خواستند از چند سال قبل این هشدار را به ما بدهند که هنوز برای دستگاه‌های آی‌اواسی راهکارهای امنیتی تمام‌عیاری عرضه نشده است، هرچند خیلی هم در شفافیت این موضوع مطمئن نیستیم. شاید هم فقط نمی‌خواستند خواننده سردرگرم شود: زن خدمتکاری که در زمان قرون وسطی بخواهد اندروید بفروشد خیلی عجیب‌تر به نظر می‌رسیده است، نه؟
تا اینجای کار، کوتوله‌ها باید یک سری آموزش‌های امنیت سایبری به سفید برفی داده باشند؛ بار بعد که نامادری‌اش با لباس مبدل ظاهر شد دختر می‌گوید کوتوله‌ها بهش اجازه ندادند چیزی از کسی بگیرد یا کسی را داخل راه بدهد. با این حال، این آموزش چندان هم کافی نبود. وقتی سفیدبرفی می‌بیند خود زن خدمتکار به سیب گاز می‌زند با خود می‌گوید حتماً سیب سالم است و حالا بر حسب اعتمادش اکنون از حال رفته و بر روی زمین می‌افتد. این بار هیچ کاری از دست کوتوله‌ها بر نمی‌آید؛ آن‌ها نمی‌توانند این بدافزار بدخیم را شکست دهند. برای همین فکر می‌کنند کار سفید برفی دیگر تمام شده است و دیگر هیچوقت برنمی‌گردد. این کاملاً نشان‌دهنده‌ی عملکرد بدافزارهای رمزی است. آن‌ها در حقیقت جلوی دسترسی به داده‌ها را می‌گیرند و در بسیاری از موارد، صاحبان این داده‌ها نمی‌توانند عملیات‌های این بدافزارها را معکوس کنند.
با این وجود، کوتوله‌های باهوش تصمیم می‌گیرند سفیدبرفی را خاک نکنند. آن‌ها در عوض او را می‌گذارند توی یک تابوت شیشه‌ای به امید اینکه روزی سر و کله‌ی ابزاری رمزگشا پیدا شود. و پیدا هم می‌شود: بعد از مدتی یک متخصص امنیت اطلاعات به صورت گذری پیدایش می‌شود (شاهزاده). بعد از کمی دستکاری تابوت متوجه تکه‌ای از سیب زهرآگین می‌شود (واضح است که برادران گریم منظورشان این بوده که شاهزاده کلید کدگشا را پیدا کرده) و حالا سفیدبرفی زنده شده است.
و بعد تا همیشه خوش و خرم کنار هم زندگی می‌کنند.

چه درس‌های از سفید برفی گرفتیم؟
•    بله، فناوری‌هایی وجود دارد که برای جمع‌آوری اطلاعات کاربری استفاده می‌شود (آن هم بدون رضایت‌شان) و این ابزارها می‌توانند برای مقاصد شر بکار روند.
•    بله، آژانس‌های دولتی ممکن است خود دست‌های پشت پرده‌ی حملات سایبری باشند.
•    افراد می‌توانند یک اشتباه را دو بار بکنند و آموزش‌های امنیت سایبری هم همیشه نمی‌تواند حملات را خنثی کند. نباید فقط در مورد کمک به کاربران حرف زد، باید عمل کرد؛ باید بدان‌ها مهارت‌های لازم را آموخت. برای مثال، Kaspersky Automated Security Awareness Platform می‌تواند آموزشی مؤثر در این راستا باشد.
•    برخی‌اوقات حتی افراد و کارمندان شرکت‌های کوچک هم می‌توانند قربانی حملات APT شوند. بنابراین، هر دستگاه متصل به اینترنت باید به راهکار امنیتی مطمئنی مجهز باشد.
 
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

تهران- ایرنا - اولین گوشی‌های هوشمند سامسونگ در سال ۲۰۲۰ میلادی، مدل‌های ساده شده از پیشرفته‌ترین گوشی‌های سال ۲۰۱۹ این شرکت هستند که با عنوان Galaxy S۱۰ Lite و Note ۱۰ Lite Galaxy عرضه خواهند شد.

به گزارش پایگاه خبری سی‌نت، شرکت سامسونگ با معرفی این گوشی‌ها اعلام کرد قصد دارد ویژگی‌های بسیار پیشرفته را با قیمت مناسب در دسترس عموم قرار دهد. البته سامسونگ هنوز قیمت دقیق این گوشی‌ها را مشخص نکرده و انتظار می‌رود در CES۲۰۲۰ آن را اعلام کند.
مدل Galaxy S۱۰ Lite دارای یک نمایشگر ۶.۷ اینچی Super AMOLED با وضوح تصویر ۱۰۸۰×۲۴۰۰ پیکسل، ۶ یا ۸ گیگابایت رم، ۱۲۸گیگابایت حافظه درونی با قابلیت افزایش با استفاده از کارت حافظه و یک پردازنده Snapdragon ۸۵۵ است. دوربین پشتی آن نیز دارای سه لنز ۴۸، ۱۲ و ۵ مگاپیکسلی است.
 مدل Note ۱۰ Lite Galaxy نیز ویژگی‌های مشابهی دارد، با این تفاوت که ساختار دوربین‌ پشتی آن متفاوت بوده و دوربین ۵ مگاپیکسلی با یک دوربین ۱۲ مگاپیکسلی جایگزین شده است و لنز اصلی به جای ۴۸ مگاپیکسل تنها ۱۲ مگاپیکسل وضوح دارد. همچنین این مدل مانند تمام گوشی‌های سری Note به یک قلم S Pen مجهز است.
با وجود این که گوشی‌های جدید سامسونگ فاقد ویژگی‌هایی مانند ضدآب بودن و شارژ بی‌سیم هستند، هنوز هم ویژگی‌های قابل توجهی دارند. شرکت سامسونگ اعلام کرده در نمایشگاه CES۲۰۲۰ جزئیات بیشتری را در باره این گوشی‌ها منتشر خواهد کرد.