اخراج یک دانش‌آموز از کالج به خاطر کشف حفره امنیتی

مطلبی از ایریکس در ۳ بهمن ۱۳۹۱

از تیتر مطلب معلومه که داستان چیه. یه دانش‌آموز تو مونترال کانادا یه حفره امنیتی تو سیستم کالج پیدا کرده که به حمله‌کننده‌ها اجازه می‌داده به اطلاعات خصوصی ۲۵۰٫۰۰۰ دانش‌آموز دسترسی پیدا کنن. رفته این موضوع رو به اطلاع مسئولین کالج رسونده و در نهایت اونها اخراجش کردن! واقعا که مسخره‌ست.
این دانش‌آموز ۲۰ ساله تو این کالج تو رشته کامپیوتر درس می‌خونده. با یکی از دوستاش داشتن یه برنامه موبایل می‌نوشتن تا دانش‌آموزها راحت‌تر بتونن به حساب کالجشون دسترسی داشته باشن. در این حین به گفته خودش متوجه «کد کثیفی» تو نرم‌افزار Omnivox میشه که تو سیستم به کار گرفته شده و می‌بینه هر کسی با اندکی دانش کامپیوتری می‌تونه به اطلاعات خصوصی بیش از ۲۵۰٫۰۰۰ دانش‌آموز ثبت‌شده تو این سیستم دسترسی پیدا کنه. احمد میگه:

«من احساس کردم که وظیفه اخلاقی دارم تا مسئولین کالج رو از این مشکل آگاه کنم و به رفع این مشکل کمک کنم. این کار رو هم کردم، در حالی که می‌تونستم حتی هویت خودم رو پشت یه پروکسی مخفی کنم. خودم رو قایم نکردم، ‌چون که فکر می‌کردم دارم کار درستی می‌کنم.»

احمد ال خباز

۲۴ اکتبر این مسئله رو به مسئول IT کالج اطلاع داده و ایشون از احمد و دوستش تشکر کرده و گفته که این مسئله رو با شرکت اسکای‌تک که سازنده نرم‌افزار Omnivox هست پیگیری می‌کنه تا مشکل رو برطرف کنه.

دو روز بعد احمد سعی می‌کنه سایت رو مجددا چک کنه تا ببینه که مشکل حل شده یا نه که چند دقیقه بعد تلفن خونشون زنگ می‌خوره. پشت خط مدیر شرکت اسکای‌تک بوده و میگه که این بار دومی هست که ما شما رو تو لاگ‌فایل‌های سیستم می‌بینم و این کاری که دارید می‌کنید حمله سایبری به شمار میاد. ما الان می‌تونیم از شما شکایت کنیم و شما به ۶ تا ۱۲ ماه زندان محکوم میشین.

احمد سعی کرده که بگه من همون کسی‌ام که این مشکل رو پیدا کرده و گزارش داده و الان هم می‌خواستم ببینم مشکل حل شده یا نه. اما آقای تازا تهدید کرده که اگر احمد حاضر به امضای توافق‌نامه عدم افشای اطلاعات با این شرکت نشه همین الان ازش شکایت می‌کنه. احمد حتی این کار رو هم می‌کنه و توافق‌نامه رو امضا می‌کنه. این توافق‌نامه نه تنها احمد رو از صحبت و اطلاع‌رسانی در مورد این مشکل منع می‌کنه، بلکه ایشون رو متعهد می‌کنه که از خود این توافق‌نامه هم به کسی چیزی نگه!

بعد از این اتفاق مسئولین کالج احمد رو کلی سوال‌پیچ می‌کنن و در نهایت با رای ۱۴ نفر از ۱۵ استاد دپارتمان علوم کامپیوتری و به خاطر «نقض جدی اخلاق حرفه‌ای» اون رو از کالج اخراج می‌کنن و برای تمام درس‌هاش هم نمره صفر رد می‌کنن! با این صفرها احمد احتمالا دیگه نمی‌تونه وارد هیچ کالج دیگه‌ای بشه و یه جورایی آینده آکادمیکش رو فعلا از دست داده.

ظاهرا رسانه‌ها دارن فشار میارن به مسئولین کالج که فقط برای حفظ اعتبار خودشون و شرکت اسکای‌تک این کار رو کردن، اما کالج تا حالا اظهار نظری نکرده. امیدوارم این تصمیم مسخره رو متوقف کنن.

پی‌نوشت: دم اون یه استاد که رای منفی داده هم گرم. :)

منبع:  + و +


از حساب ایمیل یاهوتون محافظت کنید

مطلبی از ایریکس در ۲۱ دی ۱۳۹۱

مهم‌ترین مزیت و کاربرد پروتکل SSL این هست که ارتباط شما با سرور رو رمزنگاری و غیر قابل شنود می‌کنه. انتقال سرویس ایمیل یاهو به این پروتکل خبر خوبی برای حفظ امنیت کاربران یاهو حساب میشه.

اگه شما جزو طرفداران یاهو هستید و هنوز از ایمیل یاهو استفاده می‌کنید، حتما می‌دونید که صفحه ورود به حساب یاهو توسط پروتکل SSL رمزنگاری می‌شد، اما بعد از ورود به سیستم برمی‌گشت به حالت عادی بدون رمزنگاری http:// که این شیوه از نظر امنیتی خیلی بد بود. مخصوصا اگه از اینترنت‌های عمومی مثل کافی‌نت ها یا شبکه‌های بی‌سیم کافی‌شاپ‌ها، کتابخونه‌ها و غیره استفاده می‌کردید.

خبر خوب این هست که یاهو بالاخره این امکان رو اضافه کرده که بتونید بعد از ورود به حساب کاربری یاهوتون، همچنان از ارتباط امن استفاده کنید. خیلی عجیب هست که یاهو تا حالا این امکان رو نداشت و همچنان عجیب هم هست که چرا الان این رو به عنوان یه گزینه تو تنظیمات اضافه کرده و به طور پیش‌فرض فعال نیست. به هر حال! یاهو هست دیگه!

نحوه فعال کردن SSL در یاهو

۱) به حساب ایمیل یاهو لاگین کنید.
۲) از اون  دکمه چرخ‌دنده گوشه سمت راست بالا روی Mail Options کلیک کنید.
۳) از منوی سمت چپ روی General کلیک کنید.
۴) اون گزینه آخری که Turn on SSL هست رو تیک بزنید و تنظیماتتون رو ذخیره کنید. یک بار هم از حسابتون خارج بشید و دوباره وارد بشید. از این به بعد می‌تونید با خیال راحت‌تری از سرویس ایمیل یاهو استفاده کنید. :)

 

فعال کردن SSL در سرویس ایمیل یاهو

فعال کردن SSL در سرویس ایمیل یاهو

 


مشکل امنیتی گواهی‌های دیجیتال TurkTrust

مطلبی از ایریکس در ۱۶ دی ۱۳۹۱

گواهی‌های دیجیتال که برای احراز هویت و برقراری ارتباط امن بین مرورگر کاربر و سرویس‌دهنده وب کاربرد دارن از شیوه حلقه اعتماد استفاده می‌کنن. این گواهی‌ها توسط موسسه‌های مورد اطمینانی به اسم «مراجع صدور گواهی دیجیتال» یا “Certificate Authority” صادر میشن. این مراجع به دو شکل ریشه (root) و میانی یا واسط (intermediate) هستن. تفاوتون اینه که تعداد مراجع ریشه محدود هست و برای اعتماد به اینها نیازی نیست به یه مرجع دیگه مراجعه کرد. اما برای اعتماد به مراجع واسط باید بررسی بشه که آیا این مرجع واسط توسط یه مرجع ریشه مورد تایید قرار گرفته یا نه.
بذارید براتون این مثال رو بزنم. فرض کنید من برای دامنه freemind.ir می‌خوام یه گواهی دیجیتال بگیرم. من این گواهی رو از مرجع میانی MiyaniCA 1 می‌گیرم. این مرجع میانی هم خودش گواهی دیجیتالش رو از RishehCA 1 گرفته. حالا وقتی کسی تو مرورگرش می‌زنه سایت freemind.ir رو باز کنه، مرورگر اول گواهی سایت freemind.ir رو بررسی می‌کنه و متوجه میشه که توسط مرجع MiyaniCA 1 صادر شده. تو فهرست مراجع ریشه مورد اعتماد داخل مرورگر جستجو می‌کنه و پیداش نمی‌کنه. بعد بررسی می‌کنه می‌بینه توسط RishehCA 1 صادر شده. از اونجایی که این RishehCA 1 رو بین مراجع مورد اطمینانش داره دیگه حلقه رو ادامه نمیده. به MiyaniCA 1 اطمینان می‌کنه و در نتیجه به freemind.ir هم اطمینان می‌کنه و صفحه رو باز می‌کنه. توجه کنید که این فقط یه مثال ساده برای درک این حلقه اعتماد بود و در عمل جزئیات فنی پیچیده‌تری داره.

TurkTrust

حالا مشکل به وجود اومده اینه که مرجع صدور گواهی دیجیتال ریشه TurkTrust اومده برای دو تا موسسه به جای گواهی دیجیتال معمولی، گواهی دیجیتال مرجع میانی صادر کرده. یعنی اینکه این دو موسسه با داشتن یه گواهی با اعتبار مرجع میانی، امکان این رو داشتن که برای سایت‌های دیگه گواهی دیجیتال جعلی صادر کنن،‌ بدون اینکه کاربر و مرورگر متوجه جعلی بودن این گواهی بشن. این اتفاق در آگوست ۲۰۱۱ اتفاق افتاده و متاسفانه چند روز پیش کشف شده. یکی از این دو موسسه از این قضیه سوء استفاده کرده و اومده یه سری گواهی دیجیتال جعلی برای مجموعه دامنه‌های *.google.com صادر کرده. با این کار می‌تونه حملات فیشینگ، MITM و شنود محتوای ارتباطی بین کاربران و این سرویس‌های گوگل انجام بده.

گوگل میگه ما اقدامات لازم رو برای کاربران کروم انجام دادیم، به زودی هم یه به‌روزرسانی برای این مرورگر ارائه خواهیم داشت. موزیلا هم گفته که گواهی‌های TurkTrust رو حذف کرده و روز ۸ ژانویه یه نسخه به‌روزرسانی برای تمام مرورگرهای فایرفاکس عرضه خواهد کرد. پس یادتون باشه که حتما مرورگرهاتون رو به روز کنید تا به مشکل نخورید. :)