http://cdn.gooyait.com/uploads/pwn.jpg (http://cdn.gooyait.com/uploads/pwn.jpg)
مسابقه Pwn2Own یکی از مسابقاتی است که سالانه برگزار می شود و طی آن نیز هزاران دلار به عنون جایزه به متخصصان امنیتی و در واقع همان هکرها اعطا می شود . این مسابقات سال ۲۰۱۳ در کانادا برگزار شده است و در این مطلب قصد داریم تا شما را در جریان این مسابقه قرار دهیم .

گزارش روز اول
در روز اول این مسابقه همه بزرگان دنیای مرورگرها هک شدند . در واقع سه قربانی اول این مسابقات مرورگرهای کروم شرکت گوگل ، فایرفاکس بنیاد موزیلا و اینترنت اکسپلورر مایکروسافت بودند . البته در بخش سایر نرم افزارها ، جاوا از شرکت اوراکل نیز حضور داشت . جاوایی که روزهای سختی را پشت سر می گذارد و دائما مشکلات امنیتی آن در اینترنت گزارش می شود .
در واقع این شرکت امنیتی فرانسوی VUPEN بود که مرورگرهای اینترنت اکسپلورر ۱۰ ( در ویندوز ۸ ) و فایرفاکس ۱۹ ( در ویندوز ۷ ) را هک کردند تا بار دیگر قدرت خود را به رخ هکرها بکشند . البته جاوا هم توسط متخصصان امنیتی این شرکت هک شد .
شرکت Vupen در توییتی عنوان کرد که با استفاده از دو آسیب پذیری Zero-day در مرورگر اینترنت اکسپلورر ۱۰ توانسته است کنترل کامل ویندوز ۸ موجود روی یک تبلت سرفیس پرو را در اختیار گیرد . در واقع این کار بعد از دور زدن سندباکس ویندوز ۸ انجام شده است .
توضیح : آسیب پذیری Zero-day به آسیب پذیری هایی اطلاق می شود که کسی هنوز از وجود آنها اطلاعی ندارد . اما کسانی که به آنها دست پیدا کرده باشند ، می توانند حملات خود را پیاده سازی کنند .
این شرکت در مجددا در توییتی که دو ساعت بعد منتشر کرد به روش هک فایرفاکس نیز اشاره هایی داشت . هک فایرفاکس نیز با استفاده تکنیک جدیدی برای دور زدن ASLR/DEP صورت گرفته است . البته Vupen ادامه می دهد که مشکلات امنیتی را به شرکت های سازنده این نرم افزارها ارائه داده است تا بتوانند از کاربران خود در برابر حملات هکرها محافظت کنند .
اما مرورگر کروم که سال گذشته به دست شرکت Vupen هک شده بود ، امسال به دست متخصصان آزمایشگاه امنیتی MWR هک شده است . در واقع هکرهای وابسته به این آزمایشگاه با دور زدن سندباکس آخرین نسخه مرورگر کروم توانسته اند به آن نفوذ کنند . همه این کارها نیز تنها با استفاده از یک صفحه وب مخرب صورت گرفته است . در واقع در این صفحه وب کدهایی قرار گرفته بود که می توانستند از آسیب پذیری موجود در کروم استفاده کنند . البته آسیب پذیری دیگری نیز در هسته سیستم عامل ویندوز وجود داشته است که در روند هک کردن کروم به کمک متخصصان این آزمایشگاه آمده است .

گزارش روز دوم
اما در روز دوم نیز فلش ، ادوبی ریدر و جاوا هک شدند . شرکت فرانسوی Vupen موفق شد تا فلش را هک کند . هکر معروف جورج هاتز نیز موفق به هک کردن ادوبی ریدر شد و در نهایت آقای بن مورفی نیز توانست ضربه سخت دیگری را به جاوا وارد کرده و دوباره آن را هک کند .
اما شاید جالب تر از همه این بود که مرورگر سافاری شرکت اپل توسط هیچ یک از هکرها و تیم های امنیتی هک نشد . سال گذشته بود که در طی همین مسابقه ، هکرهای شرکت Vupen توانستند در کمتر از ۵ ثانیه این مرورگر را هک کنند . اما ظاهرا شرکت اپل برای نسخه جدید مرورگرش تدابیر امنیتی بسیار خوبی اندیشیده است .
شرکت گوگل هم که وعده یک جایزه ۳٫۱۴ میلیون دلاری را به هکرهای سیستم عامل کروم داده بود ، توانست پولش را پیش خودش نگه دارد . چون هیچ کدام از هکرها نتوانستند به این سیستم عامل مبتنی بر پردازش ابری نفوذ کنند .
در پایان نیز به شرکت ها و یا افرادی که توانسته بودند جاوا را هک کنند ۲۰۰۰۰ دلار و برای فاتحان ادوبی فلش و ریدر نیز ۷۰۰۰۰ دلار جایزه در نظر گرفته شد . به صورت کلی نیز در مسابقه امسال ۴۸۰۰۰۰ دلار جایزه به هکرهای برنده تعلق گرفت .
همچنین لازم به ذکر است که شرکت های گوگل و موزیلا در آخرین نسخه های مرورگر خود ، تمامی آسیب پذیری های کشف شده در طی این مسابقه را پوشش دادند . پس بروز رسانی مرورگرهای خود را فراموش نکنید .


منبع : gooyait (http://www.gooyait.com)

هشدار کارشناسان امنیتی در مورد ایران و کره شمالی


ظاهرا هفته ی پیش حملات سایبری ضد آمریکا قوت گرفت که می گویند منشا آن از چین بوده است. اما متخصصان امنیت سایبری ایالات متحده نظر دیگری دارند و می گویند باید به ایران و کره شمالی توجهی خاصی داشت و به همان اندازه نگران آنها بود.
کارشناسان امنیت آمریکا می گوید : چین و روسیه به طور قابل توجهی از لحاظ سایبری پیچیده تر از ایران و کره شمالی هستند، اما این دو کشور هم دلیلی برای نگرانی در بحث امنیت سایبری بین المللی هستند.
در حالی که چین و روسیه تلاش می کنند تا روابط دیپلماتیک خود را با ایالات متحده حفظ کنند، اما حملات سایبری اخیر می تواند ایالات متحده را دلسرد کند. فرانک سیلوفو، مدیر موسسه سیاست امنیت داخلی و معاون مرکز سایبر امنیت ملی و اقتصادی در دانشگاه جورج واشنگتن می گوید : ایران و کره شمالی ممکن است از نا امیدی های حاصل از مواجه شدن با انزوای جهانی دست به حمله به ایالات متحده بزنند.
ایران هنوز فاقد قابلیت های روسیه و چین است اما حملات سایبری اخیری که در طی چند ماه گذشته انجام شد نشان از توان هکر ها دارد. او افزود : خبر بد این است که … آنچه که فاقد توانایی آن هستند را هم، قصد می کنند. او ادامه داد : هرآنچه که ندارند ، می توانند با خرید و یا اجاره پروکسی ها به دست آورند.http://cdn.gooyait.com/uploads/hackers_security_password-100004008-medium.jpg (http://images.techhive.com/images/article/2012/09/hackers_security_password-100004008-medium.jpg)
حملات سایبری ایرانی ها می تواند باعث بوت نت کردن و ایجاد اختلال در کسب و کار و خرید ایالات متحده شود. در اوایل سال جاری و سال ۲۰۱۲ هکر های ایرانی حمله ای به شرکت ملی نفت عربستان سعودی، شرکت آرامکو انجام دادند که در ادامه بیشتر به آن خواهیم پرداخت .
هکر های چینی و روسی بیشتر روی جاسوسی و سرقت تمرکز می کنند، و قابلیت های آنها می تواند به طور مداوم یک تهدید برای ایالات متحده باشد. سیلیفو معتقد است که آمریکایی ها می توانند جلوی اینگونه حملات سایبری را بگیرند.
ایران و کره شمالی غیر قابل پیش بینی تر هستند. به نظر می رسد که ایران روی حملات سایبری تلافی جویانه علیه آمریکا و اسرائیل برنامه ریزی کرده است، که دلیل آن هم تلاش های دو کشور برای تعطیل کردن برنامه هسته ای ایران می باشد.
حمله سایبری ایران به شرکت آرامکو در اواسط سال ۲۰۱۲، باعث آسیب دیدن ۳۰۰۰۰ کامپیوتر شد و علاوه بر این هشداری به آمریکا و دیگر کشور ها بود تا بدانند رشد قابلیت های ما به چه صورت بوده است. برمن، معاون رئیس شورای سیاست خارجی آمریکا در این باره می گوید : این ترسیمی است که آنها چگونه در صورت شکست در روابط عمل می کنند.
منبع (http://www.pcworld.com/article/2031902/security-experts-warn-about-iran-and-north-korea-hackers.html)

رد پای یک ایرانی در هک کردن پایانه های فروش آمریکا


به تازگی دو هکر در یک اقدام استادانه توانستند اطلاعات مربوط به۱۳ پایانه فروش فروشگاه های Subway در سه ایالات ماساچوست ، وایومینگ و کالیفرنیا آمریکا را به سرقت ببرند. در این میان نام یکی از دو هکر ، شاهین عبداللهی اعلام شده است که با نام مستعار Sean Holdt فعالیت داشته است و نام نفر دوم نیز Jeffrey Thomas Wilkinson میباشد. البته این اولین بار نیست کهSubway هک میشود زیرا در چند ماه گذشته نیز ۱۵۰ فروشگاه مربوطه هک شدند و خسارتی معادل ۱۰ میلیون دلار به بار آوردند. هم چنین ۱۴۶٫۰۰۰ حساب بانکی در معرض خطر قرار گرفتند.
عبداللهی که یکی از این هکرها میباشد توانسته بود شرکت خود را در زمینه پایانه های فروش یا POS تاسیس کند. وی از این طریق دستگاه های فراوانی را به فروشگاه های Subway فروخته بود و در درون هر یک ابزار های کامپیوتری لازم برای سرقت اطلاعات را قرار داده بود. این شرکت که با نام POS Doctor فعالیت داشته است حتی توانسته بود برخی از امتیاز های مربوط به Subway در جنوب کالیفرنیا را به دست بیاورد.
بعد از این که عبداللهی و Wilkinson توانستند با طرز کار دستگاه ها و سیستم Subway آشنایی پیدا کنند اقدام به ایجاد کارت های اعتباری جعلی تا سقف ۴۰٫۰۰۰ دلار کردند. سپس کارت ها را در سایت هایی مثل eBay و Craigslist فروختند. این دو نفر در حال حاضر با اتهام کلاهبرداری مواجه هستند. به نظر میرسند آنها قبل از اجرایی کردن برنامه خود کار های مقدماتی بسیاری را انجام داده بودند.
منبع : Slashgear (http://www.slashgear.com/two-men-hacked-subway-to-steal-gift-cards-totaling-40000-17274388/)

به نظر من پست هایی که ارسال می کنید اصلا ربطی به این انجمن نداره .

به نظر من پست هایی که ارسال می کنید اصلا ربطی به این انجمن نداره .

داش رضا اولیش که خیلی داشت!

در واقع هکرهای وابسته به این آزمایشگاه با دور زدن سندباکس آخرین نسخه مرورگر کروم توانسته اند به آن نفوذ کنند . همه این کارها نیز تنها با استفاده از یک صفحه وب مخرب صورت گرفته است . در واقع در این صفحه وب کدهایی قرار گرفته بود که می توانستند از آسیب پذیری موجود در کروم استفاده کنند .

به نظر من پست هایی که ارسال می کنید اصلا ربطی به این انجمن نداره .
به نظر شما امنیت مرورگر ها ربطی به این انجمن یا طراحی وب نداره ؟ ! ! !
یک طراح وب نباید بدونه حملات سایبری چیه یا چه کشور هایی تخصص بیشتری در این امر دارند ؟ ! ! !
و . . .

...
یعنی چی؟

میخوای از پسر 10 یا 13 ساله بگم (یادم نیست کجا خوندم) که با طراحی یک بازی یک شبه میلیاردر شد؟
الان یعنی به هر شخص 17 سالیه ای توهین کردی.
واقعا متاسفم...

به نام پروردگار عشق و دوستی
سلام
خوبین دوستان؟
باز که سر سن دعوا کردین شما !
آقایون دوستان سن پاوین در حال پیشرفتن
دوما دلیل نمیشه هر چیزی که بلدن رو کنن (اونوقت یه عده فکرمیکنن دروغ میگن و یه عده برای مسائل خاص و... نگیم بهتره)
سوما افراد موفق کامپیوتر رو ببینید چطور به پیشرفت رسیدن
اما دوستای کم سن خودم خیلی از این صحبتا ناراحت نشید ! ما برای پیشرفت این مسائل تحمل میکنیم هرچند کمه اما پشت این حرفها یقین دارم با لطف خدا موفقیت های زیاده فقط باید اینا رو تبدیل به فرصت کنیم
شعار نمیدم چون خودم سنم کمه پس همه رو خوب درک میکنم
درپناه وراه ایزد منان پیروز و پایدار باشید

دوستان واقعاً جالب نیست که سر مسائلی مثل سن و... بحث پیش بیاد. آقای قربانی حرف صحیحی گفتن. مباحث مربوط به امنیت به شرطی که یک طرفش بحث PHP باشه و جنبه آموزش داشته باشه، به این تالار مربوط میشه وگرنه بهتره در تالارهایی مثل توسعه وب یا مباحث امنیت نرم افزارهای کامپیوتری و... مطرح بشه. به دوستانی هم که با لحن اهانت آمیز پست میگذارن هم برای بار آخر تذکر میدم که این کار خلاف قوانین و ادب و... هست. بنابراین، اگه درصورت تکرار، مطابق قوانین برخورد شد، گلایه نداشته باشین.

لطفا به جای این مطالب فارسی لینک نقاط ضعف در mitre رو بزارید.
شماره CVE؟