سازمانهای جاسوسی غرب، به دلیلی دغدغههای امنیتی استفاده داخل سازمانی پیسیهای ساخت لنوو را ممنوع کردهاند
سازمانهای جاسوسی انگلیس، استرالیا، نیوزیلند، کانادا و آمریکا استفاده از پیسیهای لنوو را در داخل این سازمانها و توسط کارکنانشان ممنوع کردهاند. این سازمانها از آسیبپذیریهای امنیتی و رخنههایی که طی بررسیها در این پیسیها پیدا شده است و منجر به دسترسی از راه دور یا ریموت شدن به پیسیهای لنوو میشود، واهمه دارند.
البته کشورهای غربی مدتهاست که دچار فوبیای محصولات چینی شدهاند، پیش از این، آنها شرکتهای هواوی و ZTE را هم متهم کرده بودند.
در حول و حوش سال 2005 بود که بعد از بررسیهای دقیق، پیسیهای لنوو از نظر امنیتی در آزمایشات سربلند بیرون نیامدند و «درهای پشتی» در سختافزار و آسیبپذیریها در نرمافزار آنها پیدا شد.
جزئیات این آسیبپذیریها جزو مورد محرمانه و طبقهبندیشده است و تنها به این بسنده شده است که این مشکلات باعث دسترسی از راه دور میشود.
دغدغه دیگر سازمانهای امنیتی غرب، وابستگی و اتصال زیاد لنوو به دولت چین است. خود لنوو به صورت صریح موضعگیری نکرده است و تنها به این اکتفا کرده است که از چنین ممنوعیتی خبر نداشته است.
اما در کل چیزی که از این خصومتها نمایان میشود که این میزان بالای شکاکیت باید دلیلی داشته باشد:
دولتهای غربی به این دلیل نمیتوانند به شرکتهای سازنده سختافزار چینی اعتماد کنند که از احوال خود مطلع هستند و میدانند که شرکتهای خودشان «درهای پشتی» در محصولات تعبیه میکنند.
در این مورد یک متخصص امنیتی به نام فریناز کوشانفر گفته است که خود شخصا با مقاماتی از سازمان امنیت ملی آمریکا یا NSA دیدار کرده است که روی «کاشت»های مخرب کار کردهاند.
بعد از افشاگری اسنودن، ما هر روز شاهد انتشار اخباری هستیم که در دنیای امروز به هیچ کس و هیچ چیز نمیشود اعتماد کرد.
تا پیش از این شاید بسیاری از کاربران سادهدلانه تصور میکردند که اگر نفوذی به سختافزار یا نرمافزار مورد استفاده آنها صورت میگیرد، اینها ناشی از نقصی غیرعمدی در طراحی و برنامهنویسی هستند، این نقصهای غیرعمدی مسلما وجود دارند، اما تا همین چند وقت پیش اگر میشنیدیم که کسی صحبت از «درهای پشتی» یا «راههای نفوذ مخفی عمدی» در محصولات نرمافزاری و سختافزاری شرکتهای معتبر میکند، او را متهم به پارانویا میکردیم.
شاید برای بسیاری از کاربران، این قضایا اصلا مهم نباشد، چرا که فکر میکنند کارشان پیش پا افتادهتر از آن است که رصدش سودی به حال کسی داشته باشد، اما در یک نگاه وسیعتر، بیایید تخیل کنیم و پیسیهایی را تصور کنیم که مثلا وقتی کاربر آنها به دفعات از کلیدواژههای خاصی استفاده کند، اطلاعاتی را به صورت خودکار به یک سازمان جاسوسی بفرستند، یا مثلا تصور کنید که یک برنامه صفحهگسترده بتواند رأسا همین کار را بکند، یا اصلا تصور کنید که در بعد کلان، تجهیزات شبکههای ارتباطی یک کشور چنین مشکلی را داشته باشند.
حالا سؤال اینجاست که راه تشخیص این «درهای پشتی» و این آسیبپذیریها برای یک کاربر معمولی و برای یک کشور چیست و چه ضوابط و پروتکلهای امنیتی و برنامههایی باید اجرا شوند.
این نوشتهها را هم بخوانید
نرمافزار آزاد. سختافزار آزاد.
sakht afzare azad???
ازاد رو کمی باز کنید چون امنیت برای نرمافراز ازاد و غیر ازاد فرق نداره چون پروتکل های ارتباطی یکی حتی اگر امنیت هسته ازاد مثل لینوکس رو بگید همین چند وقت قبل بود که سیمنتک یک آسیبپذیری امنیتی خطرناک در هسته اصلی یا کرنل سیستم عامل متن باز لینوکس پیداکرد که سالها ازش سوء استفاده میشود و از اون بدتر این که هیچ شرکت مسئول رفع اون نیست و خود کاربران باید اون رو رفع کنند.اما سایر نرم افزارها تکلیفشون مشخص اینهمه اصلاحه برای فایرفاکس و کروم که لااقل شرکت پاسخگو دارند برای چیه اخه امنیت ازاد گرفتار نداره.
همین اتفاقی که برای اسکاپ افتاد و به همه یاداوری کرد که فضای مجازی حریم شخصی نداره خیلی از دوستان نرمافزار های اپن سورس رو پیش نهاد کردن مگه دیتای جابه به جا شده برای اپن سورس قابل دریافت از طریق سایرین نیست جای تعجب هنوز افراد فکر کنند امیت به باز بسته بودن کد ربط داره.
همون طور که اقا فرشاد گفته پروتکولهای ارتباطی یک حتی سیستم رمز گذاری الگوریتم مشخص
پکتهای اینترنتی قابل باز شدن و تغییر و تنها را استفاده از یک فایر وال خوب چون انها حتی حملات لایه فیزیکی ام تشخیص میدهند البته تحلیل دیتا کاره زیاد ساده نیست برای همین اکثر شرکتها به یک متخصص امنیت نیاز دارد ولی افراد عادی یک فایر وال خوب کفایت مکنه و نفوذ رو برای افراد مزاحم تا مرز 90% غیر ممکن میکنه
دوست من تفاوتش اینه که سیاست یک نرمافزار که مجوز آزاد داره نمیتونه پنهان کارانه یا مغرضانه باشه چون مستقیما کدهاش رصد میشه…
کی گفته هیچ شرکتی مسئول رفع اون نیست؟ کرنل یه تیم بزرگ توسعه دهنده و مسئول داره…
فایرفاکس یه نرمافزار آزاد هست.
مسلما امنیت به باز و بسته بودن کد ربط داره!
شما وقتی نتونی به خود نرمافزار اطمینان کنی امنیت پروتکل ارتباطی تو درجه دوم قرار میگیره.
تیم توسعه دهنده دارد ولی مسئول من که ندیدم بهد هم منهم همین رو میگم امنیت ربطی متن باز
متن ازاد متن بسته متن … نداره همه و همه در معرض خطره شما منضور روشن نگرفتی عزیز
شما اصل خوندی نظر من رو خوب من در مورد فایر فاکس همین رو گفنتم فقط اضافه کردم شرکت موزیلا مسولیت پذیر است اوکی
بنیاد لینوکس (Th Linux Foundation) عضوهای خیلی زیادی از شرکتهای معروف داره. از اینتل و گوگل تا تویوتا عضو بنیاد لینوکس هستند و سالانه صدها هزار دلار حق عضویت میدهند. این بنیاد مدیرعامل و مدیر اجرایی و همهٔ این جور چیزها رو داره. دورههای آموزشی رسمی برگزار میکنه. مدرکهای رسمی میده. هر ساله چندین کنفرانس بینالمللی برگزار میکنه.
عریزم توسعه دهنده با شرکت مسئول فرق داره
بنیاد لینوکس بنیاد بنیاد نه شرکت یعنی مسئولیت در مقابل حفره امنیتی و غیره نداره فکر نمی کنم خیلی هم فهمش سخت باشه لا شما بگو کل دنیا عضوش مئولیت خدمات نداره اوووکیییی الان خود شما میتونی عضو این بنیاد بشی
مدرک مگه ربطی به مسیولیت داره یعنی الان کامپتیا که داره مدرک شبکه یا امنیت میده مسئول تمام شبکه های دنیا بد نیست کمی راجع لینوکس و بنیادش تحقیق کنید بسته امیتی بعد از گذشت 10 ماه اعلام خبر ساخته شد تازه خودشما باید نصبش کنی و بنیاد مسئول اطلاع رسانی و … نیست
آقا یا خانم عزیز، من چندین دقیقه تلاش کردم نوشته های شما را بخوانم و دست کم از یکی اش سر دربیاورم که نشد. دوست گرامی ای کاش به جای نوشتن دهها نظر، یکی را ویرایش و قابل فهم میکردید. گمان کنم شما نظراتتان را مینویسید که دیگران بخوانند و بفهمند و نمی توان گفت “روش نگارش خودم است، دوست دارم غلط غلوط و غیر قابل فهم باشد!”
خب یک بار کامل توضیح میدم
نفوذ و امنیت در دنیای امروز ربط یا ارتباط کمی به سیستم عامل داره، خب اگر شما حتی کمی از امنیت سر در بیارید،باید بدانید نفوذ لایه و مرحله های مختلف داره که ابتدای ترین انها پرسه اتنتیکیشن برای مثال کربراس ، قفلهای یو اس بی یا همون یو اس بی توکن ها، مولد رمز های یکبار مصرف، کارتخوانای هوشمند و قابل حمل و نرمافزار های قابل نصب بر روی ابزارهای موبایلی که گاهی دو مرحله و یا یک مرحله ای هستند اما هیچ یک ربطی به سیستم عامل ندارند و ممکن از طرف شرکتهای تولیدی متن باز یا بسته باشد. شکست کد بسته یا باز این ابزار در مرحله ابتدای … تا نفوذ های فوق حرفهای به نرم افزار و اپلیکیشن و… به کد باز یا کد بسته ربطی نداره
اما در مورد اینکه سیمنتک یک آسیبپذیری امنیتی خطرناک در هسته اصلی یا کرنل سیستم عامل متن باز لینوکس پیداکرد که سالها ازش سوء استفاده میشود آقا مسعود (یا نام می خواهم چه کار؟ )یا … به هر علتی متوجه نیست و یا دانش کافی نداره که این اسیب پذیری مسئولیت برای بنیاد لینوکس ایجاد نمیکنه همون طور که اصیلاحه رو یکی از توسعه دهندگان خرد (کوچک) بیرون داد نه از طرف خود بنیاد، جناب مسعود، با بیان این مطلب که این بیاد مدرک میده یا فلا شرکت عضوش میخواهد بگه که نه این بنیاد مسئول ولی تابه حال اپدیتی که بیرون نداده اقا، من مثال زدم که شرکت کامپتیا comptia داره مدرک های مختلف میده پس مسئول شبکه جهانی یا امنیت یا … چون مدارک اونهارو میده یا فارق تحصیل مسول هستند نه اینطور نیست .
اما در مورد فایر فاکس و کروم بیان شد که این نرم افزارها که کد باز هستند ایا امن هستند حتی باوجود شرکتهای مسولیت پذیری مثل موزیلا و… دارن این مثالی بود برای دوستانی که فکر میکنند کد بازی امنیت.
اما
اقای
نام می خواهم چه کار؟ یا مسعود یا هر دوست دیگه من نظرات رو با فرض علم دوستان به موارد اولیه ای تی بیان میکنم برای همین شاید گنگ باشد اما خود شما گفتد
نام می خواهم چه کار؟ شما هم املا و برخی اشتباهات میبینی چرا جان کلام بیان شده بود
جناب مجیدی من خواهش دارم از این به بعد با صلاح دید خود نظرات من که به نظر شما گنگ هستند را خود شما تذکر دهید تا اصلاح کنم فکر نمی کنم اگر کسی دقت کنه اصل مطلب رو متوجه نشود
رصد شدن کد ها ربطی به امنیت نداره اگر این طور که شما میگی باشه باید نرم افزار های کد بسته رو هیچ خطری تهدید نکنه احتمالا شما از کد نوسی و نفوذ سر در نمی یاری چون بیش از 99% حملات از طریق پرتهای باز و پروتکل ها به وچجود میاید بله نفوذ به سیستم مثل اپاچی با دوبی متفاوت ولی شما احتیاجی به دوستن کد نداری ودر بسیاری از موارد با اسنیف کردن نرمافزاری می تونی به اون نوفوذ کنی بله حمله های سطح اپلیکشن یا نرمافزار خاص در صورت داشتن کد حمله علمی تر وتشخیص اون سخت تر است
لیست سفید آنتیویروسها رو هم به موارد بالا اضافه کنید!
راه تشخیص درهای پشتی بررسی و موشکافی دقیق لاگ کانکشنهای سیستم توسط افراد خبره و متخصص هست. ولی اگر پروتوکولهای اینترنتی رو هم از ابتدا طوری ساخته باشند که کانکشنهای خاصی رو بصورت مخفیانه و دور از چشم هر گونه نرمافزارهای مونیتور کننده و خارج از مراجع RFC ایجاد کنند، چی؟! (مثلاً در پایینترین لایه، یعنی لایه فیزیکی شبکه یا همون سختافزار نهایی)
خب خود شرکت هوایی اعلام کرده بود که تمام شرکت ها این کار انجام میدن، و لنوو که بسیاری از قسمتهای سختافرازی شو از ای بی ام خریده یعنی خب از زمانی که امکان ریموتینیگ اختراع شد این قابلیت وجود داشته وامریکا این لطف رو به جهان میکرده و میکنه.
زیرو دی یا هر نامی برای هر اسیب پذیری که سالهاست به تجارت تبدیل شده وهمه از اون اگاه هستند اگر هم کسی شک داشت بعد از اس تاکس نت نه دیگه
شما وقتی مدرک، سی یی اچ ورژن 5 (فکر کنم 5 چون در ورژن 7 نیست)می خواهید بگیرید در یک از اسلاید ها توصیه شده حتما بعد از این مدرک در صورتی که پارانویا نگرفتید بله نگرفتید (البته یک شوخی) به روان پزشک مراجه کنید.
تنها راه شناخت هر چیز(چیز بگم بهتر) که ارتباطات چیز داره استفاده از یک فایر وال در اصل تمام شرکتهای انتی ویروس هم از همین ترفند برای پیدا کردن ویروس استفاده میکنند البته هر دو نوع سخت افرازی که در لایه های پایین تر شبکه کار میکنه یا نرمافزاری که در همه لایه کار مکنه احتیاج به یک متخصص داره چون اکثر اوقات از حفره های امنیتی نرمافزارهای دیگه استفاده می کنند که البته برای شرکتهای امنیتی پیداکردنش راحت البته نه خیلی.
“در این مورد یک متخصص امنیتی به نام فریناز کوشانفر گفته است”
لااقل توی ویکی پدیای فارسی و انگلیس حرفی از تخصص امنیتی نزده بله متخصص برق وکامپیوتر یا متخصص ریاضیات یا متخصص فرار مغز رو نوشته
درود
بله بکدورهای سختافزاری و نرمافزاری معمولا همیشه و همهجا وجود دارند. یکی از دلایلی که روی نرمافزار آزاد هیچ دولتی زیاد سرمایهگذاری نمیکنه (برای ترویجش در جامعه) همینه چون به شرکتها میتونن فشار بیارند برای ایجاد چنین مواردی یا در ازای اعطای یک سری امتیازات، ازشون چنین خدماتی رو انتظار داشته باشند ولی دنیای نرمافزار آزاد کاملا آزاده و هر برنامهنویسی میتونه به کدها دسترسی داشته باشه و بررسیشون کنه و به ایرادهای چنینی پی ببره.
توجه کنین که وقتی یه برنامه تجاری به بازار عرضه میشه، حتی اگه دولوپر نخواد هم با هیچ دولت و سازمان امنیتی کار کنه، باز هم برای شرایط خاصی که ممکنه نیازش بشه، توی سورس برنامه بکدورهایی رو قرار میده تا بتونه توی اون شرایط بهش دسترسی داشته باشه.
در مورد سختافزار هم این مورد صادقه و اغلب طراحان سختافزار چنین موردی رو عمدا تعبیه میکنند و اگه روزی هم فاش شد، میگن یه باگ بوده و انسان جایزالخطا!
هرچند که معمولا طراحان از این تفکر اشتباه عامه مردم که باگ و بکدور و … مختص نرمافزار هست سوء استفاده میکنند. و از اونجاییکه بندرت سختافزار از لحاظ امنیتی بررسی میشه و نتیجهاش برای عموم تقریبا منتشر نمیشه، طراحان سختافزار و شرکتهای تولید کننده، جسارت بیشتری در این زمینه پیدا میکنند.
البته ترس از محصولات چینی توسط کشورهای مختلف کاملا بجاست و من در عجبم که چطور کشور ما براحتی تجهیزات چینی رو وارد کل سطوح کرده! شاید بخاطر روابط (فعلا) دوستانهای که دارند فکر میکنند چینیها براشون از امریکاییها و اروپاییها امنترند!
ضمنا جناب دکتر فکر نمیکنین نحوه اظافه شدن تبلیغات به وبلاگتون کمکم محیط وبلاگتون رو داره شبیه وبلاگهای زرد و هرزهنویس فارسیزبان میکنه؟
به اون تبلیغات متنی با پسزمینه فیروزهای زیر پستهاتون نگاهی بندازین که چطور برای جلب توجه داره چشمو کور میکنه!
مطمئن باشین اگه گوگل برای تبلیغاتش پسزمینه رنگی بذاره درصد قابل توجهی از مشتریانش رو از دست میده. این قاعده در مورد وبلاگهای پارسیزبان هم صادقه.
تبلیغاتی که جلب توجه کنند و چشم رو آزار بدن، اولین مواردی خواهند بود که وارد لیست سیاه افزونههای adblock میشن :-)
بله البته بک دور سخت افزاری به سادگی که شما میگید نیست چون بلاخره استاندارد امنیتی سخت افزاری هم وجود دارد البته من این رو نفی نمیکنم که سرقت اطلاعات وجو ندارد ولی به سادگی که شما میگیدم نیست چون ما متخصص سخت افزار کم نداریم و اینطور نیست همه مشغول ساخت این طور وسایل باشند همیشه هم باگ نیست گاهی امکاناتی فراهم میشه که امکان سوئ استفاده از اون زیاد مثل جاسوس ابزاری که به فایلهای ویمور حمله میکنه اون از یک امکان این نرم افزار برای شبیه سازی سخت افزار استفاده میکنه و راهی هم به جز کد گذاری روی ایمجها قابل انجام نیست اصلا بک دور نقص امنیتی یا… نیست یک امکان حالا شما اسم اینو رو بک دور میزارید ،امکان اجباری ویروسی شدن میزاری
دوست عزیز
اول از همه ازتون خواهش میکنم، التماستون میکنم یک دوره کلاس نگارش حتما تشریف ببرین چون برای خوندن نوشتههای شما اگه کل پارسینویسان جهان رو جمع کنم فکر نکنم موفق بشم منظور نوشتههاتونو بگیرم!
اونجوری که شما مینویسید، فقط خودتون همونجور میتونین بخونینش و برای بقیه این روش نگارش شما فقط یکسری حروف هستند که سرهم شدند نه جمله و گاهی نه حتی کلمه!!
هرچند مطمئن نیستم شما چی خواستی بگی ولی برداشتی که از نوشتههای شما بعد از چندینبار خوندن کردم اینه که شما میخواهید بفرمایید مهندسین و متخصصهای سختافزار زیادی وجود دارند که اینگونه موارد رو بررسی میکنند و یا استانداردهایی برای این امور تدوین شده که همه ملزم به رعایتشون هستند و همچنین با کدگذاری میشه جلوی این کار رو گرفت.
جمله آخرتون رو که کلا ازش نتونستم هیچی سر در بیارم. فکر کنم کدگذاریش خیلی خرفت بود و من از دیکد کردنش عاجز موندم ;-)
در مورد اینکه متخصصین سختافزاری فراوانی در سرتاسر دنیا وجود دارند و سختافزارهارو انالیز میکنند جای شکی نیست اما آیا شرکتها سورس سختافزارها و چیپهاشونو در دسترس این متخصصین قرار میدن تا بررسیشون کنند؟
مورد بعدی هم در مورد استانداردهاست، بستگی داره تعریف شما از استاندارد چی باشه! اینو کلا وارد مقوله امنیت توی این وهله نکنین چون اصلا بکدورها و باگها ارتباطی به استانداردهای اجباری ندارند!
در نهاست میرسیم به مقوله کدگذاری. شما زمانی میتونی به کدگذاری اعتماد کنی که بحث فقط سر نرمافزار باشه ولی وقتی خود سختافزار هم رخنه امنیتی داره و راههایی برای نفوذ، چه تضمینی وجود داره؟
توجه کنین که شما یه قفل سختافزاری برای ورود به کامپیوترتون دارین که اون قفل توسط سنسورهایی که داره صاحبش که شما باشین رو شناسایی م اجازه ورود بهتون میده که بعد از ورود همه اطلاعات موجود توی کامپیوتر در دسترس قرار میگیرند. حالا این قفل از شما به سرقت رفته و دست شخص ثالثی بهش رسیده که از قضا میدونه اطلاعات شما کجا ذخیره شدند و تا پشت درش هم رفته (کامپیوتر شما در دسترس شخص هست چه از طریق اینترنت و چه بصورت فیزیکی) حالا بصورت نرمال یعنی شخص دسترسی به اطلاعات شما نداره چون کلید (قفل سختافزاری) فقط برای شما مجوز ورود رو صادر میکنه.
حالا تصور کنین که اون قفل یک بکدور داره و از قضا شخصی که اونو بدست آورده، از بکدور هم خبر داره. حالا براحتی اطلاعات خودش رو وارد قفل میکنه و خودشو بجای شما جا میزنه و به اطلاعات دسترسی پیدا میکنه.
هنوز هم فکر میکنین انکریپشن امنیت رو تأمین میکنه؟
یادمون باشه. امنیت هیچوقت ۱۰۰٪ نیست :-)
به نظر من همه این بک دورها و کسب اطلاعات از هر طریق عادی بنظر میرسه! همه کشورها در صورتی که توان و مهارت کافی در هر زمینه ای برای کسب اطلاعات داشته باشند همچین کاری می کنند حالا اون کشور چین نباشد آمریکا باشد یا … باشد. بهر حال لازمه حضور و پیشرفت کسب اطلاعات هست حالا سازمان های جاسوسی برای کسب اطلاعات به قول خودشون خرابکارنه و پیش گیری از بروز آن و شرکت های تجاری برای بازخورد عملکرد مشتریها و فروش محصولات خود و برنامه ریزی در راستای آینده و ….! بهر حال باید بپذیریم که این حریم خصوصی بصورت آنلاین وجود نداره و احتمالاً هم نخواهد داشت! چون بنظر من حریم خصوص هر شخصی رو خود اون شخص تعیین می کنه و محدودیت ها و آزادیهایش ممکنه از یک شخص تا شخصی دیگر متفاوت باشه! پس قضیه یکم سخت میشه و هر شخصی نمیتونه سخت افزار و نرم افزار خودشو درست کنه و مورد استفاده قرار بده! پس همیشه در حس رصد شدن را داشته باشیم!