ربات فازینگ گوگل در دو سال گذشته بیش از ۹۰۰۰ باگ در اپلیکیشن‌ها یافته‌ است

گوگل امروز اعلام کرد که OSS-Fuzz ربات هوشمند فازینگ شرکت گوگل، موفق شده در دو سال گذشته بیش از ۹۰۰۰ آسیب پذیری در اپلیکیشن‌های متن باز بیابد.

OSS-Fuzzing در آذرماه سال ۲۰۱۶ عرضه شد و ابزاری خودکار است که توسط گوگل برای یافتن آسیب پذیری‌ در اپلیکیشن‌های مختلف ساخته شده است. این ربات برای پیدا کردن باگ‌ها و آسیب پذیری‌های اپلیکیشن‌های مختلف از تکنیکی به نام فازینگ استفاده می‌کند.

تکنیک فازینگ مقدار زیادی از داده‌های تصادفی را به عنوان ورودی به اپلیکیشن‌ها می‌دهد تا برخی ناهماهنگی‌ها و باگ‌های نرم افزار‌های نوشته شده را بیابد.

فازینگ ده‌ها سال است که مورد استفاده قرار می‌گیرد، اما فازر (رباتی که از تکنیک فازینگ استفاده می‌نماید) به تازگی در سال‌های اخیر مورد استفاده قرار گرفته‌است و گوگل یکی از اولین شرکت‌هایی است که برنامه‌نویس‌ها و محققان امنیت را به سمت استفاده از این ابزار و تکنیک‌ها تشویق می‌کند.

گوگل چند فازر از جمله Flayer را در سال‌های اخیر به صورت متن باز در اختیار همه قرار داده است. اما بزرگترین پروژه‌ی گوگل در این امر OSS-Fuzz نام دارد که آذر ۲۰۱۶ میلادی عرضه شد.

گوگل لنز

OSS-Fuzz به صورت متن باز در گیت هاب قرار گرفت و همه‌ی توسعه دهندگان می‌توانند از آن برای یافتن آسیب پذیری‌های احتمالی اپلیکیشن‌شان استفاده کنند.

گوگل همچنین برای بالا تر رفتن داده‌های به دست آمده‌اش از طریق این برنامه، به صاحبان اپلیکیشن‌های متن بازی که برای یافتن آسیب پذیری‌های کد‌هایشان از OSS-Fuzz استفاده می‌کنند، پول پرداخت می‌کند.

شرکت پروژه‌های متن باز در این برنامه می‌توانست برای آن‌ها ۵۰۰ تا ۲۰،۰۰۰ دلار هدیه به ارمغان بیاورد. علاوه بر این برنامه نویسان می‌توانستند با در اختیار قرار دادن سورس‌هایشان در سطوح عمیق تر درآمد بیشتری هم کسب کنند.

در پستی که دیروز منتشر شد، گوگل اطلاعاتی را راجع به OSS-Fuzz در اختیار کاربران قرار داد. در بخشی از این اطلاعات علاوه بر خبر‌هایی راجع به بروزرسانی‌های جدید و افزایش سطح اتوماسیون این اپلیکیشن گوگل اعلام کرد که در هفته‌های آتی برخی از اپلیکیشن‌ها که می‌توانند تاثیر حیاتی تری در این پروژه داشته باشند را پیگیری خواهند کرد و باگ‌های گزارش شده را از طریق ایمیل به صاحبان پروژه‌ها اطلاع خواهند داد.

چندی پیش گوگل یکی دیگر از فازر‌های خود تحت عنوان BrokenType را هم متن باز کرده بود.

نوشته ربات فازینگ گوگل در دو سال گذشته بیش از ۹۰۰۰ باگ در اپلیکیشن‌ها یافته‌ است اولین بار در دیجیاتو پدیدار شد.

گردآوری توسط ایده طلایی

۵۱ درصد از کاربران به دنبال ویدیوهای آموزشی یوتیوب هستند

امروزه بسیاری از کاربران آموزش‌های مورد نیاز خود را از سطح اینترنت و به خصوص در یوتیوب پیدا می‌کنند و به همین دلیل اصلا عجیب نیست که ۵۱ درصد از کاربران به دنبال ویدیوهای آموزشی یوتیوب هستند.

پیش از این گمان می‌شد که مردم در یوتیوب بیشتر به دنبال ویدیوهای خنده‌دار و بامزه هستند اما پژوه‌های جدید نشان می‌دهد که در واقع کاربران بسیار تشنه یادگیری‌اند و به همین دلیل ویدیوهای آموزشی یوتیوب طرفداران زیادی دارند. مرکز پژوهشی PEW این موضوع را با انجام تحقیقی از ۴۶۰۰ بزرگسال آمریکایی متوجه شده است.

در پژوهش PEW آمده که برای کاربران یوتیوب کشف و انجام دادن کارهایی که آن‌ها پیش از این انجام نداده‌اند بسیار مهم است. همچنین یک پنجم کاربران اعتقاد دارند که برای آن‌ها درک و اطلاع از اتفاقاتی که در جهان رخ می‌دهند اهمیت زیادی دارد.

ویدیوهای آموزشی یوتیوب

البته مشکل اینجاست که این کاربران مشتاق یادگیری بسیاری از مواقع به آن محتوایی که می‌خواهند دسترسی پیدا نمی‌کنند. حدود ۶۴ درصد از افراد حاضر در این مطالعه می‌گویند که گاها ویدیوهای نامناسبی برای آن‌ها نمایش داده می‌شود. همچنین ۶۱ درصد والدین نگران‌ هستند که کودکانشان در به ویدیوهای مناسبی دسترسی دارند که برای آن‌ها مناسب نیست.

نکته جالب این‌جا است که با وجود آن که یوتیوب در واقع پلتفرمی برای دسترسی به اطلاعات یک‌بار مصرف مانند اخبار نیست اما ظاهرا هر چه که می‌گذرد، کاربران آن به استفاده از این نوع محتوا علاقه بیشتری نشان می‌دهند. طبق پژوهش PEW، میزان افرادی که به این دست از محتواها علاقه دارند از سال ۲۰۱۳ تا امروز دو برابر شده و از ۲۰ درصد به ۳۸ درصد رسیده است.

یوتیوب طی سال‌های اخیر به یکی از مهم‌ترین شبکه‌های اجتماعی تبدیل شده است. طی سالی که گذشت مدیرعامل یوتیوب گفت که در هر ماه، ۱٫۸ میلیارد کاربر ثبت نام شده به تماشای ویدیوهای این پلتفرم می نشینند و این رقم بدون احتساب افرادی است که حساب کاربری نساخته اند.

نوشته ۵۱ درصد از کاربران به دنبال ویدیوهای آموزشی یوتیوب هستند اولین بار در دیجیاتو پدیدار شد.

گردآوری توسط ایده طلایی

AMD به دنبال فروش سخت افزار ماینینگ ارز مجازی خود است

شرکت AMD که در زمینه‌ی تولید پردازنده‌های گرافیکی قدرتمند شهرت زیادی به دست آورده است، حالا یکی از آخرین شرکت‌هایی لقب می‌گیرد که به دنبال تکنولوژی بلاک چین است.

AMD صفحه‌ای مجزا در وبسایت رسمی خود ایجاد کرده که در آن به توضیح ارز مجازی و تکنولوژی بلاک چین پرداخته است. در حالی که این صفحه اذعان دارد که اصلی‌ترین استفاده از این تکنولوژی در زمینه‌ی ارز‌های مجازی است، اما بر این عقیده است که بلاک چین پتانسیل بسیار زیادی در بخش‌های دیگر نیز خواهد داشت.

در ادامه این صفحه برخی از بخش‌های مختلف که می‌توانند از تکنولوژی بلاک چین بهره‌مند شوند را نام می‌برد که در این بین می‌توان به بخش‌هایی نظیر بهداشت، اقتصاد و بانکداری، بیمه، اینترنت اشیاء، تبلیغات دیجیتال و امنیت سایبری اشاره کرد.

به نظر می‌رسد AMD روی بلاک چین تمرکز زیادی داشته. در حالی که استفاده از این تکنولوژی تنها در بیت کوین و اتریوم بوده است. در واقع با توجه به لیست بلندبالایی که AMD به آن اشاره کرده، به نظر می‌رسد بلاک چین می‌تواند در هر صنعتی مورد استفاده قرار بگیرد.

اما به نظر می‌رسد که این لیست بلندبالا و تعریف AMD‌ از تکنولوژی یاد شده برای آشنایی بیشتر کاربرانش با آن نباشد، بلکه برای فروش سخت افزار جدیدش باشد که می‌خواهد از این طریق برای آن تبلیغ کند. سخت افزاری که در زمینه‌ی ماینینگ ارز‌های مجازی فعالیت می‌کند.

البته اگر بخواهیم منصفانه نگاه کنیم وجود رقابت در بخش ماینینگ هیچ ایرادی ندارد. خصوصا به این خاطر که باعث می‌شود این تکنولوژی برای کاربران ارزان‌تر شود و از طرفی خود این تکنولوژی با پیشرفت رو به رو خواهد شد.

شرکت‌های بزرگ دیگری مثل سامسونگ هم نسبت به ورود به حوزه‌ی ماینینگ ابراز علاقه کرده‌اند، اما هنوز خبری از سخت افزار‌های جدید این شرکت‌ها نیست.

وقتی که ارزهای مجازی سر و صدای زیادی به پا کرده بود، تولید کنندگان پردازنده‌های گرافیکی مثل AMD‌ و انویدیا از توجه زیاد افراد به GPU‌ها احساس رضایت زیادی داشتند.

اما با از بین رفتن حباب به وجود آمده در ارز‌های مجازی، باید ببینیم که آیا سرنوشت سخت افزار ماینینگ AMD بهتر از انویدیا خواهد بود یا خیر.

نوشته AMD به دنبال فروش سخت افزار ماینینگ ارز مجازی خود است اولین بار در دیجیاتو پدیدار شد.

گردآوری توسط ایده طلایی

رمزنگاری سخت افزاری SSD در برخی مدل‌ها به راحتی قابل نفوذ است

پژوهشگران دانشگاه رادبود هلند به تازگی از نفوذپذیری رمزنگاری سخت افزاری برخی SSD های موجود در بازار خبر داده اند که امکان دسترسی به اطلاعات بدون داشتن پسورد را فراهم می کند.

رخنه مورد بحث در مدل های MX200 ،MX100 و MX300 شرکت Crucial و اس‌اس‎‌دی های T3 Portable ،T5 Portable و سری Evo سامسونگ (مدل های ۸۴۰ و ۸۵۰) دیده شده. محققان می گویند با مهندسی معکوس توانسته اند سفت افزار محصولات مورد اشاره را مجدداً برنامه ریزی کرده و بدون پسورد، به اطلاعاتشان دست یابند.

نکته مهم، استفاده پیش فرض نرم افزار BitLocker ویندوز از روش های رمزنگاری سخت افزاری است که حالا با روش جدید، این ویژگی امنیتی نیز قابل دور زدن خواهد بود. پژوهشگران هلندی برای نفوذ به SSD ها از سه روش مختلف استفاده کرده اند:

برای اس‌اس‌دی های MX100 ،MX200 ،T3 Portal و ۸۵۰ EVO با اتصال فیزیکی به رابط JTAG و دستکاری پروتکل های تأیید پسورد، امکان ورود به حافظه با هر رمز عبوری فراهم خواهد شد.

رمزنگاری سخت افزاری

اس‌اس‌دی Crucial MX300 هم رابط JTAG دارد، اما مشخص شد که در این محصول، دسترسی به پروتکل ها از طریق جی‌تگ مسدود شده و محققان برای نفوذ به آن، از نصب سفت افزار جعلی استفاده کردند. در این روش با خالی گذاشتن کادر پسورد، امکان ورود فراهم خواهد شد.

سامسونگ و کروشال برای رفع مشکل آپدیت هایی را عرضه کرده اند

در باقی مدل ها پژوهشگران از نوعی نفوذپذیری امنیتی در نحوه فراخوانی کلیدهای رمزنگاری استفاده کردند که پس از انتخاب پسورد توسط کاربر، نسخه ای از آن را به صورت حفاظت نشده ذخیره می کند. اگر این نسخه در طول استفاده از اس‌اس‌دی توسط سایر عملیات ها بازنویسی نشود، قابل بازخوانی و استفاده خواهد بود.

گفتنی است شرکت های Crucial و سامسونگ پیش از انتشار خبر حاضر توسط تیم دانشگاه رادبود از نفوذپذیری محصولاتشان آگاه شده بودند که کروشال با ارائه پچ سفت افزاری، مشکل مذکور را در محصولاتش (به جز MX300 که از سال ۲۰۱۷ پشتیبانی نشده) رفع کرده است.

گفتنی است سامسونگ نیز بروزرسانی هایی را برای رفع مشکل مورد بحث ارائه کرده که مدل های T3 و T5 را پوشش می دهند. شرکت کره ای برای سری Evo استفاده از روش های رمزنگاری نرم افزاری را پیشنهاد کرده.

نوشته رمزنگاری سخت افزاری SSD در برخی مدل‌ها به راحتی قابل نفوذ است اولین بار در دیجیاتو پدیدار شد.

گردآوری توسط ایده طلایی

هکرهای کره شمالی ده‌ها میلیون دلار از خودپرداز‌های سرتاسر دنیا سرقت کرده‌اند

تعدادی از هکر‌ها که دارای ارتباطاتی با حکومت کره‌ی شمالی هستند، با استفاده از یک تروجان تحت عنوان «Trojan.Fastcash» ده‌ها میلیون دلار از خودپرداز‌های آسیا و آفریقا سرقت کرده‌اند. این گروه که با نام «لازاروس» شناخته می‌شوند از این بدافزار برای آلوده کردن سرور‌های کنترل کننده‌ی خودپرداز‌ها استفاده می‌کردند و به این روش می‌توانستند برخی تراکنش‌های نامعتبر را به انجام برسانند.

حمله‌های مشابه به ATM در سال‌های گذشته زنگ خطر را برای امنیت بانکی دنیا به صدا درآورده است. در یک حمله‌ی مشابه که در سال ۲۰۱۷ اتفاق افتاد، مقدار زیادی پول به طور همزمان از خودپرداز‌های ۳۰ کشور مختلف ربوده شد.

همچنین در حمله‌ای دیگر که چندی پیش اتفاق افتاد، خوپرداز‌های ۲۳ کشور دنیا مورد حمله‌ی هکر‌ها قرار گرفتند و مقدار قابل توجهی پول از آن‌ها به سرقت رفت.

سیمنتک اعلام کرده که همه‌ی حمله‌های FASTCash فقط روی سرور‌هایی انجام شده که از نسخه‌ی قدیمی سیستم عامل AIX استفاده می‌کردند و بر این عقیده است که در صورت استفاده از آخرین نسخه‌ی این سیستم عامل، هکر‌ ها توانایی حمله به سرور خودپرداز‌ها را ندارند.

شرکت سیمنتک بر این باور است که موفیت‌های اخیر گروه لازاروس -که احتمالا ارتباطات نزدیکی با حکومت کره‌ی شمالی دارد- باعث شده تا این هکر‌ها با انگیزه‌ی بیشتری به انجام حملات جدیدتر اقدام کنند تا مبالغ بیشتری را به دست بیاورند.

لازم به ذکر است که حمله‌ی اخیر، معروف‌ترین حمله‌ی گروه لازاروس محسوب نمی‌شود. این هکر‌ها اولین بار با هک کردن سونی پیکچرز موفق شدند توجهات زیادی را به خود جلب کنند. حمله‌ای که منجر به لیک شدن فیلم «گزارشگر» یا The Interview شده بود.

البته بعد از لیک شدن فیلم یاد شده، بیشتر حملات این گروه با هدف به دست آوردن پول بیشتر انجام می‌ پذیرد. در یکی از حملات، این شرکت موفق شد ۸۱ میلیون دلار از یک بانک در بنگلادش دزدی کند.

نوشته هکرهای کره شمالی ده‌ها میلیون دلار از خودپرداز‌های سرتاسر دنیا سرقت کرده‌اند اولین بار در دیجیاتو پدیدار شد.

گردآوری توسط ایده طلایی