Software Engineer Labdon
Ir al canal en Telegram
👑 Software Labdon حمایت مالی: https://www.coffeete.ir/mrbardia72 ادمین: @mrbardia72
Mostrar más698
Suscriptores
Sin datos24 horas
Sin datos7 días
-530 días
Archivo de publicaciones
🔵 عنوان مقاله
Novo Nordisk Breach: How a Leaked GitHub Token Exposed the Exact Ozempic Formula (6 minute read)
🟢 خلاصه مقاله:
در ماه مارس، گروهی با نام فولکرومسک ادعا کرد که به طور اولیه به سیستمهای نوو نوردیسک دسترسی پیدا کرده است. این گروه از یک توکن شخصی گیهاب بهرهبرداری کرد که امکان کلون کردن مخازن داخلی شرکت را فراهم میکرد. پس از آن، این نفوذگرها به مدت تقریبا دو ماه بدون شناسایی، در سیستمها حضور داشتند و سپس موفق شدند بیش از ۷۰۰ هزار فایل، معادل حدود ۱.۳ ترابایت داده، را سرقت کنند.
در تاریخ ۱۱ ژوئن، نوو نوردیسک تأیید کرد که یک حمله محدود به سیستمهایشان رخ داده است. گفته میشود که حملهگران در مقابل درخواست ابتکار برای پرداخت ۲۵ میلیون دلار باجخواهی، واکنش نشان ندادند، که منجر به نشت ۲۶۴ گیگابایت اطلاعات حساس شد. این نشت شامل کد منبع، سوابق آزمایشهای بالینی تقریباً ۱۱۵۰۰ بیمار و همچنین فرمول تولید داروی اوزومپیک بوده است. این حادثه نشان میدهد که چگونه اشتباهات امنیتی، میتواند منجر به افشای اطلاعات بسیار حساس و حیاتی در صنعت داروسازی شود.
در ادامه، بررسی دقیقتر نحوه نفوذ، روشهای مقابله با چنین حملات و اهمیت حفاظت از کلیدهای دسترسیهای حساس در بسترهای آنلاین، از جمله نکات مهمی است که باید مورد توجه قرار گیرد. این حادثه هشدار جدی در زمینه اهمیت امنیت سایبری در حوزههای حساس مانند نیرویهای دارویی و بیومدیسین است که بایستی به شدت تقویت شوند تا از تکرار چنین فاجعههایی جلوگیری گردد.
#امنیت_سایبری #حملات_فناوری #افشای_اطلاعات #نوو_نوردیسک
🟣لینک مقاله:
https://www.pentesty.co/blog/novo-nordisk-ozempic-fulcrumsec-breach-2026?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Linux Finally Eliminates The strncpy API After Six Years Of Work, 360+ Patches (1 minute read)
🟢 خلاصه مقاله:
در طی شش سال تلاش مداوم و بررسی بیش از ۳۶۰ تغییر و اصلاح، لینوکس در نسخه ۷.۲ سرانجام جزو APIهای پُر خطای strncpy() را حذف کرد. این اصلاحات که پس از مدتها، امنیت و کارایی هسته سیستمعامل را بهبود بخشید، نشاندهنده تعهد توسعهدهندگان لینوکس به ارتقای کیفیت کد و کاهش اشتباهات است. اکنون کد هسته لینوکس به جای استفاده از strncpy()، بر روی توابع جدیدی مانند strscpy()، strscpy_pad()، strtomem_pad()، memcpy_and_pad() یا memcpy() متمرکز شده است، این توابع بر اساس نیازهای نولTerminated و padding طراحی شدهاند تا عملکرد بهتر و خطای کمتر را فراهم کنند.
حذف این تابع قدیمی و آسیبپذیر، بهبود قابل توجهی در کارایی و امنیت سیستمهای مبتنی بر لینوکس ایجاد کرده است و نشان میدهد که توسعهدهندگان با رویکردی جامع و دقیق به اصلاح و بهبود مداوم ساختار هستههای سیستمعامل میپردازند. این تغییرات نتیجه سالها تلاش و بررسی دقیق است که به همهگیری استفاده از توابع مناسبتر و امنتر منجر شده است، و آیندهای مطمئنتر و پایدارتر برای کاربران لینوکس رقم زده است.
#لینوکس #توسعه_دهنده #امنیت #کد_باز
🟣لینک مقاله:
https://www.phoronix.com/news/Linux-7.2-Drops-strncpy?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
VaultSort V4: Hardware-Bound File Encryption and Touch ID (3 minute read)
🟢 خلاصه مقاله:
نسخه چهارم VaultSort یک گام مهم در بهبود امنیت فایلها است، چرا که این بار حفاظت آنها را به سختافزار وابسته میکند. این نرمافزار در سیستمعامل macOS قدرت گرفته و علاوه بر این، قابلیت جدیدی به نام Touch ID را به عنوان یک کلید معتبر و امن وارد میدان میکند. در این نسخه، اثر انگشت کاربر در مسیر حفاظت شدهای همانند Secure Enclave، همان مسیری که یوبیکلید (YubiKey) در آن فعالیت میکند، مورد استفاده قرار میگیرد. این ویژگی باعث میشود فرآیند رمزنگاری بر اساس اثر انگشت، بسیار امنتر و کارآمدتر انجام گیرد و از خطرات لایههای نرمافزاری کاهش یابد.
در معماری نسخه V4، هر فایل در سیستم یک کلید نگهداری شده مستقل و امن دارد که از طریق خروجی یک تابع پیشرفته در سختافزار، به نام PRF، و با استفاده از الگوریتم HKDF-SHA-256 تولید میشود. این کلید، یعنی کلید نگهداری فایل، در نهایت با استفاده از الگوریتم AES-256-KWP محافظت میشود تا در برابر هرگونه نفوذ و هک مقاوم باشد. سپس، بدنه فایلهای رمزنگاریشده با الگوریتم AES-256-GCM مطابق با یک سرصفحه معتبر و شناخته شده، محفوظ میماند. این پروسه، نه تنها امنیت را تضمین میکند بلکه شکافهایی که در نسخه قبلی وجود داشت، مانند نیاز به تایید Touch در لایه برنامه، را بهبود میبخشد و امنیت دادهها را در سطح سختافزار و لایه کاربر، تقویت میکند.
در نتیجه، VaultSort V4 با بهرهگیری از فناوریهای جدید سختافزاری و یکپارچهسازی Touch ID، امنیت فایلها را تا سطح بسیار بالایی ارتقاء میدهد و نشان میدهد که آینده رمزنگاریهای مبتنی بر سختافزار چه تفاوتی با نمونههای نرمافزاری دارد. این محصول نوآورانه، امکان حفاظت بسیار مطمئنتر و راحتتر اطلاعات حساس کاربران را فراهم میآورد و مسیر جدیدی در حوزه امنیت دادهها رقم میزند.
#امنیت #رمزنگاری #TouchID #حفاظت_سختافزار
🟣لینک مقاله:
https://www.vaultsort.com/blog/vaultsort-v4-hardware-bound-encryption-touch-id?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
FortiBleed: 86,000 Fortinet Device Credentials Compromised (2 minute read)
🟢 خلاصه مقاله:
در یکی از بزرگترین حملات سرقت اطلاعات حرفهای، حملهای با نام «FortiBleed» توانسته است اطلاعات ورودی بیش از ۸۶ هزار دستگاه فنتینت مربوط به فایروالها و VPNهای اینترنتپذیر را به خطر بیندازد. این حمله که در سطح جهانی و در ۱۹۴ کشور رخ داده، تاثیر جدی بر هزاران سازمان، از جمله نهادهای حکومتی و زیرساختهای حیاتی، گذاشته است. مجرمان سایبری با نفوذ در فرآیند احراز هویت VPNهای SSL، پس از شکستن هکهای رمز عبور با استفاده از یک کلاستر مجهز به ۴۵ کارت گرافیک، توانستهاند به محیطهای داخلی اداری (Active Directory) وارد شوند. آنها در طی موفقیتآمیز بودن حمله، حدود ۱.۱۶ میلیارد تلاش برای دستیابی به اطلاعات کاربری انجام دادند، targeting بیش از ۳۲۰ هزار دستگاه فورتگیت، که نشاندهنده حجم عظیم تهدیدها و آسیبپذیریها در سیستمهای امنیتی امروزی است. این حادثه هشدار مهمی برای سازمانها است تا امنیت شبکههای خود را ارتقاء دهند و از نفوذهای احتمالی جلوگیری کنند.
#امنیت_شبکه #حملات_سایبری #حفاظت_اطلاعات #فناوری_اطلاعات
🟣لینک مقاله:
https://www.securityweek.com/fortibleed-86000-fortinet-device-credentials-compromised/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Apple's A12 and A13 Chips Facing New Unpatchable Exploit (2 minute read)
🟢 خلاصه مقاله:
در حال حاضر، شرکت Paradigm Shift با منتشر کردن یک ابزار به نام "usbliter8"، یک حفره امنیتی جدید در تراشههای A12 و A13 اپل را کشف کرده است. این آسیبپذیری از طریق یک مشکل در کنترلر USB دستگاهها است که با ارسال پکتهای کوچک در حین راهاندازی، میتوان به سادگی یک علامت خطا در حافظه داخلی دستگاه ایجاد کرد. این روند باعث میشود که نشانگر حافظه داخلی به سمت عقب حرکت کند و چنین قادر میشود که نوشتنهای بیرون از مرزهای حافظه مجاز انجام دهد.
مهمترین نکته این است که این آسیبپذیری در ROM ماسک دار قرار دارد، بنابراین نمیتوان آن را با بروزرسانی نرمافزاری برطرف کرد. این موضوع، باعث شده است که آیفونهای سری XS تا آیفون 11 برای همیشه در معرض خطر قرار بگیرند و به راحتی قابل نفوذ باشند. در مقابل، آیفونهای با تراشه A11 به دلیل عملکرد متفاوت کنترلر USB، که هنگام هر پکت، نشانگر حافظه را مجدد تنظیم میکند، در برابر این حمله مقاوماند. همچنین، تراشههای جدیدتر مانند A14 و مدلهای پس از آن، با پیکربندیهای حافظه متفاوت، این آسیبپذیری را ندارند و از امنیت بیشتری برخوردارند.
این کشف نشان میدهد که حتی تراشههایی که مانند A12 و A13 به نظر میرسد برای مدت طولانی ایمن باشند، هنوز در معرض خطرهای جدید قرار دارند و نیاز به توجه مداوم در زمینه امنیت فناوریهای هوشمند است.
#امنیت_موبایل #حفره_امنیتی #تراشه_آیفون #حفاظت_دیجیتال
🟣لینک مقاله:
https://www.macrumors.com/2026/06/18/a12-and-a13-chips-facing-exploit/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Texas Data Breach Hits 3 Million: Driver's Licenses, Passport Numbers Stolen From Hunting Vendor (4 minute read)
🟢 خلاصه مقاله:
در روزهای اخیر، خبرهای نگرانکنندهای برای ساکنان تگزاس منتشر شده است. حمله سایبری گستردهای به یک شرکت تامینکننده خدمات مجوز شکار و ماهیگیری در تگزاس صورت گرفته است، که نتیجه آن لو رفتن اطلاعات شخصی نزدیک به ۳.۰۹ میلیون نفر بوده است. این حمله منجر به دسترسی مهاجمان به شمارههای گواهینامه رانندگی، شماره پاسپورتها و اطلاعات تماس افراد شد. اهمیت این موضوع زمانی بیشتر میشود که بدانید سیستم مذکور به صورت ناشناس فعالیت میکرد که احتمال میرود هدف مهاجمان قرار گرفتن، نشاندهنده ضعفهای امنیتی در زیرساختهای آنلاین پرداخت و مدیریت دادههای حساس باشد.
در ادامه، دادههای سرقتشده توسط یکی از گروههای تهدید امنیتی که ارتباطهایی با حملات مشابه در ویرجینیا دارند، در بازار سیاه به فروش گذاشته شده است. این گروه با بهرهگیری از پلتفرمهای SaaS مشترک، تلاش میکند تا از ضعفهای امنیتی در سامانههای ابری مشترک بهرهبرداری کند. این نشان میدهد که مهاجمان به سادگی میتوانند با نفوذ در سامانههای آنلاین، به اطلاعات حساس شهروندان دست یابند و از آن بهرهبرداریهای مخرب کنند.
این حادثه هشدار جدی برای تمامی سازمانها و دولتها است که حفاظت از دادههای شخصی شهروندانها باید همواره در اولویت قرار گیرد. امنسازی سیستمها، مانیتورینگ مداوم و استفاده از روشهای پیشرفته امنیت سایبری، امری ضروری است تا از چنین حملاتی جلوگیری شود و حریم خصوصی افراد حفظ گردد. در آینده، اهمیت امنیت سایبری و استراتژیهای مقابله با حملات هکری باید در دستور کار قرار گیرد تا از بروز رخدادهای مشابه جلوگیری شود و اعتماد عمومی به فناوریهای دیجیتال حفظ شود.
#امنیت_سایبری #حفاظت_اطلاعات #حمله_سایبری #تگزاس
🟣لینک مقاله:
https://www.techtimes.com/articles/318790/20260621/texas-data-breach-hits-3-million-drivers-licenses-passport-numbers-stolen-hunting-vendor.htm?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Nginx as a Reverse Proxy (10 minute read)
🟢 خلاصه مقاله:
در این مقاله، به صورت جامع و قابل فهم، نقش و کارکردهای Nginx در پیکربندی به عنوان یک پروکسی معکوس را بررسی میکنیم. ابتدا به توضیح مفهوم پروکسی معکوس میپردازیم و اهمیت آن در مدیریت ترافیک و بهبود امنیت و کارایی سرورها را شرح میدهیم. سپس، مراحل نصب و راهاندازی Nginx را در سیستمهای مختلف بیان میکنیم و نحوه تنظیم آن برای عملکرد به عنوان یک پروکسی معکوس را به صورت قدم به قدم آموزش میدهیم.
در بخش بعدی، با ارائه نمونههایی عملی، نحوه تنظیم Nginx برای هدایت درخواستها به سرورهای مختلف و بهبود مسیریابی را شرح میدهیم. این آموزشها به شما کمک میکند تا بتوانید به راحتی سرورهای خود را بهرهور و امنتر کنید، و در نهایت، نکاتی درباره نگهداری و رفع مشکل در پیکربندیهای پروکسی معکوس ارائه میشود. اگر قصد دارید از Nginx به عنوان یک ابزار قدرتمند در زیرساخت اینترنت خود استفاده کنید، این راهنما گام به گام، تمام نکات مهم را در اختیارتان قرار میدهد تا بتوانید از قابلیتهای آن بهرهمند شوید و پروژههای خود را با اطمینان پیادهسازی کنید.
در پایان، نمونههایی عملی و نکات کلیدی برای بهبود و پایداری تنظیمات را مرور میکنیم، تا بتوانید به صورت ایمن و کارآمد از Nginx به عنوان پروکسی معکوس بهرهمند شوید و عملکرد سایتها و سرویسهای خود را به سطح بالاتری برسانید.
#Nginx #پروکسی_معکوس #مدیریت_سرور #امنیت_وب
🟣لینک مقاله:
https://sanyamserver.online/posts/nginx-reverse-proxy/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Quantum Bridge (Product Launch)
🟢 خلاصه مقاله:
در جهانی که فناوریهای کوانتومی روز به روز پیشرفتهتر میشود، امنیت اطلاعات به چالشی بزرگ تبدیل شده است. در این میان، شرکت Quantum Bridge با عرضه پلتفرم توزیع کلید مقاوم در برابر حملات کوانتومی، گامی مهم در حفاظت از دادههای حساس برداشته است. این پلتفرم مخصوص مشتریان دولتی، مالی، زیرساختهای حیاتی و مخابرات طراحی شده است و با ترکیب پروتکل DSKE، رمزنگاری مقاوم در برابر محاسبات کوانتومی (PQC)، و فناوری کلید توزیع کوانتومی (QKD)، سیستمهایی امن و انعطافپذیر ارائه میدهد که در مقابل تهدیدات فناوریهای کوانتومی بسیار مقاوم است.
این سیستم ترکیبی از فناوریهای نوین، امنیت بالا و انعطافپذیری را در حفاظت از اطلاعات مهم تضمین میکند. در نتیجه، سازمانها و نهادهای حاکمیتی میتوانند با اطمینان کامل، اطلاعات حساس خود را در برابر حملات آینده و تهدیدات کوانتومی محافظت کنند. Quantum Bridge با این نوآوری، آیندهای امنتر را در دنیای دیجیتال نوید میدهد و سطح حفاظت در برابر هکهای پیشرفته را به طور قابل توجهی افزایش میدهد.
#امنیت_اطلاعات #فناوری_کوانتومی #کدگذاری_مقاوم #حفاظت_اطلاعات
🟣لینک مقاله:
https://qubridge.io/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Blinding the Watchmen: Abusing Cloud Logging Services for Defense Evasion and Visibility (12 minute read)
🟢 خلاصه مقاله:
در محیطهای ابری، مهاجمان اغلب به هدف قرار دادن سرویسهای لاگینگ ابری میپردازند تا دید دفاعکنندگان را کاهش دهند و نظارت غیر فعال را برقرار سازند. به منظور مختل کردن توانایی تیمهای امنیتی در مشاهده فعالیتها، مهاجمان میتوانند با روشهایی مانند غیرفعال کردن لاگها، حذف مسیر یا مقصد لاگ، رمزگذاری فایلهای لاگ با کلیدهای کنترلشده توسط مهاجم، یا مسمومسازی لاگها از طریق تغییر مستقیم در محتوا، کارایی سیستمهای لاگینگ را کاهش دهند. این اقدامات باعث میشود تشخیص فعالیتهای مخرب سختتر شود و حتی فرصتهایی برای انجام حملات پنهانی فراهم آید.
علاوه بر این، مهاجمان میتوانند با تنظیم مقصدهای جدید برای لاگها یا انتقال آنها به سرورهای کنترلشده توسط خود، حضور نظارتی پنهانی و غیرفعال ایجاد کنند. این نوع استراتژیها به مهاجمان اجازه میدهند بدون شناسایی، اطلاعات حساس را جمعآوری کرده یا فعالیتهای مخرب را ادامه دهند. در نتیجه، توانایی دفاعکنندگان در رصد و تحلیل رویدادهای سیستم کاهش مییابد و امنیت کلی زیر سوال میرود.
در نهایت، این حملات به شکلگیری نوعی استتار و مخفیکاری در فضای ابری منجر میشوند که شناسایی و مقابله با آنها را بسیار دشوار میسازد. برای مقابله موثر با این تهدیدات، نیاز به استراتژیهای چندلایه و استفاده از فناوریهای پیشرفته در حوزه امنیت ابری است تا بتوان جلوی بروز چنین نفوذهایی را گرفت و دید درستی نسبت به فعالیتهای داخل فضای ابری داشت.
#امنیت_ابری #حملات_سایبری #لاگینگ_ابری #پیشگیری
🟣لینک مقاله:
https://unit42.paloaltonetworks.com/cloud-logging-defense-evasion/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Repost from AI Labdon
به جای اینکه امشب هم توی چرخدندههای یوتیوب گم بشی و زمانت هدر بره...
این ۱۱ تا دوره رایگان رو دریاب تا کلود (Claude) رو کاملاً استاد بشی.
یه نکته : اصلاً ماراتن راه ننداز و همه رو پشتسرهم نبین! توی هر نشست، فقط یک سطح رو جلو ببرو قبل از اینکه بری سراغ سطح بعدی، حتماً چیزایی که یاد گرفتی رو بهصورت عملی تمرین کن.
سطح اول: مفاهیم پایه (زمان مورد نیاز: ۲۰ دقیقه)
دریافت مدرک کلود:
claude101.com
آموزش کلود برای مبتدیها:
https://ruben.substack.com/p/claude-for-dummies
هوش مصنوعی به زبان (خیلی) ساده:
https://ruben.substack.com/p/s?r=5m7l8v
نقشه راه یادگیری کلود:
https://ruben.substack.com/p/claude-roadmap
سطح دوم: فرآیندهای کاری واقعی (زمان مورد نیاز: ۵۵ دقیقه)
کار تیمی با همکار کلود (Claude Cowork):
claude-co.work
مدیریت کلود برای تیمها:
how-claude.team
ساخت اسلاید و پرزنت با کلود:
how-to-gamma.ai
شخصیسازی فرآیندها با مهارتهای کلود (Claude Skills):
claude-skills.free
سطح سوم: ترفندهای حرفهای (زمان مورد نیاز: ۴۵ دقیقه)
اتصال کلود به بقیه ابزارها (Connectors):
https://ruben.substack.com/p/claude-connectors
چطور به محدودیتهای پیام کلود برنخوریم؟
https://ruben.substack.com/p/how-to-stop-hitting-claude-usage
انتقال کامل بافت و اطلاعات شخصی به کلود:
https://ruben.substack.com/p/youre-just-a-text-file
اشتباهات رایج در استفاده از کلود در محل کار:
https://ruben.substack.com/p/how-to-use-your-personal-ai-at-work
<Hamed Heydarian/>
🔵 عنوان مقاله
Visa Vulnerability Agent Harness (GitHub Repo)
🟢 خلاصه مقاله:
در دنیای امنیت سایبری، شناسایی آسیبپذیریها همواره یکی از چالشهای اصلی است. شرکت ویزا با توسعه ابزار پیشرفتهای تحت عنوان "حلقه ابزار کشف آسیبپذیری ویزا" یا VVAH، تلاش کرده است فرآیند شناسایی آسیبپذیریها را به شکل خودکار و کارآمدتر انجام دهد. این ابزار از فناوریهای نوین مانند مدلهای پیشرفته frontier برای کشف آسیبپذیریها بهره میبرد و از ابتدا با تمرکز بر روشهای تحلیل تهدید، سطح حمله احتمالی را دقیقتر هدفگذاری میکند.
این سامانه قبل از شروع تحلیل، با استفاده از مدلسازی تهدید، نقاط آسیبپذیر بالقوه در سیستم را تعیین میکند. سپس، با بهکارگیری رایگیریهای چندعاملی قطعی و ساختاری جهت تجزیه و تحلیل مربوط به این آسیبپذیریها، میزان خطای مثبتهای کاذب کاهش یافته و دقت نتایج افزایش مییابد. علاوه بر این، این ابزار با بهرهگیری از ساختارهای منسجم وArtifactsهای ساختاری، فرآیند رسیدگی و ارزیابی آسیبپذیریها را کوتاهتر میکند، که این امر روند تبدیل ضعفهای کشفشده توسط هوش مصنوعی به یافتههای قابل اقدام را بسیار سریعتر و کارآمدتر میسازد.
در نتیجه، VVAH نه تنها فرآیند کشف آسیبپذیریهای امنیتی را به صورت خودکار و دقیق انجام میدهد، بلکه با کاهش چرخههای زمانی، امنیت زیرساختهای مالی و پرداختها را به شکل چشمگیری ارتقا میدهد و شرکتها را در برابر تهدیدات سایبری قویتر میسازد.
#امنیت_سایبری #آسیب_پذیری #هوش_مصنوعی #ویزا
🟣لینک مقاله:
https://github.com/visa/visa-vulnerability-agentic-harness?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
White House delays release of US voting machine study as midterms near (3 minute read)
🟢 خلاصه مقاله:
درحالیکه زمان برگزاری انتخابات میاندورهای آمریکا نزدیک میشود، مسئولان کاخ سفید از انتشار گزارشی مهم درباره وضعیت امنیتی ماشینهای رایگیری آمریکایی خودداری کردهاند. این گزارش که توسط اداره اطلاعات ملی آمریکا (ODNI) تهیه شده، ماهها در دادگاههای داخلی نگهداری شده و اطلاعاتی درباره آسیبپذیریهای جدی در سیستمهای رأیگیری کشور ارائه میدهد. بر اساس این گزارش، نرمافزارهای قدیمی و اتصال اینترنتی این دستگاهها میتوانند مورد سوءاستفاده هکرها قرار گیرند، اما در عین حال هیچ مدرکی دال بر دستکاری آراء یا تغییر نتایج انتخابات در آن ذکر نشده است.
این وضعیت باعث نگرانیهایی درباره امنیت انتخابات و اعتماد عمومی شده است. بر خلاف باور عمومی، مدیران این گزارش تصریح کردهاند که هدف از انتشار آن، ایجاد نگرانی نیست بلکه تنها به منظور اطلاعرسانی درباره نقاط ضعف فنی است. همچنین، این گزارش نشان میدهد که ODNI طی شش ماه بدون مجوز رسمی، این اطلاعات را به کاخ سفید ارائه کرده است. در کنار این، یک گزارش جداگانه و غیرمنتشر شده از شرکت Mojave Research، که ماشینهای رایگیری توقیف شده در پورتوریکو را مورد مطالعه قرار داده، نیز وجود دارد، اما هنوز علنی نشده است.
در نتیجه، این تأخیر در انتشار گزارش باعث شده است که برخی افراد بر اهمیت شفافسازی در مورد امنیت رأیگیری تأکید کنند؛ چراکه اطمینان عمومی به فرآیند دموکراتیک در معرض تهدید قرار نگیرد. با توجه به اهمیت موضوع، انتظار میرود قرار باشد در روزهای آتی این گزارشها به صورت عمومی منتشر شوند تا اعتماد مردم و نهادهای نظارتی جلب گردد.
#امنیت_انتخابات #رای_گیری #شفافیت #دموکراسی
🟣لینک مقاله:
https://www.reuters.com/world/white-house-delays-release-us-voting-machine-study-midterms-near-2026-06-19/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Microsoft discovers new lightweight backdoor that steals cryptocurrency (2 minute read)
🟢 خلاصه مقاله:
مایکروسافت اخیراً کشف کرده است که یک دربازگر سبکوزن و مخفی جدید در حال فعالیت است که هدف آن سرقت رمزارزها است. این بدافزار به نام Crypto Clipper شناخته میشود و در قالب یک کرم عمل میکند که از طریق USB و فایلهای .lnk منتشر میشود. این فایلها در کنار یک کلاینت تور قرار دارند که ترافیک اینترنتی را از طریق پروکسی محلی SOCKS5 هدایت میکند. هدف اصلی این بدافزار، رصد کردن کلیپبوردهای کاربر برای جمعآوری آدرسهای کیف پول دیجیتال و عبارتهای پشتیبانی ۱۲ یا ۲۴ کلمهای است.
بدافزار Crypto Clipper با ثبتتصاویر از صفحهنمایش و انتقال آنها از طریق شبکه تور، اطلاعات حساس کاربران را سرقت میکند. این برنامه هوشمند، پس از کپی کردن آدرسهای رمزارز، آنها را با آدرسهای کنترلشده توسط هکر جایگزین مینماید تا کاربر تصور کند تراکنش به درستی انجام شده است، ولی در واقع داراییهای دیجیتال او به دست هکر میافتد. نرمافزارهای امنیتی و دفاعی به راحتی این بدافزار را شناسایی میکنند، چرا که از اسکریپتهای مشکوک، استفاده از پروکسی localhost:9050، دستورات ثبتتصویر، یا رفتارهای مربوط به جایگزینی آدرسها خبر میدهند.
این کشف نشان میدهد که تهدیدات سایبری در حوزه رمزارزها همچنان رو به افزایش است و هکرها با توسعه ابزارهای مخفی و هوشمندانه سعی دارند از ضعفهای کاربران بهرهبرداری کنند. بنابراین، کاربران باید همواره مراقب رفتارهای غیرمعمول در سیستم خود باشند و از رعایت نکات امنیتی در معاملات دیجیتال غافل نشوند.
#امنیت_سایبری #رمزارز #حملات_های_پایین_سطح #نگران_کننده
🟣لینک مقاله:
https://arstechnica.com/security/2026/06/microsoft-spots-new-self-propagating-malware-for-stealing-cryptocurrency/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Models like Mythos will beat your defenses - but you can still limit their impact (Sponsor)
🟢 خلاصه مقاله:
مدلهایی مانند Mythos قادرند دفاعهای شما را بشکنند، اما هنوز راههایی برای محدود کردن تاثیر آنها وجود دارد. در واقع، هوش مصنوعی بهشدت در حال پیشرفت است و توانایی پیدا کردن آسیبپذیریها را افزایش میدهد، همین موضوع باعث شده تمرکز روی محدود کردن فعالیتهای پس از بهرهبرداری بیشتر شود. در این مسیر، اهمیت هویت به عنوان نقطه کنترل حیاتی حفظ شده است و سازمانها باید استراتژیهای موثری را برای مقابله با این مدلهای پیشرفته در نظر بگیرند. در این مطالعه سفید، توضیح داده شده است که چگونه میتوان با استفاده از مفاهیمی مانند اعطای امتیازات در زمان مناسب (JIT Privilege)، واسطهگری در اشتراکگذاری اسرار، و گسترش کنترلها در طول زمان، به مقابله با مدلهای نوین و پیچیدهتر پرداخت. این روشها به شما کمک میکنند تا از نفوذهای احتمالی جلوگیری کرده و امنیت سیستمهای خود را تقویت کنید.
هر چند مدلهایی مانند Mythos کارشان را بلدند، اما با استراتژیهای مناسب و بهرهگیری از تکنولوژیهای نوین، میتوانید تاثیر آنها را محدود کنید و امنیت شبکههای خود را افزایش دهید.
#امنیت_سایبری #مدیریت_هویت #حفاظت_سرویس #آینده_امنیت
🟣لینک مقاله:
https://delinea.com/resources/mythos-impact-identity-security-playbook-for-cisos?hs_preview=ZhpfYCSR-214928204608&utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Playwright Sharding and Docker: How I Cut My Test Suite from 47 Minutes to 8 Minutes
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، سرعت اجرای تستها اهمیت بسیاری دارد، به ویژه زمانی که پروژه بزرگ و شامل تعداد زیادی آزمون است. یکی از راهکارهای مؤثر در کاهش زمان اجرا، استفاده از تکنیکهای تقسیمکار یا همان "شاردینگ" است. در این مقاله، پرامود دوتا روشهایی را بررسی میکند که چطور توانسته است زمان اجرای مجموعه آزمایشهای Playwright خود را از ۴۷ دقیقه به فقط ۸ دقیقه کاهش دهد. او با ارائه یک راهنمای گامبهگام نشان میدهد چگونه میتوان مجموعهای شامل ۳۱۲ تست را به بخشهای کوچکتر تقسیم کرد و هر بخش را درون کانتینرهای داکر اجرا کرد تا همزمانیت در اجرای آزمایشها افزایش یافته و در نتیجه زمان کلی کاهش یابد.
این تکنیک، نه تنها سبب صرفهجویی در زمان میشود، بلکه با بهرهبرداری مؤثر از کانتینرهای داکر، مدیریت و مقیاسپذیری فرآیندها آسانتر میشود. دوتا توضیح میدهد که چگونه میتوان این فرآیند را عملیاتی کرد، ابزارهای مورد نیاز را معرفی میکند و نکات کاربردی برای بهینهسازی فرآیند ارائه میدهد. این نوع استراتژیها مخصوص توسعهدهندگان و تیمهای فنی است که به دنبال توسعه سریعتر، آزمایش مطمئنتر و کاهش زمانهای مرده در چرخه توسعه هستند.
در نهایت، این مقاله یک راهنمای ارزشمند برای کسانی است که میخواهند با بهرهگیری از قابلیتهای جدید ابزارهای تست و کانتینرسازی، فرآیندهای خود را بهینه و کارآمدتر کنند و در سریعترین زمان ممکن به نتایج مطلوب برسند.
#تست #پیشرفت_توسعه #داکر #کارایی
🟣لینک مقاله:
https://cur.at/HZada7O?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
به جای باز کردن ۱۰ تب مختلف برای کارهای سادهی کدنویسی، از این جعبهابزار یکپارچه استفاده کنید:
سایت it-tools.tech تمام ابزارهای مورد نیاز شما را در یک محیط تمیز و سریع فراهم کرده است.
ذخیرهاش کنید که حتماً به کارتان میآید.
https://it-tools.tech
| <Saeid/>
🔵 عنوان مقاله
Google Drive ransomware detection now on by default for paying users (2 minute read)
🟢 خلاصه مقاله:
شرکت گوگل ابزار جدیدی را برای شناسایی حملات باجافزار در سرویس Google Drive عرضه کرده است که اکنون به صورت پیشفرض فعال شده است. این قابلیت، که با بهرهگیری از فناوری هوش مصنوعی توسعه یافته، به کاربران کمک میکند تا به طور خودکار و سریع در مقابل حملات مخرب محافظت شوند و از نفوذ بدافزارها جلوگیری به عمل آورند.
در واقع، این سیستم جدید با تحلیل فایلها و فعالیتهای مختلف در سرویس Drive، تهدیدهای احتمالی را شناسایی میکند و امکان وقوع مشکلات جدی برای دادههای کاربر را کاهش میدهد. این اقدام نشان دهنده تمرکز گوگل بر امنیت دادهها و تلاش برای بهبود سطح حفاظت کاربران در فضای ابری است. این ویژگی در حال حاضر برای تمامی کاربران دارای مجوزهای کاری، سازمانی، آموزشی و خط مقدم فعال شده است و بدون نیاز به تنظیمات خاصی، در تمامی حسابها به صورت خودکار کار میکند.
با توجه به این ابداع، کاربران دیگر نیازی ندارند نگران حملات هدفمند باجافزار باشند و میتوانند با خیالی آسودهتر از امکانات Google Drive بهرهمند شوند، چرا که شرکت گوگل از فناوریهای پیشرفته برای حفاظت از اطلاعات حساس بهره میگیرد.
#گوگل #امنیت_فضای_ابری #حفاظت_در_ابر #باج_افزار
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/google-drive-ransomware-detection-now-on-by-default-for-paying-users/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Claude Code OAuth Tokens Can Be Stolen Through Stealthy MCP Hijacking (2 minute read)
🟢 خلاصه مقاله:
خلاصه مقاله نشان میدهد که چگونه یک بسته npm مخرب میتواند ترافیک سیستم Claude Code MCP را به طور مخفیانه هک کرده و کنترل کند. این حمله از طریق تغییر فایل پیکربندی `~/.claude.json` صورت میگیرد، جایی که مهاجم با درج کردن پراکسی کنترلشده توسط خودش، مسیر ترافیک را به سمت سرورهای مخرب هدایت میکند. این نوع حمله، به دلیل ساختار غیرمحرمانه و سهل الوصول بودن، میتواند به سرعت انجام شده و تاثیر قابلتوجهی بر امنیت سیستم داشته باشد. استفاده از بستههای مخرب در مخازن عمومی، یک تهدید جدی است که نیازمند نظارت دقیق و استراتژیهای امنیتی پیشرفته است.
در نتیجه، کاربران و توسعهدهندگان باید علاوه بر رعایت نکات امنیتی معمول، مراقب هر نوع تغییر غیرمجاز در فایلهای پیکربندی و تنظیمات سیستمهای خود باشند تا از سرقت توکنهای OAuth و دسترسیهای حساس جلوگیری کنند. این مطالعه نشان میدهد که چگونه حملات پیچیده و پنهان میتوانند به راحتی سیستمهای حساس را تحت تأثیر قرار دهند و اهمیت حفاظت دقیق از زیرساختهای فناوری اطلاعات را چند برابر میکند.
#امنیت_سایبری #حملات_نویزی #رمز_نگاری #حفاظت_اطلاعات
🟣لینک مقاله:
https://www.securityweek.com/claude-code-oauth-tokens-can-be-stolen-through-stealthy-mcp-hijacking/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
angr (GitHub Repo)
🟢 خلاصه مقاله:
انگر (angr) یک فریمورک تحلیل باینری مستقل از سیستمعامل و پلتفرم است که مجموعهای از کتابخانههای قدرتمند در زبان پایتون ۳ را در اختیار محققان و برنامهنویسان قرار میدهد. این ابزار، امکان بررسی و تحلیل فایلهای باینری مختلف را با دقت و انعطاف بالا فراهم میکند. به کمک انگر، میتوان از مراحل اولیه تحلیل کدهای قابل اجرا تا کشف آسیبپذیریهای امنیتی، الگوهای رفتاری و نقاط ضعف برنامهها بهرهمند شد. طراحی قدرتمند این فریمورک باعث شده است که توسعهدهندگان بتوانند بدون نیاز به تنظیمات پیچیده و وابستگیهای خاص، با زبان طبیعی پایتون به سادگی اقدام به تحلیلهای سطح بالا و پیشرفته کنند. در نتیجه، انگر تبدیل به ابزاری محبوب در حوزههای امنیت سایبری و پژوهشهای تحلیل نرمافزار شده است، چرا که قابلیتهای گسترده آن در زمینه تحلیلهای دینامیک و استاتیک، کارآمدی بینظیری دارد و کاربردهای متنوعی در پروژههای مختلف یافته است.
#تحلیل_باینری #امنیت_سایبری #پایتون #برنامهنویسی
🟣لینک مقاله:
https://github.com/angr/angr?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Claude Code Hooks as a Test Quality Gate
🟢 خلاصه مقاله:
در فرآیند توسعه نرمافزار، تستهای معتبر و کارا نقش حیاتی در تضمین کیفیت کد دارند. اما گاهی اوقات، تستها حاوی تاخیرهای ثابت و کمبود ادعاهای معتبر هستند که میتواند فرآیند آزمایش را مختل کند و نتایج نادرستی ارائه دهد. این مشکلها معمولاً باعث میشوند تأخیرهای سختکد شده یا نبود بررسی دقیق، در آزمونها باقی بمانند و در نهایت کیفیت نهایی محصول تحت تأثیر قرار گیرد.
برای حل این مشکل، ایرفن موژاگیچ یک راهکار ساده و موثر ارائه داده است: استفاده از هوکهای Shell در کلود کد (Claude Code) که بلافاصله پس از ذخیره فایل آزمایش، این مسائل را شناسایی میکنند. این هوکها به عنوان یک دروازهی ارزیابی اولیه، از نظر تحلیل سریع، کمبود عبارات assert و تایماووتهای ثابت را مورد بررسی قرار میدهند و هشدارهای لازم را نشان میدهند. این رویکرد، توسعهدهندگان را قادر میسازد تا قبل از اجرا و انتشار، مشکلات اساسی در تستها را برطرف کنند و آزمونهای استاندارد و قابل اعتماد ارائه دهند.
با این روش، معیارهای کیفیت در فرآیند توسعه به شدت افزایش مییابد و اشکالات در مراحل اولیه شناسایی میگردند، که در نهایت منجر به کاهش هزینههای رفع خطا و بهبود کیفیت نهایی نرمافزار میشود. این هوکهای ساده اما کاربردی، ابزاری موثر در بهبود تستهای کد و تضمین صحت عملکرد نرمافزار در پروژههای مختلف هستند.
#کیفیت_تست #هوک_کد #توسعه_پایدار #مدیریت_کیفیت
🟣لینک مقاله:
https://cur.at/D4gL5yg?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
