Ai000 Cybernetics QLab
رفتن به کانال در Telegram
Ai000 Cybernetic QLab is a non-profit research place which is focus on novel defensive and offensive services to protect our customers. Admin: @clightning
نمایش بیشتر3 003
مشترکین
+324 ساعت
+97 روز
+4530 روز
آرشیو پست ها
مدیرعامل انتروپیک: «اول کدنویسی از بین میرود، بعد کل مهندسی نرمافزار»
@aioooir | #ai
یکی دیگر از مشکلاتی که به نظر من وجود دارد و مدت هاست در حال بحث و گفتگو سر آن با دوستان و همکاران هستیم، الخصوص در جلسه های مشاوره و طراحی CSIRT با آن مواجه می شوم، این مسئله است که کانسپت CSIRT/SOC چیست و اصلا چنین چیزی موجودیت دارد یا نه؟ به هر صورت، یا شما SOC دارید، یا CERT دارید، یا CSIRT دارید یا خیلی دیگر خفن و سیستماتیک و اصولی باشید، دارای CFC هستید (در ایران نداریم کلا).
چگونه میشود هر دو با هم وجود داشته باشند؟ برخی از دوستان میگویند مجزا بودن این دو واحد خوب است، چون بار عملیاتی و مسئولیت اجرایی تقسیم میشود و در زمان رخداد CSIRT می تواند توپ را در بازی SOC بندازد. برخی هم مثل من متعقد هستند که اصلا بحث بار کاری و Responsibility نیست. ما داریم درباره Executive Flow یا Incident Management Flow صحبت میکنیم.
شما یا فقط نظارت میکنید، یا در کنار نظارت همچنین پاسخگویی میکنید، یا هم نظارت، هم پاسخگویی، هم پاکسازی، هم بهروزرسانی، هم آگاهیرسانی، هم مدیریت دارایی و ... میکنید. اگر فقط موارد نظارت باشد، مسئله SOC قابل فهم است ولی وقتی دایره وظایف و مسئولیت ها فراتر از نظارت رفته است، دیگر کانسپت SOC نداریم بلکه CSIRT داریم. این مدت هاست که مسئله بحث و گفتگوی بین ما و برخی از دوستان هست. حال نظر شما چیست؟
@aioooir | #cfc_engineering
با توجه به وضعیت ایران و آمریکا، ناوگانی از کانفیگ فروشان در حال اعزام به منطقه هستند. امیدوارم در همان منطقه باب المندب گیر دزدای سومالیایی بیفتند. والا باز داستان داریم.
@aioooir | #tafahom_nadaran
سمت بالا آدولف هیتلر هست. پایینی هم لودویگ ویتگنشتاین هست. جالب بود که این دو با هم دوست و همچنین هم مدرسهای بودند.
@aioooir | #history
هر چیزی در این جهان یک جدول زمانی تکامل دارد. یعنی از علم امروز بگیرید که از زرتشت شروع شد، به تالس و هراکلیتوس و آناکسیمندر، پارمندیس، سقراط، افلاطون، ارسطو، اقلدیس، ارشمیدس و ... تا هگل و هیوم و بیکن و پیرس و فرگه تا نیوتون و لایبنیز و انیشتین و بور و هایزنبرگ و ... یک روندی را طی کردند که امروز بشر به علم و فهم فعلی رسیده است. اگر شما بخواهید از جایی که تالس بوده است، یهویی بپرید به مرحله ای که ویلر و ویلس و نیومان و فاینمن و ... بودند، جز سردرگمی های بی انتها و اتلاف انرژی و وقت و زمان و ... چیزی نسیب شما نخواهد شد. می توانید امتحان کنید. ببینید فهم علم از نقطه آغازین ساده تر است یا از نقطه انتهایی به ابتدا برسید.
ماجرای امنیت سایبر هم همین است. وقتی شما درباره امنیت صحبت می کنید، وقتی یک ساختاری شکل می گیرد که تحت شبکه کار می کند، ابتدا یک NOC بالا می آورند که ببینند کلا وضعیت به چه شکل است. سرویس ها چطور هستند. وقتی ساختار بزرگ و حیاتی می شود و داده های مهم در آن جریان پیدا می کند، SOC مطرح می شود. وقتی ساختار هم بزرگ می شود، هم داده های مهمی را در بر میگیرد و هم هدف حمله می شود، مسئله CSIRT/CERT مطرح می شود. وقتی همه سیستم بزرگ می شود، هم داده ها اهمیت پیدا می کنند، هم مسئله امنیت ملی و اعتبار تجاری وسط میاد و ... دیگر CSIRT/CERT هم جوابگو نیست. بلکه CFC مطرح می شود.
مشکل فعلی که در کشور ما وجود دارد این است که اساسا این ساختارها به خوبی درک نشدند. هنوز خیلی جاها نمی دانند که NOC زیر مجموع SOC و البته خود SOC زیر مجموع CSIRT است. یعنی CSIRT بالا دست و ناظر همه ساختار قرار می گیرد و فلوی شناسایی و پاسخ به تهدیدات از پایین به بالا است و CSIRT صرفا نقشه Fine Tuning واحدهای SOC و NOC و ... را بر عهده دارد. وقتی شما این ساختار را درست پی ریزی نکنید، آدم های درست و در جای درست قرار ندهید، شیوه ارتباط بین آن ها را درست مهندسی نکنید، فکر کردن به CFC بعید است. شما زمانی به CFC خواهد رسید که Factory Line شناسایی و پاسخ به تهدیدات شما به درست ستاپ شده باشد که با CFC بین ان ها یک Coordinated Workflow ایجاد کنید. والا این چیزا رویا پردازی است.
@aioooir | #cfc_engineering
هر چیزی در این جهان یک جدول زمانی تکامل دارد. یعنی از علم امروز بگیرید که از زرتشت شروع شد، به تالس و هراکلیتوس و آناکسیمندر، پارمندیس، سقراط، افلاطون، ارسطو، اقلدیس، ارشمیدس و ... تا هگل و هیوم و بیکن و پیرس و فرگه تا نیوتون و لایبنیز و انیشتین و بور و هایزنبرگ و ... یک روندی را طی کردند که امروز بشر به علم و فهم فعلی رسیده است. اگر شما بخواهید از جایی که تالس بوده است، یهویی بپرید به مرحله ای که ویلر و ویلس و نیومان و فاینمن و ... بودند، جز سردرگمی های بی انتها و اتلاف انرژی و وقت و زمان و ... چیزی نسیب شما نخواهد شد. می توانید امتحان کنید. ببینید فهم علم از نقطه آغازین ساده تر است یا از نقطه انتهایی به ابتدا برسید.
ماجرای امنیت سایبر هم همین است. وقتی شما درباره امنیت صحبت می کنید، وقتی یک ساختاری شکل می گیرد که تحت شبکه کار می کند، ابتدا یک NOC بالا می آورند که ببینند کلا وضعیت به چه شکل است. سرویس ها چطور هستند. وقتی ساختار بزرگ و حیاتی می شود و داده های مهم در آن جریان پیدا می کند، SOC مطرح می شود. وقتی ساختار هم بزرگ می شود، هم داده های مهمی را در بر میگیرد و هم هدف حمله می شود، مسئله CSIRT/CERT مطرح می شود. وقتی همه سیستم بزرگ می شود، هم داده ها اهمیت پیدا می کنند، هم مسئله امنیت ملی و اعتبار تجاری وسط میاد و ... دیگر CSIRT/CERT هم جواب
انسان هرچه نیرومندتر و از نظر اخلاقی والاتر باشد، با شجاعت بیشتری به ضعفها و کاستیهایش بنگرد. این سخن در مورد ملتهایی که نه یک عمر انسانی و چنددهساله، بلکه عمری صدهاساله دارند، مصداقی آشکارتر دارد. یک ملت ضعیف و حقیر و پیر و فرسوده، که دیگر رمقی برای ترقی در آن نمانده، تنها ستایش خویش را دوست دارد و بیش از هر چیز، از نگریستن به زخمهای خودش واهمه دارد؛ چه آنکه میداند این زخمها کاریاند و واقعیت [امروز] او هیچ مایهٔ دلخوشی برایش ندارد و تنها با خودفریبی است که میتواند به تسلیهای کذب و دروغینی دست یابد که آدمهای ضعیف و سالخوردگان سخت بدان مایلاند. چنانکه مثلاً چینیها یا پارسیان (ایرانیان) چنیناند: اگر پای سخنشان بشینی، گویی در جهان هیچ ملتی از ایشان بهتر نیست و همهٔ ملتهای دیگر در برابرشان خَر و ناکَس و فرومایهاند. اما یک ملت بزرگ که سرشار از نیرو و زندگیست اینچنین نیست. آگاهی از کاستیها و ضعفهایش، به جای آنکه او را در ورطهٔ یأس و ناامیدی و تردید در تواناییهایش بیفکند، نیرویی تازه به او میبخشد و بال و پری میدهد برای درانداختن طرحی نو. — از نامهٔ ویساریون بلینسکی
@aioooir | #quote
چه بحث نابی بود. لذت بردم. اینکه سه تا دانشمند تراز بشینند رو به روی هم و درباره یک پرسش بنیادین با محوریت یافته های فیزیک و اثبات های ریاضی صحبت کنند، زیباست.
https://www.youtube.com/watch?v=JW9gcjpt89o
@aioooir | #temp
از زمانی که افلاطون بحث نظریه مرجع را مطرح کرد، سالهای زیادی دانشمندها درگیر مسئله های حاشیه شدند. از جمله اینکه واژه چه ارتباطی با واقعیت دارد؟ واقعیت چیست و از این داستان ها. یکی از افرادی که در غرب و ایالات متحده آمریکا ظاهر شد و کل مسئله را تغییر داد، چارلز پیرس بود. پیرس گفت این داستان های انتزاعی حد ندارد. اگر بخواهیم درگیر این شویم که اول مرغ یا تخم مرغ بوده است، تا آخر عمر باید با یک سری احمق ملالغتی بحث کنیم. بیایید رویکرد Pragmatism را پیش بگیریم. درباره موضوعاتی صحبت کنیم که مسئله ای را در واقعیت حل می کند با این اعتبار که راه حل ممکن است دائمی نباشد. مثلا ممکن است من الان یک نظریه بدهم، فعلا مشکل را حل کند ولی به معنای این نیست که آن ایده بهترین است. پرگماتیسم که بعدها اساس علوم و تفکر غرب را شکل داد، به این شکل بود که ارائه شد. در اسلاید هم بقیه موارد مشخص است.
خلاصه این شخص با یک شیفت در نظریه پردازی انقلابی در ماشین پیشرفت غرب ایجاد کرد. او مشخص کرد که ارزش یک مفهوم یا نظریه را باید در پیامدهای عملی آن در زندگی سنجید نه در حجره بشینیم و دعا کنیم غاز تبدیل به تانک آبرامز شود چون طبیعت با این چیزا سرسازگاری ندارد. اگر یک ایده بتواند مسئلهای را در جهان واقعی حل کند، آن ایده ارزشمند است؛ حتی اگر کامل یا ابدی نباشد. ممکن است امروز مدلی ارائه کنیم که یک مشکل را بهخوبی حل کند، اما چند سال بعد نظریهای بهتر جایگزین آن شود. این موضوع نه نشانه ضعف علم، بلکه یکی از ویژگیهای اساسی آن است.
به همین دلیل، در پراگماتیسم حقیقت چیزی ایستا و تغییرناپذیر نیست، موردی که فلاسفه قبل پیرس روی آن تاکید داشتند، بلکه حقیقت همواره در معرض آزمون، اصلاح و بهبود قرار دارد. همین نگاه عملگرایانه بعدها تأثیر عمیقی بر شکلگیری روش علمی، فلسفه علم، علوم شناختی، مهندسی و حتی فرهنگ حل مسئله در غرب گذاشت. همانطور که در اسلاید مشاهده میکنید، سایر مؤلفههای این رویکرد نیز به همین منطق عملگرایانه متکی هستند.
@aioooir | #philosophy #hekmat_amali
یک نکته دیگر هم اضافه کنم، برای دور زدن 2FA هم چنین حملاتی انجام میدهند. ❤️
@aioooir | #2fa_man_vel_kon
یکی از مسائل مهم در ارتباط با امنیت ملی، مسئله ارتباطات رادیویی و مخابراتی است. اگر وقت کنم، قصد دارم با محوریت تهدیدات مخابراتی یک سری از تهدیدات و حملات با محوریت شنود ارتباطات، دنباله گیری افراد، امنیت ارتباطات حساس و ... را بررسی کنم. از جمله اینکه اسرائیلی ها و آمریکایی ها در کشورهایی مانند عراق و افغانستان و آلمان و آلبانی و ترکیه و ... چگونه و در چه سطوحی می توانند اطلاعات جمع آوری کنند. این سری مقالات صرفا برای این است که برخی متوجه شوند امنیت فراتر از دریافت لاگ در SIEM است.
اولین مورد که باید درباره آن صحبت کنیم، حمله ترمینیشن هست. این حمله روی ترافیک ورودی تماس ها به مشترک هدف تمرکز دارد و موجب می شود ارتباط ترمینیت شود و به یک نود دیگری تحویل شود. دولت های مهاجم با دستکاری پروتکلهای سیگنالینگ از جمله اس اس 7 و دیامتر و ... تماس یا پیام را قبل از رسیدن به مقصد، تغییر مسیر میدهند، قطع میکنند یا به مقصد جعلی هدایت مینماید. وقتی این اتفاق رخ می دهد، گوشی شما به شدت داغ می شود و نویز رخ می دهد.
این حمله در نسل 2 و 3 عمدتاً از طریق بهرهبرداری از پروتکل سیگنالینگ اس اس 7 (فاقد مکانیسم احراز هویت قوی) اجرا می شود. مهاجم با ارسال پیامهای جعلی (مانند SRI یا Call Forwarding) قادر به رهگیری موقعیت، تغییر مسیر تماس یا اختلال در تحویل SMS است. برای انجام این حمله در شرایطی که نسل 4 یا 5 وجود دارد، باید مهاجم سیگنال ارتباطی را downgrade کند.
در نسل 4 یا همان LTE این حمله با بهرهگیری از پروتکل Diameter و دستکاری عناصر core شبکه (مانند HSS یا MME) امکانپذیر است و نمونه های آن هم انجام شده است. چون این ساختارها هم دارای ضعف هستند. درباره نسل 5 هم اطلاعاتی ندارم ولی بعید است که این هم مشکل با این محوریت نداشته باشد. حداقل برای آن جماعتی که در nsa هستند و درگیری ذهنی ندارند، به هر روی یک راهی پیدا خواهند کرد که روی این شبکه هم ترمینیشن و اینتراپشن و اینترسپشن و ... انجام دهند. این حملات میتوانند ارتباطات کلیدی مقامات، نیروهای نظامی یا زیرساختهای حساس را در لحظات بحرانی تحت تاثیر قرار میدهند.
@aioooir | #termination_as_noghl_o_nabat
ماجرای این میتینگ تو وایت هوس خیلی عجیب و غریب هست. مدیرعامل آنتروپیک برای طرح ریزی استراتژیک و ... درباره آینده هوش مصنوعی میره با اعضای بلند پایه دولت امریکا در وایت هوس جلسه بزاره. بعد جلسه معلوم نیست این بنده خدا چی گفته که میگن این طرف weirdo هست. کاخ سفیدی که ادم های عجیب و غریب به خودش زیاد دیده و هیچ واکنشی نشون نداده، ببین این چیا گفته اونجا که برگشتن گفتن این دیگه خیلی عجیب و غریبه یکی و بفرستید که زبانش و متوجه بشیم. 😂
@aioooir | #weirdo_guy
چرا این مسئله خیلی جدی است؟ دلایل زیادی دارد. باز هم فرض می گیریم که این نوشته صحیح است. یعنی مشاهداتی وجود دارد که نشان می دهد فریمورهای IBM به دلیل وجود آسیب پذیری در فریمور خود آلوده به بوتکیت شدند. وقتی شما درباره فریمور صحبت می کنید، مهاجم باید سطح دسترسی خیلی بالایی داشته باشد. وکتور حمله بسیار پیچیده ای استفاده کرده باشد. اطلاعات دقیق درباره مین فریم ها و نسخه فریمور را داشته باشند. داخل شبکه بانکی باشند. دسترسی Persist در نودهای مختلف داشته باشند. این یعنی سطح نفوذ مهاجم وحشتناک هست. باز هم ذکر می کنم، این متنی که این شخص نوشته است، شاید اصلا درکی از نوشتن آن نداشته است، چون خود این متن نشان دهنده عمق فاجعه است. اگر مهاجم چه nation state باشد چه criminals باشد، و اگر توانسته به این سطح از دسترسی برسد، دیگر صحبت از تغییر سیستم و زیرساخت و به روزرسانی و ... گذشته است. به همین دلیل است که چنین ادعایی، بدون انتشار مستندات فنی، شواهد فارنزیکی و تحلیل قابل راستیآزمایی، نباید بهعنوان یک نتیجه قطعی پذیرفته شود. اما اگر این ادعا با شواهد معتبر اثبات شود، با یکی از مهمترین رخدادهای امنیتی سالهای اخیر در حوزه زیرساختهای بانکی و مینفریم نه فقط در سطح ایران بلکه در سطح جهان روبهرو خواهیم بود، رخدادی که میتواند پیامدهای آن فراتر از تصور همه باشد.
@aioooir | #firmware_security
یک مسئله دیگر هم هست، اینکه ذکر شده است مسئله مرتبط با Firmware بوده است. تا جایی که خود شما ذکر کردید، ما در تحریم هستیم و امکان استفاده از شرایط License و پشتیبانی نداریم. چطوری Firmware را تحلیل کردید؟ و چطور در تحلیل آن متوجه آنومالی شدید؟ ما فرض می گیریم که چنین کاری کردید. از همین روی، ISC باید یک گزارش فنی دقیق ارائه بدهد تا ما هم دانش به دست بیاوریم. خود متخصصان IBM مخصوصا بخشی که روی Hardware Tampering Protection این سیستم ها کار کردند هم به نظر علاقمند مشاهده و مطالعه این تحلیل هستند.
@aioooir | #firmware_security
اجازه بدهید فرض بگیریم، مطلبی که اینجا نوشتید درست است. اولا این نوع گزارش دادن برای اخبار کودک و نوجوان خوب است، نه بخش متخصص. شما ابتدا سند فارنزیک این رخداد را انتشار بدهید، تا همه افراد متخصص بررسی کنند که ادعاها درست است یا نه. استانداردهای جهانی پاسخ به رخدادهای سایبری از جمله NIST SP 800-61 ذکر کردند برای root cause analysis نیازمند جمعآوری رویدادهای فارنزیکی (لاگها، رویدادهای، ترافیکها، و ...) است. اعلام حمله بدون ارائه دادههای verifiable، بیشتر جنبه سیاسی-روانی دارد تا علمی.
مورد بعدی که باید به آن توجه کرد، وجود حملات مشابه به مین فریم ها و سیستم های زیرساختی پردازش انبوه است. شما از سال 2000 چنین مواردی را داشتید. مثلا در سال 2012 حمله Nordea رخ داد. بعد حمله Logica به سیستم های بانکی اروپا و مخصوصا زیرساخت مین فریم های IBM رخ داد. بعد هم 2023 که آخرین مورد بود، حمله ICBC بود. در تمامی این موارد خود IBM هم گزارش تحلیل داد و هم واکنش و هم شناسایی و هم موارد دیگر. اینکه ISC نتوانسته بعد از این همه سال یک ساختار Fusion Centeric و Unit Based Response برای آن عظمت بانکداری آماده کند، با تغییر مین فریم ها هم به چیزی نخواهید رسید.
والا مثلا تصور می کنید اگر مین فریم های هووایی را تهیه کنید، ایمن خواهید بود؟ هووایی که انگلیسی ها و آلمانی ها گزارش های متعدد دارند که همه تجهیزات آنها آلوده به درپشتی است؟ ماجرای شنود ارتباطات انگلیسی ها را اینا با بالون انجام دادند؟ هووایی یکی از بدنام ترین شرکت های IT جهان در حوزه استقرار درپشتی و شنود ارتباطات است.
@aioooir | #ibm_zos #dfir
