اصول اخلاقی افشای آسیب‌پذیری

/در , , /توسط
خطاها و آسیب‌پذیری‌ها حین توسعه‌ی هر سیستم، نرم‌افزار یا سخت‌افزار پیچیده‌ی آی‌تی تقریباً ناگزیرند. این خطاها اغلب نه توسط کارمندان و متخصصین فنی شرکت –که کارشان تولید نرم‌افزار و سخت‌افزار است- که توسط محققین برون‌سازمانی پیدا می‌شود. حذف این خطاها و آسیب‌پذیری‌های احتمالی کلید امنیت سایبریِ قدرتمند است؛ جایی که محققین و متخصصین ما نیز در آن کار می‌کنند. بنابراین منبع اصلی خطاها و شکست‌ها همچنین عامل کلیدی‌ شناسایی و اصلاح به موقعشان است. در عین حال، این متوجه شویم این فرآیند اصلاح خطا می‌تواند بالقوه خطرات و شکست‌های جدیدی بیافریند (به جای اینکه مشکل را حل کند) خود بسیار اهمیت دارد.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما در کسپرسکی خواهانِ اصول اخلاقی شفاف و روشن در فرآیند RVD (افشای متعهدانه‌ی آسیب‌پذیری) هستیم؛ فرآیندی که وقتی آسیب‌پذیری‌ها را در سیستم سایر سازمان‌ها پیدا می‌کنیم دنبال می‌نماییم. ما 5 اصل خود را مبنای کار جهانی‌مان - که قدمتی بیش از 23 سال دارد- قرار داده‌ایم. همچنان نیز از برخی از بهترین اقدامات  -مخصوصاً کد اخلاقیاتِ «انجمن تیم‌های امنیت و واکنش‌دهی به رخداد»- الهام می‌گیریم. ما در هر پرونده‌ای اولویت اصلی را روی ایمنی و امنیت کاربران خود قرار می‌دهیم (افراد و سازمان‌هایی که از راهکارها و محصولات کسپرسکی استفاده می‌کنند).
در عین حال علایق سایر طرف‌های دخیل را نیز ارج می‌نهیم: افراد یا سازمان‌هایی که محصولشان، مشتری‌هایشان (شاید بالقوه مجرم باشند) یا به طور کلی صنعت امنیت سایبری‌شان آسیب‌پذیر است. پیروی از این اصول تضمین می‌دهد که ما مسیری پایدار، متعهدانه و روشنی را در راستای ساخت اکوسیستم فناوری اطلاعات و ارتباطات (ICT) پیش گرفته‌ایم. با این حال، برای اینکه چنین رویکردی در کل صنعت آی‌تی بازدهی داشته باشد، فروشندگان دیگر –و کاربرانشان، محققین مستقل، رگولاتورها و سایر طرف‌های علاقمند- همچنین می‌بایست چنین محرک‌های انگیزشی را راهنمای خود قرار دهند. از این رو، تصمیم گرفتیم اصول خود را در راستای افشای آسیب‌پذیری پیداشده در سایر نرم‌افزارهای شرکت‌ها نشر دهیم. با ما همراه بمانید.
اصل شماره 1: ایجاد اعتماد
بنیاد امنیت اطلاعات میزان مشخصی از بی‌اعتمادی است. اما افشاسازی‌های آسیب‌پذیری بدون اعتماد در حقیقت کاری از پیش نخواهد برد؛ بنابراین ما خیرخواهی را انگیزه‌ی تمامی طرف‌ها فرض می‌کنیم، هرچند البته برای هماهنگ کردنِ اقدامات وقت و انرژی می‌گذاریم و هرگونه خسارات ناشی از آسیب‌پذیری را کاهش می‌دهیم- اعتماد کنید اما اعتبارسنجی یادتان نرود. ما اطلاعات مربوط به آسیب‌پذری‌ها را برای سرگرمی یا جاه‌طلبی منتشر نمی‌کنیم؛ تنها زمانی این کار رانجام دهیم که پای ایمنی کاربران و جامعه در میان باشد (و البته زمانی که این کار به نفع کاربران و جامعه باشد).
اصل شماره 2: زود اطلاع دادن به طرفِ آلوده‌شده
افشای آسیب‌پذیری فرآیند پیچیده‌ای است که می‌تواند با موانع بسیاری از جمله شرکت‌کنندگان غیرمتعهد یا غیرقابل‌دسترسی مواجه شود. با وجود این مشکلات، ارائه‌ی اطلاعات دقیق و به موقع به فروشندگان آلوده مهم و حیاتی است. ابتدا، طی مشارکتی تلاش می‌کنیم تا ریسک کاربری به حداقل خود رسیده و آسیب‌پذیری حذف شود. برای این منظور، در عوض فروشنده باید روشی روشن و واضح برای گزارش دادن و پردازش اطلاعات پیرامون آسیب‌پذیری‌ها به ما بدهد.
اصل شماره 3: تلاش‌هایی هماهنگ
بدیهی است که هر آسیب‌پذیری‌ای منحصر به فرد است. برخی کاربران را در مورد یک محصول واحد تهدید می‌کنند و برخی دیگر ممکن است چندین طرف را آلوده کنند (برای مثال در مواردی که پای شرکت‌های بین‌المللی با زنجیره تأمین‌های پیچیده در میان باشد). آسیب‌پذیری‌ها همچنین ممکن است زیرساخت‌های مهم و نیز شبکه‌های بخش عمومی را تحت‌الشعاع قرار دهد؛ بدین‌ترتیب امنیت ملی مورد تهدید واقع خواهد شد. محققین و فروشندگان تنها طرف‌های مربوطه نیستند؛ بلکه رگولاتورها، مشتریان، محققین مستقل و هکرهای کلاه‌سفید نیز در این امر دخیلند. ما به منظور هماهنگی مؤثر بین تمامی سهامداران از بهترین اقدامات بین‌المللی به عنوان راهنما کمک می‌گیریم (به عنوان مثال استاندارد ISO/IEC 29147:2018 برای افشای آسیب‌پذیری). ما به طور خاص سعی داریم زمان کافی‌ای برای تحلیل جامع آسیب‌پذیری و توسعه‌ی اصلاحات در اختیار تمامی شرکت‌کنندگان قرار دهیم.
اصل شماره 4: حفظ اسرار در صورت لزوم
اگر اطلاعات فنی در خصوص یک آسیب‌پذیری اوایل فرآیند افشا شود، مهاجمین می‌توانند از آن سوءاستفاده کنند. از همین روست که اطلاعات را به صورت محرمانه با طرف‌ها به اشتراک می‌گذاریم؛ طرف‌هایی که باید اقداماتی جهت تخفیف این تهدیدها اتخاذ کرده و از طریق مطمئن‌ترین و امن‌ترین کانال‌های ارتباطی برای گزارش فعالیت داشته باشند. درست به همین دلیلی که اشاره کردیم، در مورد شرایط و قرائن افشا با فروشنده پای مذاکره می‌رویم. با این حال، اگر فروشنده‌ای پاسخگو نبود، بسته به شدت و مقیاس آسیب‌پذیری و فوریت خطر این افشاسازی را از طریق کانال‌های ارتباطی خود انجام می‌دهیم. همچنین این افشا را بر اساس خط‌مشی‌های داخلی، رگولاسیون‌های لوکال و بهترین اقدامات صنعتی خود انجام پیش می‌بریم؛ همه‌ی اینها درحالی اتفاق می‌افتد که فروشنده کاملاً به امور واقف است.
اصل شماره 5: داشتن رفتاری مطلوب
باوجود تلاش‌های صنعت، مجرمان سایبری همچنان به دنبال راهی برای پیدا کردن آسیب‌پذیری‌اند. بنابراین، به گمان ما حمایت آشکارای هر کسی که وظیفه‌ی گزارش‌دهیِ آسیب‌پذیری‌ها را دارد بسیار اهمیت دارد.
 
عقیده ما بر این است که اگر همه‌ی طرف‌ها به یک سری اصول اخلاقی مشابه رجوع کنند قادر خواهیم بود دست به دست هم اکوسیستم ICT را نه تنها امن‌تر سازیم که همچنین آن را برای کاربران خود (افرادی که ما برای آن‌ها کار می‌کنیم) سلامت‌تر از قبل و قابل‌پیش‌بینی‌تر کنیم.

شکایت علیه گوگل به جرم استفاده از اطلاعات کاربران

/در , , , , /توسط
دادستان یکی از ایالت های آمریکا از گوگل به جرم استفاده از اطلاعات موقعیت مکانی کاربران بدون رضایت آنان شکایت کرده است.
 
به نقل از رویترز، ایالت آریزونا شکایتی علیه گوگل به جرم کلاهبرداری تنظیم کرده است. در این شکایت نامه ذکر شده شرکت مذکور از روش‌های فریبکارانه و ناعادلانه برای دسترسی به اطلاعات موقعیت مکانی کاربران استفاده کرده است.
 
مارک برنوویچ دادستان کل این ایالت در توئیتی نوشت: گوگل اطلاعات دقیق درباره کاربران از جمله موقعیت مکانی آنها را جمع آوری و از آنها برای تبلیغات هدفمند استفاده می‌کند. در بیشتر اوقات این اقدام بدون رضایت یا دانش کاربر انجام می‌شود.
 
سخنگوی گوگل نیز در بیانیه‌ای نوشته است: به نظر می‌رسد دادستان کل و وکلایی که این شکایت را به دادگاه ارائه کرده‌اند، درباره سرویس‌های ما اشتباه می‌کنند. ما همیشه ویژگی‌های حفظ حریم شخصی را در محصولات مان قرارداده و قابلیت‌های کنترل اطلاعات موقعیت مکانی را نیز فراهم کرده‌ایم.

شکایت علیه گوگل به جرم استفاده از اطلاعات کاربران

/در , , , , /توسط
دادستان یکی از ایالت های آمریکا از گوگل به جرم استفاده از اطلاعات موقعیت مکانی کاربران بدون رضایت آنان شکایت کرده است.
 
به نقل از رویترز، ایالت آریزونا شکایتی علیه گوگل به جرم کلاهبرداری تنظیم کرده است. در این شکایت نامه ذکر شده شرکت مذکور از روش‌های فریبکارانه و ناعادلانه برای دسترسی به اطلاعات موقعیت مکانی کاربران استفاده کرده است.
 
مارک برنوویچ دادستان کل این ایالت در توئیتی نوشت: گوگل اطلاعات دقیق درباره کاربران از جمله موقعیت مکانی آنها را جمع آوری و از آنها برای تبلیغات هدفمند استفاده می‌کند. در بیشتر اوقات این اقدام بدون رضایت یا دانش کاربر انجام می‌شود.
 
سخنگوی گوگل نیز در بیانیه‌ای نوشته است: به نظر می‌رسد دادستان کل و وکلایی که این شکایت را به دادگاه ارائه کرده‌اند، درباره سرویس‌های ما اشتباه می‌کنند. ما همیشه ویژگی‌های حفظ حریم شخصی را در محصولات مان قرارداده و قابلیت‌های کنترل اطلاعات موقعیت مکانی را نیز فراهم کرده‌ایم.

حمله سخت افزاری هکری به رایانه‌های ویندوزی تایید شد

/در , , , , , /توسط
به گزارش forbes، مایکروسافت به منظور گزارش آسیب‌ پذیری‌های درگاه Thunderbolt و تایید مشکلات امنیتی آن فعالیت‌های اینتل در این زمینه را تایید می‌کند و در آخرین گزارش خود اعلام کرده است که این نقص امنیتی به هکرها امکان می‌دهد با دسترسی فیزیکی به رایانه شخصی بتوانند سیستم کنترلی درگاه مربوطه را تغییر دهند و سرویس امنیتی آن را غیرفعال کنند. این طور که گفته می‌شود تمامی رایانه‌های شخصی مبتنی بر سیستم عامل ویندوز که به درگاه Thunderbolt مجهز هستند این آسیب پذیری را شامل می‌شوند و فقط برخی مدل‌هایی که سال گذشته با سیستم محافظ Kernel DMA روانه بازار شدند از این مشکل در امان هستند.
 
 
«بیورن رویتنبرگ» از دانشگاه فناوری آیندهوون هلند که نخستین بار این این تهدید امنیتی را شناسایی کرد از آن با عنوان Thunderspy یاد می‌کند. رویتنبرگ هشدار داد حتی اگر رایانه شخصی قفل باشد، در حالت آماده باش قرار گرفته باشد، سیستم امنیتی Secure Boot روی آن فعال باشد، به رمز عبور قوی مجهز شده باشد، یا سیستم رمزگذاری حافظه برای آن در نظر گرفته شده باشد هکرها باز هم می‌توانند در کمتر از پنج دقیقه کنترل رایانه را در اختیار بگیرند.
 
این حملات سخت افزاری به رایانه‌های شخصی بسیار پیچیده، با درصد خطر بالا و به ندرت انجام می‌شود. با این وجود این نوع حملات وجود دارند. چنین حملات سخت افزاری با نام «خدمتکار شیطان» شناخته می‌شوند و ایده اصلی بر این اساس است که وقتی در یک هتل اقامت دارید و بیرون از اتاق خود هستید یا در هنگام شب که هیچ کس در محل کار شما حضور ندارد، این حملات انجام می‌شود. در این شرایط تنها چیزی که هکر نیاز دارد چند دقیقه زمان است که کسی او را مشاهده نکند تا به راحتی اهداف خود را محقق کند.
 

چین قوانین حفظ اطلاعات شخصی کاربران را تصویب می کند

/در , , , /توسط
 
 
 
چین تصمیم دارد قوانینی برای حفظ اطلاعات و حریم شخصی کاربران اینترنت این کشور تصویب کند.
 
به نقل از رویترز، چین تصمیم دارد قوانینی برای احترام به حریم شخصی و اطلاعات کاربران را تصویب کند.
 
 این بخشی از نخستین قوانین مدنی چین است که مجموعه ای گسترده را شامل می شود و هم اکنون در جلسه سالانه مجلس این کشور در حال بررسی است.
 
طبق آخرین پیش نویس این قوانین، هر شهروند حق حفظ حریم شخصی و حفاظت از اطلاعات خود را دارد.
 
واحدهای جمع آوری اطلاعات وظیفه دارند از اطلاعات افراد محافظت کنند. آنها نمی توانند بدون رضایت کاربر به اطلاعات دسترسی یابند یا آنها را فاش کنند.
 
به عقیده کارشناسان امر، این قوانین  نشان می دهد چین تلاش دارد صنعت اینترنت خود را که با سرعت زیادی در حال رشد است، قانونمند و محافظت کند.
 
البته قانون مذکور نیازمند جزئیات دقیقی درباره شیوه حفاظت از اطلاعات کاربران است.
 
به این ترتیب چین نیز جزو معدود کشورهایی به حساب می آید که مشغول ایجاد چارچوبی قانونی برای حفاظت از اطلاعات شخصی کاربران هستند.

به این رسیدهای جعلی اعتباری نیست

/در , , , , , , , /توسط
استفاده از رسیدهای جعلی به یکی از شیوه‌های کلاهبرداری تبدیل شده و سودجویان از طریق نرم‌افزارهای رسیدساز، اقدام به ساخت رسیدهای جعلی می‌کنند که به‌دلیل مشابهت با نمونه‌های واقعی، می‌تواند کاربران را فریب دهد.
 
 این روزها شاهد یکه‌تازی اپلیکیشن‌های مختلف هستیم، اپلیکیشن‌هایی که توانایی انجام کارهای فراوانی را در فضای مجازی دارند، از پرداخت گرفته تا خرید، دانلود و غیره. در کنار این اپلیکشن‌هایی که هر روزه تبلیغ می‌شوند تا کاربران با نصب آن‌ها کارهای روزانه خود را به راحتی انجام دهند، شاهد تولید اپلیکیشن‌هایی هستیم که بی‌سروصدا وارد بازار می‌شوند و گاهی اوقات از سوی مجرمان حرفه‌ای سایبری طراحی و تولید شده‌اند و افراد سودجو می‌توانند از آن‌ها استفاده مجرمانه داشته باشند. اپلیکیشن‌های رسیدساز هم از این دسته است.
 
برخی از مجرمان سایبری با نصب اپلیکیشن‌ها روی گوشی خود و سوءاستفاده از قابلیت‌های آن اقدام به کلاهبرداری از افراد هنگام خرید از فروشگاه‌ها کردند. این افراد بعد از خرید از فروشگاه‌ها و یا هنگام پرداخت بدهی‌های خود، ادعا می‌کنند که وجه مورد نظر را به حساب قربانی واریز کرده‌اند و رسید طراحی‌شده را به عنوان مدرک به فرد مخاطب ارائه می‌دهند. رسیدی که فاقد اعتبار بوده و هیچ ارزشی ندارد اما چون شامل نام و نام خانوادگی، شماره کارت و مبلغ واریزشده به حساب مقصد است، اعتماد فرد قربانی را جلب می‌کند.
 
یکی از مهمترین راه‌ها برای جلوگیری از برداشت غیرمجاز از حساب‌های بانکی و یا اطلاع از دریافت وجوه مختلف، فعال بودن سامانه پیامک حساب بانکی است. در این صورت شما از انجام هرگونه تراکنش بانکی و دریافت یا برداشت از حسابتان مطلع خواهید شد. کاربران باید بعد از انجام هر تراکنش بانکی به خصوص تراکنش‌های با مبالغ بالا، حتماً موجودی حساب خود را چک کرده و از واریز وجه مطمئن شوند.
 
پلیس فتا نیز درباره کلاهبرداری با سوءاستفاده از نرم‌افزارهای رسیدساز جعلی هشدار داده و اعلام کرد: افراد کلاه‌بردار از روش‌های مختلفی برای جلب اعتماد شهروندان و ترغیب آنان برای اقدامات کلاهبردارانه خود بهره می‌برند؛ یکی از این شیوه‌ها استفاده از رسیدهای جعلی از انواع درگاه‌های پرداخت و خودپرداز و رسید دستگاه کارت‌خوان است. رسیدهای جعلی با استفاده از برنامه‌های نرم‌افزاری و دستگاه‌های سخت‌افزاری و تا حد زیادی مشابه رسیدهای واقعی توسط کلاه‌برداران تولید می‌شود.
 
به همین دلیل به کاربران توصیه می‌شود برای خرید کالا و دریافت خدمات صرفاً از سایت‌های معتبر که دارای مجوزهای مربوطه‌اند، اقدام کنند و با دیدن رسید پرداخت در یک سایت یا یک شبکه اجتماعی، گروه یا کانال به‌راحتی اعتماد نکنند؛ زیرا در برخی از صفحات و گروه‌های پرطرفدار شبکه‌های اجتماعی که تاحدودی نیز تعداد دنبال‌کننده‌های زیادی دارند، برای جلب اعتماد کاربران از چنین شیوه‌هایی استفاده می‌کنند.
 

۵۰۰ گیگابایت داده از گیت‌هاب مایکروسافت سرقت شد

/در , , , , /توسط
طبق گزارش‌های منتشر شده، هکرها به حساب گیت‌هاب ‫مایکروسافت نفوذ کرده و ۵۰۰ گیگابایت داده را از مخازن خصوصی این شرکت به سرقت برده‌اند.
 
 به نقل از مرکز ماهر، گیت‌هاب یک بستر توسعه‌ نرم‌افزار محبوب است که میزبانی نرم‌افزار را برای حدود ۴۰ میلیون برنامه‌نویس ارائه می‌دهد. برنامه‌نویسان از این بستر برای کنترل نسخه‌ نرم‌افزار خود استفاده می‌کنند.
 
مایکروسافت، گیت‌هاب را با قیمت ۵.۷ میلیارد دلار در اکتبر سال ۲۰۱۸ به‌دست آورد.
 
در حال حاضر، تصاویری از هک‌شدن اطلاعات شخصی سرورهای گیت‌هاب منتشر شده که نشان می‌دهد اطلاعات هک‌شده شامل کدهای منبع آژور (Azure)، آفیس و منابع اجرایی ویندوز است. بعد از چند بررسی مشخص شد که خبر این هک واقعی است و ممکن است بتوان رمزهای ورودی حساب‌های کاربری بعضی از شرکت‌ها را نیز در آن پیدا کرد.
 
این حمله‌ سایبری توسط گروه هکری «ShinyHunters» انجام شد که چندی پیش، شرکت اندونزیایی Tokopedia را هک کرده بود.
 
هکرها ۵۰۰ گیگابایت از پروژه‌های خصوصی مایکروسافت را دانلود و ۱ گیگابایت از آن را در یک انجمن هکری منتشر کردند تا افراد ثبت‌نامی به آن‌ها دسترسی پیدا کنند. این گروه هکری ابتدا قصد داشت این اطلاعات را به فروش برساند، اما سپس تصمیم گرفت آن‌ها را به‌صورت رایگان فاش کند.
 
با این حال، با توجه به نمونه‌های مخازن خصوصی و لیست‌ فهرست‌های مشاهده‌شده، به‌نظر نمی‌رسد هیچ داده‌ محرمانه‌ای وجود داشته باشد که امکان بروز مشکلاتی را برای مایکروسافت فراهم آورد. اکثر آن‌ها به‌عنوان نمونه کد، پروژه‌های آزمایشی، کتاب‌های الکترونیکی و موارد مشابه هستند.
 
هکرها اعلام کردند که دیگر به حساب‌های گیت‌هاب دسترسی ندارند، بنابراین مایکروسافت زمان دارد تا هرگونه عواقب این نقص اطلاعاتی را بررسی کند و به کاربران خود اطلاع دهد.

چالش امنیت رمز عبور حساب‌های اجتماعی

/در , , , , /توسط
 
 
کم‌دقتی کاربران و عدم فعال‌سازی رمز دومرحله‌ای اکانت شبکه‌های اجتماعی، باعث می‌شود دیگران به راحتی به این اکانت‌ها دسترسی داشته و بتوانند برای کاربران دردسر یا مزاحمت ایجاد کنند.
 
رمز عبور یک چالش بزرگ برای امنیت سایبری سازمان‌هاست و هر ساله تعداد این نوع حملات و پیچیدگی‌ها در حال افزایش است. مجرمان سایبری نیز روزبه‌روز در حال افزایش هستند و اعتبار کاربران را به سرقت می‌برند. آن‌ها روش‌های مختلفی برای سرقت کلمات ‌عبور دارند، مانند حملات فیشینگ، گزارش‌گیر صفحه‌کلید و نرم‌افزارهای جاسوسی.
 
رها کردن گوشی‌های هوشمند در محل‌های عمومی یا در محل کار بدون اینکه تنظیمات ایمنی لازم روی گوشی انجام شده باشد نیز یکی از مواردی است که زمینه سوءاستفاده دیگران از اطلاعات ذخیره‌شده در کارت‌های حافظه و اکانت شبکه‌های اجتماعی را فراهم می‌آورد. زیرا کم‌دقتی برخی کاربران و عدم فعال‌سازی رمز دومرحله‌ای اکانت شبکه‌های اجتماعی، باعث می‌شود دیگران به راحتی به اکانت شبکه‌های اجتماعی کاربران دسترسی داشته و بتوانند برای کاربران یا دوستانشان در شبکه‌های اجتماعی دردسر یا مزاحمت ایجاد کنند.
 
درصورتی‌که اگر رمز گوشی و رمز دومرحله‌ای اکانت شبکه اجتماعی فعال باشد، دسترسی دیگران به اطلاعات مهم و اکانت‌های شبکه‌های اجتماعی ما به سادگی امکان‌پذیر نخواهد بود. بنابراین فعال کردن رمز دو مرحله‌ای اکانت شبکه‌های اجتماعی و رمز گذاری گوشی یک ضرورت است و کاربران نباید در این امر غفلت کنند. همچنین رمزگذاری‌های ساده و رایج مثل کد ملی، تاریخ تولد، شماره تلفن از کارهای اشتباهی است که برخی از کاربران انجام می‌دهند. در حالی‌که استفاده از رمزهای ترکیبی برای اکانت شبکه‌های اجتماعی راهکاری مناسب برای جلوگیری از دسترسی دیگران به اطلاعات مهم است.
 
به همین دلیل پلیس فتا به این موضوع اشاره کرده که هر ساله پرونده‌های مختلفی در خصوص مزاحمت‌های سایبری در پلیس فتا تشکیل می‌شود که بخش زیادی از این پرونده‌ها در پی دسترسی غیرمجاز دیگران به اکانت‌های شبکه‌های اجتماعی نصب‌شده روی گوشی قربانیان است که به‌دلیل دسترسی غیرمجاز برای دیگران مزاحمت ایجاد شده و صاحب اکانت تا یافتن مجرم واقعی باید در مقابل مقام قضایی پاسخ‌گو باشد.
 
از طرفی با توجه به فعال بودن اکانت شبکه‌های اجتماعی از طریق شماره تلفن همراه، درصورتی‌که شما اقدام به فروش یا واگذاری سیم‌کارت ‌کنید، اطلاعات حساب کاربری  و آرشیو کامل اطلاعات ردوبدل‌شده شما در شبکه‌های اجتماعی برای کاربر بعدی قابل دسترس است. بنابراین حذف اکانت یا حساب کاربری شبکه‌های اجتماعی هنگام واگذاری سیم‌کارت، اقدامی ضروری است و در صورت عدم حذف اکانت شبکه‌های اجتماعی، امکان دسترسی دارنده جدید سیم‌کارت به تمامی اطلاعات شما وجود دارد.
 
انجام این دست اقدامات برای اکانت‌های شبکه‌های اجتماعی، منجربه حفظ حریم خصوصی کاربران در فضای مجازی می‌شود. درواقع حفظ این حریم در گام اول بر عهده خود کاربران است که با رعایت موارد ساده امنیتی می‌توانند مانع ورود و دست‌اندازی دیگران به حریم خصوصی خود شوند.

اظهار نگرانی زاکربرگ از نفوذ چین بر اینترنت جهان

/در , , , , /توسط
 
 
پس از حملات گسترده دونالد ترامپ به چین، مارک زاکربرگ مدیرعامل فیس بوک نیز به این کشور حمله ور شده و نفوذ آن بر حوزه قانون گذاری در مورد اینترنت را نگران کننده دانست.
 
به نقل از ورج، زاکربرگ از دموکراسی‌های غربی خواست تا برای حفاظت از حریم شخصی و داده‌های کاربران اینترنت به پاخیزند و چارچوب‌های جدیدی را در این زمینه ابداع کنند. این ادعا در شرایطی مطرح می‌شود که بر اساس افشاگری‌های ادوارد اسنودن، آژانس امنیت ملی آمریکا، سیا و اف بی آی از جمله بزرگترین راهزنان دنیای مجازی محسوب می‌شوند که بدون هیچ محدودیتی داده‌های خصوصی کاربران را در آمریکا و خارج از آن مورد کنترل و سرقت قرار می‌دهند.
 
وی افزوده که نگران است برخی کشورها بخواهند از رویکرد چین برای قانون گذاری در مورد اینترنت تقلید کنند. زاکربرگ که در یک جلسه ویدئو کنفرانس با تیری بریتون کمیسیونر صنعت اتحادیه اروپا شرکت کرده بود، در این مورد گفت: بی پرده بگویم، مدلی برای حکمرانی اینترنت از کشورهایی مانند چین در حال بیرون آمدن است که ارزش‌های بسیار متفاوتی در مقایسه با کشورهای دموکراتیک‌تر غربی دارد. ما برای ابداع مدل حریم شخصی خود مسئولیت مشترک داریم.
 
زاکربرگ در سال ۲۰۱۹ نیز به چین حمله کرده و گفته بود نباید به چین اجازه دهیم تا قوانینی را برای بقیه اینترنت تعیین کند.
 
وی مدعی شده بود فیس بوک با خودکامه شدن اینترنت مخالف است. لفاظی‌های زاکربرگ در زمینه احترام به حریم شخصی کاربران اینترنت در شرایطی صورت می‌گیرد که بارها اخباری در مورد فروش اطلاعات خصوصی کاربران فیس بوک توسط این شرکت به مؤسسه‌های ثالث و همکاری آن با پنتاگون برای تحقیقات اطلاعاتی و امنیتی در مورد کاربران این شبکه اجتماعی منتشر شده است.

تمامی نسخه های ویندوز در معرض آسیب پذیری قرار گرفتند

/در , , , , /توسط
مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: تمامی نسخه‌های ویندوز تحت تاثیر آسیب‌پذیری PrintDemon قرار گرفتند.
 
 به نقل از مرکز افتای ریاست جمهوری، آسیب‌پذیری PrintDemon در مولفه Windows Print Spooler قرار دارد، مولفه‌ای که مسئول اصلی انجام عملیات‌ چاپ در سیستم عامل ویندوز است.
 
این سرویس می‌تواند داده‌های چاپ را به چاپگرهای فیزیکی متصل به پورت USB، به چاپگرهای موجود در یک شبکه محلی یا اینترنت متصل به پورت TCP، یا به یک فایل محلی (در موارد نادری که کاربر می‌خواهد یک فرآیند چاپ را ذخیره کند) ارسال کند.
 
این آسیب‌پذیری یک نقص افزایش سطح دسترسی محلی است و یک مهاجم با سطح دسترسی محلی، حتی با امتیازات یک کاربر عادی، می‌تواند یک دستور PowerShell غیرمجاز را اجرا کند تا امتیازات مربوط به سطح ادمین را در کل سیستم عامل به دست آورد.
 
پژوهشگران امنیتی می‌گویند: این نقص تمامی نسخه‌های ویندوز را تحت تاثیر قرار می‌دهد و این مولفه قدیمی می‌تواند به منظور سوءاستفاده از مکانیزم داخلی Printer Spooler، بهره‌برداری شود.
 
پایگاه اینترنتی ZDNet نوشته است: این سرویس به گونه‌ای طراحی شده است که هر برنامه‌ای که می‌خواهد یک فایل را چاپ کند، بدون محدودیت به آن دسترسی داشته باشد.
 
مهاجم می‌تواند با ایجاد یک فرآیند چاپی که روی یک فایل چاپ می‌شود، به عنوان مثال یک فایل محلی DLL که توسط سیستم عامل یا برنامه دیگری استفاده می‌شود، از آسیب‌پذیری سوءاستفاده کند و هر فایل دلخواه را در سیستم عامل بازنویسی کند.
 
کارشناسان معاونت بررسی مرکز افتا می‌گویند: آسیب‌پذیری PrintDemon با دسترسی از راه دور و از طریق اینترنت قابل بهره‌برداری نیست و در بروزرسانی‌های ماه می منتشر شده توسط مایکروسافت، اصلاح شده است.