مطالب پربازدید

1403/08/29 - 07:56- هوش مصنوعي

هوش مصنوعی و دانش‌آموزان؛ تحولی که باید برای آن آماده شد

آموزش و پرورش، به خصوص مدارس به عنوان مهم‌ترین بستر تربیت نسل آینده، نقش کلیدی در آماده‌سازی دانش‌آموزان برای ورود به دنیای هوش مصنوعی دارد. اکنون هوش مصنوعی برای دانش‌آموزان یک انتخاب نیست، بلکه یک ضرورت است.

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

انتشار شده در تاریخ 1398/01/24 - 14:18

کشف 264 آسیب‌پذیری در نشست سایبری سنگاپور

شرکت دراپ‌باکس، 264 آسیب‌پذیری در نشست کشف باگ سنگاپور یافت.

به گزارش کارگروه امنیت سایبربان؛ دراپ‌باکس (Dropbox)، با اختصاص 319 هزار و 300 دلار، در نشست یک روزه کشف باگ در سنگاپور، توانست 264 آسیب‌پذیری بیابد. در این نشست، هکرها از 10 کشور جهان، گردهم آمده بودند. این رویداد، به میزبانی پلتفرم افشای شکاف‌های امنیتی هکروان (HackerOne) برگزار شد. در این نشست، 45 عضو از کشورهایی مانند: ژاپن، هند، استرالیا، هنگ کنگ و سوئد حاضر بودند که برخی از آن‌ها، 19 سال سن داشتند و برای نفوذ به سیستم‌های هدف دراپ‌باکس، در این شهر حضور یافتند.

پیش از این، فروشندگان ذخیره‌سازی داده‌های ابری، بخش‌هایی از حمله شناسایی شده به‌وسیله اعضای هکروان را به نمایش گذاشتند و چندین اشکال بالقوه را قبل از رویداد زنده ارائه کردند. به گفته سخنگوی شرکت، تمرکز روی دراپ‌باکس و خرید پلتفرم کاری دیجیتال اخیرش به نام «HelloSign» بود.

سخنگوی دراپ‌باکس گفت که شرکت درحال حاضر، برنامه شکار باگ (bug bounty) را در دستور کار خود دارد و فرآیندی برای بررسی نقص‌های گزارش شده از این ابتکارات، تعیین شدت آن‌ها و اقدامات لازم ایجاد کرده است.

وی در گفتگویی اعلام کرد:

مانند همه برنامه‌های شکار باگ امیدواریم که از دیدگاه‌های منحصربه‌فرد و تلاش‌های شرکت کنندگان، به منظور کمک به تداوم امنیت محصولاتمان استفاده کنیم. درحالی که اکنون یکی از فراگیرترین زمینه‌های صنعت را در اختیار داریم. آن را برای رویداد زنده هک در سنگاپور گسترش دادیم. دراپ‌باکس قویاً تمام شرکت‌ها را به سرمایه‌گذاری در برنامه شکار باگ، تشویق و به این برنامه به عنوان نشانه تکامل امنیت فنی نگاه می‌کند.

هکروان از زمان تأسیس در سال 2012، بیش از 1300 برنامه‌نویس را گردهم آورده و حداقل 49 میلیون دلار به هکرها پرداخت کرده است. درحال حاضر بیش از 390 هزار هکر در شبکه این شرکت ثبت شده اند. این شرکت در سنگاپور، با مشتریانی مانند: وزارت دفاع، «GovTech» و «Grab» همکاری می‌کند.

مارتین میکوس (Marten Mickos)، مدیرعامل هکروان ابراز امیدواری كرد كه تا پایان سال 2020، مبلغ یک‌صد میلیون دلار از برنامه های شکار مختلف به‌دست خواهد آمد. این صحبت، همزمان با چشم انداز وی، مبنی بر همکاری با یک میلیون هکر در پلتفرمش بیان شد. انتظار می‌رود که این شرکت، به شناسایی مشتریان و رفع بیش از 200 هزار آسیب‌پذیری، ازجمله 16 هزار باگ بحرانی کمک کند.

7 ماه پیش، شرکت هکروان، دفتر خود را در سنگاپور افتتاح کرد که به عنوان دفتر مرکزی در آسیا-اقیانوسیه فعالیت و از دیگر مشتریان در چین، استرالیا و تایلند پشتیبانی می‌کند.

میکوس در پاسخ به تفاوت خدمات این شرکت با دیگر شرکت‌های مشاوره امنیتی اظهار داشت:

اگر کسب و کارها، مشکل خاصی داشته باشند، نقش مشاوران ثالث، پررنگ‌تر می‌شود. قدرت جامعه ما، تنوع آن است. هکرهای ما، بدون تعصب هستند و می‌دانند که درصورت پیدا کردن مشکل، جایزه دریافت می‌کنند. بنابراین به کارشان ادامه می‌دهند.

لوک تاکر (Luke Tucker)، مدیر ارشد جامعه و محتوای هکروان توضیح داد که این شرکت، به منظور تعیین تعداد هکرهای حاضر در یک رویداد، با مشتریان خود همکاری می‌کند. مشتریان نیز تشویق می‌شوند تا تیم امنیتی خود را در کشف باگ شرکت دهند.

تاکر خاطرنشان کرد:

مشتری می‌تواند مقدار باگ‌های مدنظرش را تعیین و هکروان نیز کمیسیون پرداخت را دریافت کند. تا به امروز، بالاترین میزان پرداختی در رویدادی یک روزه، 400 هزار دلار بوده است و برنامه‌های چندروزه می‌توانند شاهد جوایزی بیش از 500 هزار دلار باشند. مشتریان هکروان نیز اشتراک می‌خرند؛ تا خدماتی مانند تیم رده‌بندی شده خود را – مسئول بررسی و اعتبارسنجی اشکالات کشف شده در یک برنامه – دریافت کنند.

برای انتخاب هکرهای شرکت کننده در برنامه، هکروان موقعیت هکر را در شرکت، برای ارزیابی انسجام و مشخصات وی، ازجمله دقت هکرها و تأثیر اشکالات موجود می‌سنجد. تاکر معتقد است که هکروان بازی‌های پرچم طراحی شده برای شناسایی مهارت‌های هکرها را در یک حوزه خاص مانند برنامه‌های تلفن همراه اجرا می‌کند.

در میان افراد حاضر در رویداد کشف باگ سنگاپور، جک کیبِل (Jack Cable)، دانشجوی فعلی علوم رایانه در دانشگاه استنفورد نیز به چشم می‌خورد. کیبِل 19 ساله، یکی از اعضای هکروان در 3 سال گذشته بود که در بیش از یک‌صد برنامه کشف اشکال برای گوگل، فیس‌بوک و وزارت دفاع آمریکا شرکت کرد. وی تا به امروز، بیش از 250 آسیب‌پذیری ازجمله بیش از 30 مورد در نیروی هوایی ایالات متحده کشف کرده است. یافته‌های وی، مربوط به تحصیلات دانشگاهی‌اش بودند؛ اما کیپل از بیان میزان موارد جمع‌آوری شده امتناع می‌ورزد. پیش از برگزاری رویداد هک دراپ‌باکس، وی 10 ایراد را شناسایی کرده بود.

کانگ آنگ (Kaung Htet Aung)، مهندس امنیتی 26 ساله و عضو هکروان –که از میانمار در این رویداد شرکت کرده است– در بیش از 40 برنامه ازجمله اجلاس زنده نیویورک، از 2 سال قبل و پیوستنش به شرکت نیز در دراپ‌باکس حاضر بود. وی تاکنون یک‌‍صد و 5 آسیب‌پذیری پیش از شروع این رویداد کشف کرده است.

کانگ –که تخصص خود را در رشته مهندسی کامپیوتر دانشگاه ملی سنگاپور گرفت– گفت که مهارت‌های هک را با شرکت در مسابقات «Flag games» کسب کرده است.

کیبِل، در پاسخ به ضعیف‌ترین و قوی‌ترین سیستم‌ها در برابر نفوذ اعلام کرد:

این مسئله، به تکامل سامانه‌ها و جهت‌گیری‌های امنیتی سازمان بستگی دارد. صرف‎نظر از این که هر سازمانی آسیب‌پذیری‌هایی دارد. اگر با دقت بررسی کنید، این نقص‌ها را پیدا خواهید کرد. آنچه بسیار اهمیت دارد، این است که چگونه سازمان‌ها به نواقص کشف شده، واکنش نشان می‌دهند. کسب و کارها، باید نواقص سیستم‌های خود را شناسایی و آن‌ها را رفع کنند. تنها در این صورت، امنیت دستگاه‌ها حفظ می‌شود.

میکوس ضمن تأیید صحبت‌های کیبِل اظهار داشت:

هر سیستم، نواقصی دارد و شرکت‌ها باید همیشه برای رفع آن‌ها تلاش کنند. نباید روی بیشترین جایی که آسیب‌پذیر هستید، تمرکز کنید؛ بلکه باید روی جایی تمرکز داشته باشید که ارزش‌هایی مانند داده‌های مشتری، یا اطلاعات پزشکی درخطر هستند. به عنوان مثال، دستگاه‌‎های اینترنت اشیا، معمولاً ضعیف محافظت می‌شوند؛ اما اغلب حاوی اطلاعات بسیار حساس نیستند.

کیبِل و کانگ، هر دو، از شرکت‌ها خواستند؛ تا همیشه برای حفظ امنیت، از نقطه شروع و در طول کل چرخه عمر توسعه نرم‌افزارهایشان تلاش کنند.

دانشجوی فعلی علوم رایانه دانشگاه استنفورد توضیح داد:

وقتی کسب و کارها، نگرانی مسائل دیگر را دارند، این کار سخت خواهد بود؛ اما آن‌ها باید به واسطه توسعه نرم‌افزارها و اقدامات پیشگیرانه، موقعیت امنیتی بهتری را به‌وجود آورند.

کانگ با تأیید سخنان او گفت:

سازمان‌ها باید آزمایش‌ها و بازنگری‌های امنیتی را به عنوان بخشی از جدول زمانی توسعه نرم‌افزارهایشان انجام دهند. با این توسعه، امنیت در زمان مناسب به‌وجود می‌آید و اطمینان حاصل می‌شود که ویژگی‌های اضافی ناایمن تولید نشده‌اند.

به گفته تاکر، 4، یا 5 مورد نمونه پیشنهاد ازسوی شرکت‌های حاضر در برنامه‌های کشف نقص، به اعضای هکروان ارائه شده است. دراپ‌باکس نیز اعلام کرد که به‌شدت روی ایجاد تیم امنیتی خود و آموزش بهترین شیوه‌های امنیتی و چشم‌انداز تهدید فعلی به کارکنانش سرمایه‌گذاری می‌کند. این کار باعث می‌شود هر فردی در سازمان، آمادگی بهتری در برابر حملاتی نظیر اسپیر فیشینگ و مهندسی اجتماعی داشته باشد.

سخنگوی شرکت دراپ‌باکس، از صحبت در مورد میزان هک‌های شناسایی و مسدودشده امتناع کرد؛ اما شرح داد که پایگاه کاربری جهانی، بیش از 500 میلیون نفر به معنای چالش‌های پیش روی دیگر شرکت‌ها در جهان خواهد داشت. وی همچنین جزئیات تلاش‌های هک انجام شده با مبدأ آسیا، یا دارنده کاربرانی را در این قاره فاش نکرد.

دراپ‌باکس برای سال مالی 2018 درآمد 1.39 میلیارد دلاری –26 درصد بیش از سال قبل– ثبت و به‌طور متوسط، 117.64 دلار درآمد حاصل از هر کاربر پرداختی را جمع‌آوری کرد.