حملات سایبری و کمی آینده نگری

راحتی حمله سایبری در مقابل سایر گزینه های روی میز!

اجرای حمله سایبری به مراتب آسان تر از بهره گیری از سایر تجهیزات و ادوات نظامی نظیر سلاح هسته‌ای یا شیمیایی است. امروزه هر کشور یا حتی گروه و در مواردی حتی یک نفر به تنهایی و با اختصاص اندکی زمان و توان خود می تواند به درجه ای از توانمندی در زمینه خرابکاری سایبری دست یابد، در واقع وضعیت تا حد زیادی عکس مسیر گسترش سلاح‌های هسته‌ای است که معمولاً نیازمند سال ها تحقیق و کار، میلیاردها دلار هزینه و نیز دسترسی به استعدادهای علمی بسیار نادر و نیز مواد و تجهیزات کمیاب است.

برای ساخت یک سلاح سایبری، صرفاً به یک رایانه، ارتباط با اینترنت و نیز سطحی از مهارت در برنامه نویسی و دانش شبکه نیاز دارید. همچنین شناسایی مسیر شکل گیری سلاح های سایبری بسیار دشوار است.

به نظر می رسد فقط در صورتی که یک حمله سایبری تعداد زیادی قربانی داشته باشد یا اینکه تاثیر منفی بر تولید ناخالص ملی همه کشورهای فعال در حوزه جنگ سایبری بگذارد کشورهای ایالات متحده چین و روسیه می توانند با یک قانون جامع در این خصوص موافقت کند تا آن زمان حوزه فعالیت سایبری از قانون جنگل تبعیت خواهد کرد.

کمی آینده نگری بعد اتمام فصل امنیت سایبری این کتاب

این کتاب (صنایع آینده – الک راس – ترجمه صالح سپهری فر) سال ۲۰۱۵ نوشته شده و سال ۲۰۱۶ چاپ شده. اگر ما کتاب های به روز رو بیشتر هدف مطالعه قرار بدیم؛ آینده بهتری خواهیم داشت. چند مثال میزنم:
اگر سال ۲۰۱۶ یعنی ۴سال پیش بعد خوندن کتاب و کمی تحقیق بیتکوین میخریدیم؛ تو بدترین حالت سرمایتون به دلار بیش از ۳ برابر شده بود و به ریال ۱۲ برابر. یعنی هر ۱میلیون معادل ۱۲ میلیون اونم در پایینترین حالش!
بد نیست حالت معمول و معقول رو هم اشاره کنم. اگر اون زمان میخریدن و الان میفروختین بیش از ۷ برابر سود دلاری و بیش از ۲۸ برابر سود ریالی داشتید.
یعنی ۱۰میلیونتون ظرف ۴سال میشد ۲۸۰ میلیون تومان

فقط بیتکوین نیست؛ میدونین آینده شغلی مال کدوم کسب و کارها و مهارت هاست و اونجا برای خودتون یا فرزندتون سرمایه گذاری میکردین.
رباتیک؛ توالی ژنوم؛ و بیشتر از همه تا اینجا برنامه نویسی و امنیت سایبری بیشترین درخواست و درآمد رو دارن. همین الان برای مهاجرت هم بیشترین امتیاز حساب میشه.

پتانسیل بسیار مخرب فضای سایبری

بریده هایی از کتاب صنایع آینده – نوشته الک راس – ترجمه صالح سپهری فر

۱. وابستگی مخرب

نخستین و اصلی ترین دلیلی که سبب میشود فضای سایبری به صورت بلقوه بسیار مخرب باشد، وابستگی کامل ما به آن برای انجام امور مختلف زندگی است. پی بردن به سودمندی فناوری دیجیتال کار دشواری نیست. در مقابل، درک میزان وابستگی ما به آن و نیز درک پیامدهای ناشی از انکار وابستگی، کار دشواری است که البته این دشواری نیز باز هم به دلیل همان وابستگی باور نکردنی ما به آن است. (جیم گسلر James R. Gosler – کارشناس و مشاور ارشد سیا در حوزه سایبری)

۲. جی.پی.اس هم هک میشود!

جی پی اس قابل هک شدن است. هک شدن جی پی اس می تواند در برخی موارد خطر خاصی را به همراه نداشته باشد اما آیا می‌توان پیامدهای ناگوار آن را نادیده گرفت؟ برای مثال تصور کنید که کسی بتواند سامانه جی پی اس یک قایق گشت زنی نیروی دریایی را هک کرده و آن را به سمت موقعیت دشمن ببرد.

۳. سرنکونی پهپاد RQ-170 توسط ایران

آذر سال ۱۳۹۰ ایران موفق شد پهپاد ۲۵۰ میلیون دلاری امریکا رو با استفاده از حفره امنیتی در سامانه جهانی جی.پی.اس هک کنه که اتفاقا همون روزها تازه مقالش رو اینترنت منتشر شده بود.
اگر علاقه مند به جزئیات داستان هستین عبارت “تصرف پهپاد آرکیو ۱۷۰ آمریکا در خاک ایران” رو جستجو کنین.

اگه با سرچ عبارت rq 170 iran به نتایج جستجوی عکس توجه کنین تصاویری میبینین که با فلش روی پهپاد اشاره میکنن. این سایت ها تحلیل های اونهاست که چطور ایران موفق شده RQ170 رو رو زمین تا این حد سالم بنشونه. تحلیلاشون جالبه. (لینک جستجو) (لینک تحلیل)

سرچ عبارت rq 170 iran به نتایج جستجوی عکس

اینم بگم فقط هک جی پی اس نبود و به این سادگی نیست. کلا کار پیچیده ای بوده اما عنصر کلی همون جی پی اس و از خودگذشتگی عده ای خاص.
تا قبل این اتفاق اینطور گفته میشد که RQ170 مجهز به مواد منفجرس تا در صورت افتادن به دست دشمن منفجر بشه. اما شرکت سازنده (لاکهید مارتین) اونقدر بهش اعتماد داشت که اینکارو نکرد.

چکیده ای از امنیت سایبری – فصل چهارم کتاب صنایع آینده ترجمه صالح سپهری فر

بزرگترین حمله های سایبری چینی ها

بزرگترین حمله های سایبری صورت گرفته از سوی چین با هدف جاسوسی اقتصادی انجام شده است. در این حملات مایملک معنوی و اسرار تجاری شرکت های مختلف که می توانست به توسعه شرکت‌های دولتی یا مورد حمایت دولت چین کمک کند سرقت شده است. سیاست‌های سایبری چین هم راستا با سیاست‌های نظامی و اقتصادی این کشور تا حد زیادی بر کمک به شرکت‌های چینی برای پیشی گرفتن از رقبای شان استوار است.

ضرر ناشی از سرقت هکر های چینی

در سال ۲۰۱۳ ضرر سالانه ناشی از سرقت مایملک معنوی از سوی چین به بیش از ۳۰۰ میلیارد دلار ‌رسید. گفتنی است که این میزان با مجموعه کالاهایی که ایالات متحده هر سال به آسیا صادر می کند برابر است. مجموع ارزش مایملک معنوی ایالات متحده ۵ تریلیون دلار است که چین هر سال ۶ درصد از آن را به سرقت می برد.

ورشکستگی بخاطر هک

شرکت کانادایی Nortel Networks در حوزه مخابرات فعالیت دارد و در اوج خود بیش از ۹۴ هزار پرسنل داشت، خیلی زود گرفتار ورشکستگی شد که یکی از اصلی ترین دلایل این ورشکستگی جاسوسی اقتصادی صورت گرفته علیه این شرکت طی یک دهه بود. در فاصله سال های ۲۰۰۰ تا ۲۰۰۹ این شرکت که اعلام ورشکستگی کرده بود بارها و بارها اطلاعاتش مورد دستبرد سایبری چینی ها قرار گرفت و به این ترتیب بسیاری از مایملک معنوی این شرکت به دست شرکت‌های رقیب چینی (که محصولات مشابهی میفروختن) افتاد از نظر سرقت انبوه و گسترده اطلاعات هیچ کشوری به پای چین نمی رسد.

اولین بار که مقاله ای درمورد هک خودندم هک شدم!

یادمه اولین بار در مورد هک خوندم؛ باعث شد خودم هک بشم. بعدا با همون هکر دوست شدم که منو دوباره هک کرد
هنوز اسم ای دی یاهوشو یادمه. بخش امنیت سایبری تو این کتاب برای من جذابه و شاید برای شما نباشه؛ پس خیلی جاهای خوبشو نذاشتم حوصلتون سر نره. چیزی که کتابو خیلی لذت بخش کرده اینه که کتابه جدید و بروزیه و خبرهایی که میخوندم همه تو کتاب اومده. خوندن کتابها کمک میکنه خودمونو بهتر بشناسیم. الان که سرفصل های کتاب رو نگاه میکنم علاقم به فصل ربات ها و ژنوم انسان معمولیه. حتی فصل ارز دیجیتال و علاقه شدیدی به فصل چهارم امنیت سایبری دارم.

تجربه داشتن امنیت

یه نگاه به گذشته اینو ثابت میکنه؛ استارتاپ پونیشا تا وقتی که بودم طرف بیش از ۳۴هزار کاربر متخصص بود، این یعنی پر برنامه نویس و هکر و… و بارها تهدید به هک شدیم اما هیچ وقت نشدیم 😊
حتی باعث شد من یه حفره تو درگاه پرداخت بانک پاسارگاد پیدا کنم. کمتر کسی مثل نیما نورمحمدی (هرچند دلم ازش پره) منو درک کرد که؛ زمانی که برای کد زدن میزارم ارزشمنده.

مطالب برای استوری هام بود. گفتم اینجا هم داشته باشیمش. موفق باشید.

توکن CSRF فرم ها در لاراول

لاراول فرم ها رو در برابر حمله های CSRF محافظت میکنه. درخواست های سایت ها / سرور های دیگر از درخواست های یک کاربر اهراز شده جدا میشن. برای اینکار لاراول یک توکن CSRF برای هر کاربر ایجاد میکنه با اینکار چک میکنه آیا این درخواست برای همین کاربر هست یا نه؟!

برای اینکار هرزمان که ما یک فرم در HTML مینویسیم باید حتما یک توکن CSRF رو در فیلد های HTML از نوع input با مقدار توکن ایجاد کنیم. اینکار به میدلور لاراول این امکان رو میده صحت درخواست مارو بررسی کنه. برای راحتی تنها نیاز به نوشتن @csrf  داخل فرم بلیدمون داریم.

<form method="POST" action="/profile">
    @csrf
    ...
</form>

همچنین میتونیم این توکن رو در هدر صفحه هم ارسال کنیم:

<meta name="csrf-token" content="{{ csrf_token() }}">

یا توسط جاوا اسکریپت:

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

اطلاعات بیشتر درباره CSRF Protection