داشتم فهرست ۱۰ اتفاق بزرگی که پیش‌بینی شده تا سال ۲۰۱۸ در دنیای IT رخ می‌ده رو می‌خوندم (متن انگلیسی و ترجمه فارسی که البته مقایسه اون‌ها هم خالی از لطف نیست اما بگذریم) … هشتمی راجع به استفاده از LoJack بود؛ این که شاید بعضی آدم‌ها برای امنیت خودشون قبول کنن که یک دستگاه LoJack در بدنشون جاسازی بشه تا قابل ردیابی باشن.

کلمه LoJack در واقع به عنوان متضاد کلمه Hijack به معنی دزدیدن ساخته شده (و به طور دقیق‌تر به عنوان متضاد کلمه Carjack به معنی ماشین‌دزدی به کار می‌ره). شرکت تولیدکننده LoJack مدعیه که اگر کسی ماشینش رو به این وسیله مجهز کنه، در صورت دزدیده شدن ماشین، پلیس تا ۹۰ درصد موارد می‌تونه اون رو ردیابی کنه و به صاحبش برگردونه.

البته LoJack کاربردش رو از ماشین‌ها فراتر برده. افرادی که به آلزایمر دچار هستن، یا افرادی که محرومیت حضور خارج از منزل دارن با استفاده از این قطعه قابل ردیابی هستن تا اگر در جایی که نباید حاضر شدن، به سرعت قابل پیدا کردن باشن. جالب‌تر این که همین ایده به لپ‌تاپ‌ها هم سرایت کرده و برنامه‌هایی هست که به کمک اون‌ها می‌شه لپ‌تاپ سرقت شده رو از طریق اینترنت ردیابی کرد!

ایده ردیابی آدم‌ها با استفاده LoJack شاید کمی عجیب به نظر برسه اما یادمون نره که همین احساس در مورد RFID هم وجود داشت، در حالی که امروزه از RFID نه فقط برای شناسایی و ردیابی دام‌های یک دامداری یا پرداخت خودکار عوارض توسط ماشین‌ها در بزرگراه‌ها، که برای شناسایی بیمارها استفاده می‌شه. توی فیلم‌های خارجی (!) دستبندی که دور دست بیمارهای بیمارستان می‌بندن رو دیدین؟ این دستبند به RFID مجهزه!

یواش یواش داریم وارد دنیای ماتریکس می‌شیم!

تصویر یک پیرمرد طراحی شده در بلندر

باور کردن این که تصویر پیرمرد، نقاشی نباشه سخته و باور کردن این که این پیرمرد کاملاً مجازی، سه بعدی باشه خیال‌انگیزه! این پیرمرد در برنامه رایگان و منبع باز (open source) طراحی سه بعدی بلندر (Blender) طراحی شده و کاملاً سه بعدی و قابل چرخش و حرکته! البته هنوز ما هیچ کدوم فیلم انیمیشنی که درش یک آدم با این همه ظرافت طراحی شده باشه سراغ نداریم اما شاید به زودی به این مرحله هم برسیم.

بلندر رقیب جدی نرم‌افزارهایی مثل Maya و ۳ds Max و نظایر اون‌ها محسوب می‌شه. این دو نرم‌افزار که الان هر دو به شرکت Autodesk تعلق دارن (همون شرکتی که نرم‌افزار معروف مهندسی «اتوکد» رو هم می‌سازه) الان به طور گسترده در صنعت انیمیشن و بازی‌های رایانه‌ای کاربرد دارن.

اگر نگاهی به نمونه تصاویر طراحی شده توسط بلندر بندازید متوجه قابلیت‌های بالای این نرم‌افزار می‌شید. اما توانایی بلندر مسلماً محدود به تصاویر ثابت نیست. اگر چه هنوز هیچ فیلم معروفی با استفاده از بلندر طراحی نشده اما چندین فیلم کوتاه و بلند با این برنامه ساخته شده که البته شهرت خیلی زیادی ندارن. در صفحهٔ فیلم‌های سایت بلندر می‌تونید تعدادی از فیلم‌های کوتاه و تریلرهای فیلم‌های بلند رو پیدا کنید.

زمانی که من جوون بودم (!) بلد بودن کار با فتوشاپ یه امتیاز ویژه بین آدم‌های همسن من محسوب می‌شد. شاید تا چند سال دیگه بلد بودن کار با بلندر چنین امتیازی محسوب بشه!

اخیراً در وبلاگ‌های فارسی بحث در مورد اینترنت نامرئی (Invisible Web) خیلی بالا گرفته. اینترنت نامرئی، وب پنهان یا وب عمیق (Deep Web) همگی به معنای قسمتی از اطلاعات موجود در شبکه جهانی اینترنت هست که توسط موتورهای جستجو نمایه نمی‌شه. اصطلاح مقابل اون وب سطحی (Surface Web) هست که اشاره به بخشی از اطلاعات وب داره که توسط موتورهای جستجو نمایه می‌شه.

موتورهای جستجو وقتی یک صفحه رو در وب پیدا می‌کنن، با استفاده از برنامه «خزنده وب» یا Web crawler شون اطلاعات اون صفحه رو استخراج و در پایگاه اطلاعاتی خودشون ذخیره می‌کنن. در حالی که موتورهای جستجو روی هم چیزی بالغ بر ۶۰ میلیارد صفحه در وب رو نمایه کردن (آمار ۲۰۰۷)، محققین اعتقاد دارن که این مقدار تنها سهم کوچکی از کل اطلاعات موجود در وب رو تشکیل می‌ده. قسمت قابل توجهی از اطلاعات موجود در وب، در دیتابیس‌ها یا به شکل‌هایی قرار گرفته که توسط موتورهای جستجو نمایه نمی‌شن.

مطالعه‌ای در سال ۲۰۰۰ (رک گزارش مرتبط در سال ۲۰۰۱) نشون داده که حجم اطلاعات موجود در وب بالغ بر ۷۵۰۰ ترابایت هست (هر ترابایت ۱۰۲۴ گیگابایته) و این در حالیه که وب سطحی (قابل جستجو) تنها ۱۶۷ ترابایته! یا در مقایسه با ۶۰ میلیارد صفحه‌ای که در سال ۲۰۰۷ می‌گفتن در موتورهای جستجو هست، آمار سال ۲۰۰۰ نشون داد که کل صفحه‌های موجود در وب نزدیک به ۵۵۰ میلیارد صفحه بوده!

البته قسمتی از وب پنهان تعمداً پنهان هست. مثلاً اطلاعات ای-میل شما باید پنهان باشه و فقط خودتون بتونید با وارد کردن نام کاربری و کلمه عبور به اون‌ها دسترسی داشته باشید. با این حال قسمتی از اطلاعات به این خاطر توسط موتورهای جستجو نمایه نمی‌شه که اون‌ها صفحه‌های وب رو فقط با دنبال کردن لینک‌ها پیدا می‌کنن. در نتیجه اگر مثلاً آدرس صفحه‌های یک سایت به صورت http://www.domain.com/page?id=2 باشه و به صفحه‌های page?id=2 و page?id=3 لینک باشه اما به page?id=1 لینکی وجود نداشته باشه، آخری در وب پنهان باقی می‌مونه.

برای حل مشکل اخیر، پروژه‌هایی ایجاد شدن که تلاش می‌کنن که تمام صفحه‌های موجود در دیتابیس‌های مرتبط با وب رو پیدا کنن (مثلاً با قرار دادن اعداد مختلف در قسمت id در آدرس بالا) و ثبت کنن. مثالش پروژه DeepPeep هست که توسط محققان دانشگاه یوتا در حال انجامه و هدفش اینه که تا ۹۰ درصد اطلاعات موجود در وب رو نمایه کنه. پروژه‌هایی از این دست باعث شدن که به قول ویکی‌پدیای انگلیسی (!)، مرز بین وب پنهان و وب پیدا کمرنگ بشه. مثلاً در مقایسه با آمار سال ۲۰۰۷ (که می‌گفت ۶۰ میلیارد صفحه در کل موتورهای جستجو نمایه شده) الان آمار گوگل رو (به تنهایی) داریم که می‌گه بالای ۲۵۰ میلیارد صفحه رو در خودش داره. (ابزارهای بیشتر برای جستجو در وب نامرئی این‌جا معرفی شدن)

با این حال مشکل جدیدی که داریم اینه که تخمین زده شده که حجم تولید اطلاعات دیجیتال تدریجاً از حجم دستگاه‌های ذخیره‌سازی پیشی می‌گیره! مثالی که در این لینک آخری اومده کاملاً گویاست: در فروشگاه Wal-Mart در هر ساعت بیش از یک میلیون تراکنش انجام می‌شه که به معنی جابه‌جایی بالغ بر ۵ پتا بایت (هر پتا بایت ۱۰۲۴ ترابایته که قبلاً معرف حضورتون هست!) اطلاعات هست! (جهت مقایسه: گوگل در روز نزدیک به ۲۴ پتابایت داده رو پردازش می‌کنه منابعش هم موجوده!)

نیشگون اعتقاد داره که سهم وب فارسی/ایرانی نه تنها در وب مرئی خیلی پایینه، که در وب نامرئی پایین‌تر هم هست!

تلویزیون‌های سه بعدی – مطلب خودش کلی ارزش افزوده داره! هم راجع به مفهوم تصاویر سه بعدی این تلویزیون‌ها و چگونگی ایجادشون می‌خونید، هم راجع به این که در جام جهانی بعدی قراره چند بازی به این شکل فیلمبرداری و پخش بشه! البته من کماکان معتقدم به این تکنولوژی باید گفت «شبه سه بعدی». سه بعدی واقعی اونه که چشم آدم بتونه رو هر جا خواست فوکوس باشه، و تکنولوژی موجود این خاصیت رو نداره.

قرص خواب آیفون – یادمه یک زمانی یک برنامه روی گوشی‌های نوکیا اومده بود که می‌گفتن یه صدای سوت ما فوق صوت پخش می‌کنه که باعث می‌شه پشه‌ها دور بشن. ملت هم گوشی رو می‌ذاشتن بالا سرشون و شب تا صبح باطری خالی می‌کردن! حالا آیفون هم یه برنامه مرتبط با خواب داده که در سه مرحله شما رو به عالم هپروت می‌بره!

موتور جستجوی تصویریاب – شما یک تصویر آپلود کنید بدید بهش، این بهتون تصویرهای مشابهی که توی وب پیدا کرده رو نشون می‌ده! باحاله، نه؟

زن‌ها مشاغل مرتبط با IT را ترک می‌کنند – در این مطلب اومده که زن‌ها بیش از ۴۶ درصد مشاغل در آمریکا رو دارن ولی سهم اون‌ها در مشاغل مرتبط با IT از ۴۱ درصد در سال ۱۹۹۶ به ۳۵ درصد در سال ۲۰۰۲ رسیده و در سال‌های بعدی با شتاب بیشتری افت کرده. نکته مطلب جایی هست که اشاره می‌شه که چون سرعت تحولات در حوزهٔ IT بالاست، غیبت زن‌ها (مثلاً به علت استفاده از مرخصی زایمان) باعث می‌شه که وقتی سر کار بر می‌گردن با شرایط متفاوتی مواجه بشن و استرس بالا داشته باشن (و بالتبع امنیت شغلی پایین‌تر). سوال اینه که آیا در مشاغل دیگه که تغییرات سریع دارن (مثلاً مشاغل آکادمیک، یا حوزه بهداشت و درمان یا …) هم چنین چیزی مشاهده می‌شه یا نه.

تبدیل بدن شما به صفحهٔ لمسی – یکی از مطالب جالب اخیر وبلاگ یک پزشک که راجع به حقیقی شدن یکی از ایده‌های علمی-تخیلی هستش! تصور مردمی که خودشون رو می‌خارونن (ر.ک آخرین پاراگراف متن لینک شده) واقعاً خنده‌آور بود!

پروفایل شما نشانه شخصیت شماست – درست فهمیدید! دیگه این «ارائه بلیط» نیست که نشانه شخصیت شماست، بلکه پروفایل شما در شبکه‌های اجتماعی هست که نشانه شخصیت شماست! راستی می‌دونستید که واژهٔ Profile به معنی نیمرخ هستش؟ پروفایل شما نیمرخی از چهرهٔ حقیقی شماست.

عکس هفته: انشا – خداییش چقدر خوب مطلب روبسط داده و نتیجه‌گیری کرده!

چهل و دو – قیمت پهنای باند از سال ۲۰۰۸ تا ۲۰۰۹ چهل و دو درصد کاهش داشته؛ آیا شما کاهش قیمتی حتی در حدود نصف این رو در اشتراک اینترنت خودتون داشتید؟

چهل و سه – بیش از ۴۳ درصد از مشاغل در سال ۲۰۰۹ بخشی و یا تمام اطلاعات محرمانه خود را در اثر حملات سایبر و هک شدن از دست داده‌اند! آیا شما می‌دونستید که به احتمال ۴۳ درصد، اطلاعات شغلی شما، وضعیت کاری شما و … متاثر از حملات سایبر بوده؟ یا مثل همه فکر می‌کردید که این بچه بازی‌ها مهم نیست و نهایتاً در زندگی دو سه درصد آدم‌ها اثر داره؟

نرم‌افزار ۱۱ مگابایتی بهشت زهرا – آیا شما می‌دونستید که بهشت زهرا اطلاعات مرده محترم شما رو به رایگان و در قالب یک نرم‌افزار ۱۱ مگابایتی برای موبایل منتشر کرده تا همه بتونن جای قبر اموات رو راحت‌تر پیدا کنن؟!

کلیک‌دزدی – آیا شما می‌دونستید که در نسل جدیدی از هک مبتنی بر مهدسی اجتماعی، به جای ماحی‌گیری از کلیک‌دزدی استفاده می‌شه؟

کپچا (CAPTCHA) که مخفف «آزمون همگانی کاملا خودکارشدهٔ تورینگ برای مجزا کردن انسان و رایانه» هست رو همه می‌شناسیم. تصاویر کوچکی با نوشته‌های کج و معوج و زمینه خط خطی که شما به عنوان انسان می‌تونید بخونیدشون اما کامپیوترها نمی‌تونن این کار رو بکنن. از این ابزار در مواقعی استفاده می‌شه که می‌خوایم فقط دسترسی به یکی از خدمات وب رو محدود به انسان‌ها بکنیم (مثلاً ساختن اکانت در سایت‌ها) و جلوی سوء استفاده از خدمات رو توسط برنامه‌های مخرب کامپیوتری (موسوم به ربات یا bot) که مثلاً اقدام به ساختن اکانت با سرعت و مقدار بالا می کنن بگیریم. در لاگین به سایت‌های مختلف هم از کپچا استفاده می‌شه تا جلوی حدس زدن پسورد توسط برنامه‌های کامپیوتری که در هر ثانیه ده‌ها پسورد رو چک می‌کنن بگیرن.

مثل خیلی بحث‌های امنیتی دیگه، این‌جا هم باز بحث «نسبی» هست. ساختن کپچا یک تیغ دولبه است. اگر خوندنش خیلی سخت باشه کاربرهای واقعی (انسان) رو دچار مشکل می‌کنه و اگر راحت باشه برنامه‌های کامپیوتری جدیدتر موفق به خوندنش می‌شن. به عنوان مثال، شرکت یاهو اوایل از برنامه‌ای موسوم به EZ-Gimpy برای تولید کپچا استفاده می‌کرد که نوشته‌ها رو پیچ‌دار (warped) نشون می‌داد. با این حال در سال ۲۰۰۲ دو نفر از دانشگاه سایمون فریزر کانادا موفق شدن برنامه‌ای بسازن که با دقت ۹۲ درصد این کپچاها رو می‌خوند!

روش دومی که برای دور زدن کپچاها استفاده می‌شد، روش سوء استفاده از نیروی انسانی بود! به این شکل که شما در سایت ایکس داری ثبت نام می‌کنی و یه کپچا بهت نشون می‌ده (که در اصل از سایت ایگرگ گرفته). شما کپچا رو به درستی پر می‌کنی اما سایت ایکس اصلاً قصد نداره که از کپچا برای منظور اصلی (یعنی اطمینان از انسان بودن شما) استفاده کنه، بلکه هدفش چیز دیگه‌ای بوده: شما به رایگان براش کپچای سایت ایگرگ رو حل کردی! به مرور زمان این سایت می‌تونه قسمت عمده‌ای از کپچاهای سایت ایگرگ رو حل شده داشته باشه و بعد از این اطلاعات برای حمله به سایت دوم استفاده کنه. در سال ۲۰۰۷ یه ویروس اینترنتی در اومد که از کاربرها می‌خواست کپچاهایی رو حل کنن تا به ترتیب در مراحل نمایش چند عکس بی‌تربیتی جلو برن! پاراگراف اول این لینک آخری از اسوشیتد پرس واقعاً خوندنیه!

این روش دوم اما به صورت مثبت هم استفاده می‌شه. پروژهٔ معروف ریکپچا که توسط دانشگاه کارنژی ملون آمریکا راه‌اندازی شد (و بعداً توسط شرکت گوگل خریداری شد) با این هدف راه‌اندازی شد که به جای یک کپچا دو تا کپچا به مردم نشون داده بشه. یکی اصلی هست (اونی که اگر درست حل نکنید نمی تونید به مرحلهٔ بعدی فرم برید) و دومی صرفاً یک کلمه که برنامه‌های پویشگر متن (OCR) نتونستن بخوننش. معمولاً کلمه از متن کتاب‌های اسکن شده می‌آد. شما عملاً نمی‌دونید که کدوم کلمه کدومه و مجبورید هر دو کلمه رو حل کنید. با این کار، هم کپچای اصلی رو حل کردید، هم یک کلمه‌ای که با برنامه‌های OCR نشده بود بخونن رو وارد کردید. به مرور زمان و با توجه به تکرارها، می‌شه اطمینان حاصل کرد که کلمه‌های مورد نظر توسط کاربرها به درستی وارد شدن. با توجه به این که روزی بیش از سی میلیون بار از ریکپچا در سایت‌های مختلف استفاده می‌شه (در کل بیش از دویست میلیون انواع کپچا در روز حل می‌شه)، نتیجهٔ کار شگفت‌انگیزه! پروژهٔ ریکپچا فعلاً مشغول دیجیتال کردن نسخه‌های قدیمی نیویورک تایمز هست (لینک). تا الان بیست سال از این نشریه دیچیتال شده و انتظار می‌ره که ۱۱۰ سال باقی مونده هم تا پایان ۲۰۱۰ دیجیتالیزه بشه (لینک)!

ریکپچا رایگانه. علاوه بر کاربرد اصلی‌اش یک نوع خدمات جانبی هم توسط ریکپچا ارائه می‌شه به اسم Mailhide که برای مخفی کردن ای-میله. توضیح ندم بهتره؛ فقط این لینک رو ببینید و کپچا رو حل کنید تا به آدرس ای-میلی که مخفی کردم برسید. با توجه به این که یکی از علل دریافت اسپم، کشف آدرس ای-میل شما در اینترنت (مثلاً روی سایت شخصی شما) هست، توصیه می‌شه که از روش‌هایی مثل این برای جلوگیری از دست‌رسی ربات‌ها به این آدرس‌های ای-میل استفاده بشه.

مطابق یکی از قوانین کپی رایت آمریکا به اسم Digital Millennium Copyright Act دور زدن کپچا غیر قانونیه. در سال ۲۰۰۷ Ticketmaster بر اساس همین قانون از یک شرکت نرم‌افزاری شکایت کرد که نهایتاً در سال ۲۰۰۸ رای دادگاه صادر شد و شرکت قانون‌شکن بیش از ۱۸ میلیون دلار جریمه شد.

اگر چه رقبایی برای کپچای متداول (نوشته‌های کج و معوج) به وجود اومده اما هنوز هیچ کدوم جای کپچا رو نگرفتن. یکی از روش‌ها اینه که یه عبارت منطقی می‌دن که شما حل کنید (مثلاً what is the result of 2 + 4 که شما باید وارد کنید ۶ و خلاص!) این عبارت‌ها از اون‌جا که معمولاً خیلی الگوهای ساده‌ای دارن به سادگی توسط کامپیوتر قابل شناسایی و حل هستن. رقیب دیگه پروژه Asirra بود که مایکروسافت علم کرد و با همکاری سایت Petfinder مجموعه‌ای از عکس‌های سگ و گربه به جای کلمات استفاده شد. ظرف مدتی نه چندان طولانی محققان دانشگاه استنفورد آمریکا تونستن نرم‌افزاری تولید بکنن که بیش از ۸۲ درصد تصاویر رو به درستی در گروه «سگ» یا «گربه» طبقه‌بندی می‌کنه.

یک تکنولوژی دیگه هم بود که گوگل قبل از خریدن ریکپچا روش کار می‌کرد، به این شکل که تصاویری به کاربر نشون داده می‌شد و ازش خواسته می‌شد که جهت «بالا» رو توش تشخیص بده (بعضی تصاویر ۹۰ درجه یا بیشتر چرخونده شده بودن). این تصاویر شامل چیزهای تابلو مثل آسمون، صورت یا متن نبود و در نتیجه تشخیص جهت «بالا» در عکس توسط کامپیوتر ممکن نبود اما تشخیص اون توسط انسان راحت بود. البته این تکنولوژی هنوز به طور گسترده آزمایش نشده.

بحث رو با یک خاطره به پایان می‌برم: چند ماه پیش یک سایت خیلی ساده (کلاً در حد ده صفحه) برای کاری طراحی کردم. کاربرها همه از قشر تحصیل کرده بودن. اون‌هایی که با من در تماس بودن، همه از این که در صفحهٔ لاگین سایت یه کپچای خیلی ساده گذاشته بودم کلی هیجان زده شده بودن و عده‌ای هم در روزهای اول موفق به لاگین نمی‌شدن!

کوین میتنیک یکی از سرشناس‌ترین هکرهای دنیا است. اولین بار در سن دوازده سالگی تونست سیستم پانچی اتوبوس‌های لوس آنجلس رو هک کنه و با استفاده از ترانسفرهایی که در سطل آشغال پیدا می‌کرد هر روز مفتی سوار اتوبوس بشه! در دبیرستان کوین تونست روشی رو ابداع کنه که برای تلفن‌های راه دور هزینه‌ای نپردازه (با ایجاد اختلال در شبکه مخابرات).ا ون همین‌طور پیشرفت کرد تا نهایتاً در اواخر قرن بیستم به صدر فهرست افراد wanted به خاطر جرایم رایانه‌ای رسید و نهایتاً در سال ۱۹۹۵ دستگیر شد!

کوین بعدها تبدیل به یک هکر کلاه سفید شد (یعنی کسی که به برای سوء استفاده، که برای کمک به ارتقای امنیت در دنیای رایانه‌ها دست به هک می‌زنه). دو سال بعد از آزاد شدنش، یعنی در سال ۲۰۰۲ کوین کتابی نوشت به نام «هنر فریفتن» و در اون اعلام کرد که کدوم تکنیک هک کردن رو بیشتر از بقیه استفاده کرده و بیشتر از بقیه ازش نتیجه گرفته: «مهندسی اجتماعی»!

مهندسی اجتماعی به طور خلاصه به این معنیه که هکر به جای این که کلی زحمت بکشه و با به کار گیری دانش فنی بالا و ابزار پیچیده، از یک نقطه ضعف فنی استفاده کنه تا (مثلاً) یک سایت رو هک کنه، به جاش خیلی ساده سعی می‌کنه که صاحب سایت رو فریب بده و اطلاعاتی رو ازش بگیره که منجر به حدس زدن پسورد ادمین سایت بشه! مهندسی اجتماعی، یکی از شایع‌ترین روش‌های هک هست!

یه مثال ساده (که واقعاً اتفاق افتاده) قضیه رو روشن می‌کنه: یک هکر بر می‌داره به تمام داخلی‌های یک شرکت زنگ می‌زنه و می‌گه که از technical support تماس گرفته چون بهش گفتن که کسی مشکل فنی با کامپیوترش داره. از بین چندین نفر، یکی‌شون پیدا می‌شه که واقعاً یه مشکل با کامپیوترش داره. هکر در حالی که داره اعتمادش رو جلب می‌کنه فرد رو مرحله به مرحله جلو می‌بره و بهش دستورهای پیچیده‌ای می‌گه که تایپ و اجرا کنه. در خلال این دستورها، مثلاً یک برنامه keylogger روی کامپیوتر قربانی نصب می‌شه و بعد هکر ازش می‌خواد که مثلاً به قسمت مدیریت وارد بشه. وقتی کارمند پسورد مدیریت رو بزنه، keylogger پسورد رو به هکر مخابره می‌کنه. در قدم‌های بعدی هم هکر مراحلی رو توضیح می‌ده که طی اون keylogger پاک می‌شه و دست آخر اصلاً می‌گه مشکل رو نمی‌شه تلفنی حل کرد و فردا حضوری خواهد اومد! کارمند هم که نفهمیده چه کار کرده دلش رو به فردا خوش می‌کنه! محصول کار: پسورد در دست هکره!

مثال‌های دیگه هم هست. هنوز هم در آمریکا بیشتر بانک‌ها برای خدمات تلفنی تنها چیزی که از مشتری می‌پرسن تا از هویتش مطمئن بشن، چهار رقم آخر Social Security Number و تاریخ تولده. دومی رو که همه دوستان شما در شبکه‌های اجتماعی (مثل فیس بوک) دارن! اولی هم با کلک‌هایی مثل بالایی قابل دست‌یابی هست. فکرش رو بکنید، یکی زنگ بزنه بانک و از حساب شما پول به حساب دیگه‌ای واریز کنه!

فکرش رو بکنید. اون‌ها می‌تونن برن به وبلاگ شما و درخواست پسورد جدید برای ادمین کنن و پسورد جدید رو توی ای-میل شما بگیرن! می‌تونن پسورد جدید برای حساب بانکی شما بگیرن. می‌تونن پسورد جدید برای حساب فیس بوک شما بگیرن! با داشتن پسورد ای-میل اصلی شما، اون‌ها می‌تونن پسورد همه چیزهای دیگه شما رو داشته باشن! و این روزها حتی فهمیدن ای-میل شما هم سخت نیست چون ماشالا دوستان این قدر چیز میز فوروارد می‌کنن که من نوعی می‌تونم آدرس ای-میل ده‌ها و شاید صدها نفر رو در فهرست گیرندگان یک ای-میل بی‌مزه که فوروارد شده، پیدا کنم!

هکرهای مدرن، این روزها تنها کاری که می‌کنن اینه که پسورد ای-میل شما رو پیدا کنن. این کار رو از هر راهی از جمله کلک‌های مهندسی اجتماعی یا با استفاده از ماحی‌گیری (phishing) انجام می‌دن و بعد … اون‌ها به یک منبع اطلاعاتی عظیم دسترسی خواهند داشت!

این اتفاق در حد یک قصه در وبلاگ من نیست؛ این اتفاقی هست که هر روزه داره رخ می‌ده و همه ما فکر می‌کنیم که هرگز قربانی اون نخواهیم بود! باور کنید که پیدا کردن پسورد یک نفر با روش آزمون خطا اصلاً ساده و سریع نیست! پسورد ادمین یکی از سایت‌هایی که من زمانی بهش کمک می‌کردم یک ترکیب دوازده کاراکتری از چند حرف کوچک و بزرگ و عدد بود. با فرض این که یه کامپیوتر بتونه در هر ثانیه ۵۰۰٬۰۰۰ پسورد رو چک کنه، پیدا کردن چنین پسوردی ده‌هزار سال می‌تونه طول بکشه! اما اگر هکر بدونه که ترکیب مورد نظر، شامل اسم کوچک ادمین سایت و دو رقم آخر سال تولدشه، یه دفعه تعداد مواردی که باید امتحان بشن پایین می‌آد و شاید ظرف یک ساعت دستی هم بشه پسورد رو پیدا کرد! فهمیدن سال تولد هم که با مهندسی اجتماعی ممکنه

بسیاری سایت‌های دولتی و خصوصی در دنیا تا حالا deface شدن (یعنی صفحه اولشون توسط هکر عوض شده). تقریباً در اکثر موارد اتفاقی که می‌افته این نیست که هکر مثلاً از فلان نقطه ضعف سرور ویندوز استفاده کرده باشه! بر عکس، هکر اول پسورد ادمین رو پیدا کرده و بعد مثل خود ادمین لاگین کرده و سایت رو پکونده! یا حتی مسخره‌تر از اون: از ای-میلی که آدرس شبیه ای-میل ادمین بوده، به شرکت میزبان وب خبر داده که مثلاً اطلاعات name server رو عوض کنن! توی ای-میل هم اطلاعاتی مثل تاریخ تولد و غیره رو که قبلاً با روش مهندسی اجتماعی آورده اضافه کرده تا شرکت میزبانی شک نکنه. نتیجه این شده که اون آدرس اینترنتی، به سرور جدیدی (که مال هکر هست) اشاره می‌کنه و مردم سایت جدیدی رو می‌بینن!

ای-میل ما (متاسفانه یا خوشبختانه) به هویت اینترنتی ما پیوند خورده. حالا وقتشه که در مورد چرت و پرت‌هایی که فوروارد می‌کنیم جدی‌تر تصمیم بگیریم!

قصد دارم که در یک مطلب دو قسمتی یک سری نکات اساسی امنیت در اینترنت رو مطرح کنم. قسمت اول مربوط به ای-میل خواهد بود و قسمت دوم راجع به یکی از مسایلی که باعث می‌شه امنیت ای-میل برای ما مهم باشه.

«امنیت» در دنیای کامپیوتر، برخلاف انتظار همه، پدیده‌ای نسبی هست و نه مطلق! یک سیستم کاملاً امن وجود نداره، اما می‌شه سیستمی رو در نظر گرفت که «در شرایط قابل انتظار» و «از جهات مورد نظر» امنیت «کافی» داشته باشه. علت قضیه هم خیلی روشنه: امن کردن هزینه‌بر هست و هر هزینه‌ای تا جایی که توجیه‌پذیر باشه مورد قبول قرار می‌گیره.

یکی از سوال‌هایی که دوستان خیلی از من می‌پرسن چیزی شبیه به اینه: من از لپ‌تاپ خودم توی شبکه (مثلاً) محل کارم، به اینترنت وایرلس وصل می‌شم و بعد یک ای-میل می‌زنم به یکی در فلان کشور. آیا به جز من و اون کس دیگه‌ای می‌تونه از متن ای-میل باخبر بشه.

جواب اینه: معمولاً نه! اما در شرایطی امکان‌پذیر هست. مثلاً:

ممکنه که قبلاً در کامپیوتر شما یک ویروس یا چیزی شبیه به اون وارد شده باشه و هر چیزی که تایپ می‌کنید رو برای تولیدکننده ویروس بفرسته. به این ویروس‌ها keylogger می گن و معمولاً اگر آنتی‌ویروس به روز باشه، دچار این‌ها نمی‌شیم. البته اگر سیستم عامل کامپیوتر به روز نباشه، حفره‌های امنیتی می‌تونن مورد استفاده قرار بگیرن و حتی آنتی ویروس رو خلع سلاح کنن.

ممکنه شبکه وایرلسی که ازش استفاده می‌کنید امن نباشه. مثلاً اگر این شبکه از رمزگذاری استفاده نکنه یا رمزگذاری ضعیفی (مثل WEP) رو استفاده کنه، یه آدم بدطینت می‌تونه با جمع‌آوری بسته‌هایی که بین لپ‌تاپ شما و روتر وایرلس در رفت و آمد هست (ابزارش خیلی هم گرون نیست) و استفاده از یه الگوریتم مناسب تمام اطلاعات رو به صورت رمزگشایی شده ببینه!

ممکنه سرور شبکه شرکت شما در اختیار انسان بدطینتی باشه که هر بسته اطلاعاتی که از طریق اون رد می‌شه رو بررسی کنه (به این کار packet sniffing گفته می‌شه که ابزارهای رایگانش هم به وفور موجوده) و …

ممکنه هر کدوم از این‌ها در طرف گیرنده ای-میل اتفاق بیفته!

و نادرترین حالت اینه که ممکنه که سرور اصلی شرکتی که اکانت ای-میل شما روشه (مثل یاهو یا گوگل) هک بشه. این اتفاق به مراتب امکانش از قبلی‌ها کمتره.

در مورد قسمتی که به گیرنده ای-میل مربوطه هیچ کاری نمی‌شه کرد! اما در مورد قسمتی که به سمت شما و سرورهای حد واسط (مثل محل کار شما یا حتی کشور محل زندگی شما) مربوط می‌شه راه حل ساده‌ای وجود داره: رمزگذاری ای-میل!

ساده‌ترین کاری که می‌تونید بکنید اینه که از HTTPS استفاده کنید. از بین معروف‌ترین ای-میل‌های رایگان، جی-میل این امکان رو داره. کافیه بعد از ورود به ای-میل‌تون اون http اول آدرس رو بکنید https و دکمه Enter رو بزنید تا از اون‌جا به بعد همه‌چیز بین شما و سرور گوگل رمزگذاری شده رد و بدل بشه.

حتی می‌تونید پا رو از این فراتر بذارید و به جای این که بین شما و «گوگل» رمزگذاری باشه، کاری کنید که بین شما و «گیرنده» رمزگذاری باشه. توضیحاتش در این مقاله به فارسی اومده و مایلم اضافه کنم که استفاده از امضای دیجیتالی که در اون مقاله مطرح شده پدیده‌ای هست که روز به روز داره شایع‌تر می‌شه و خلاصه اگر نمی‌خواید از قافله عقب بمونید، وقتشه که اون مقاله رو جدی بگیرید!

طبیعتاً ترکیب این حالت‌ها باعث افزایش خیلی بیشتر امنیت می‌شه. ترکیب همه این‌ها با انتخاب یک پسورد مناسب و لاگ آوت کردن بعد از اتمام کار و مراقبت در برابر ماحی‌گیری و غیره دیگه نور علی نور می‌شه!

ولی سوال اینه: این کارا رو بکنیم که چی؟ حالا مثلاً اگر کسی به ای-میل ما دسترسی پیدا کنه، مگه چی می‌شه؟

جواب این سوال ابعاد زیادی داره؛ قسمتی‌اش رو در نوشته بعدی خواهید خوند.