نسل برتر

02 فوریه

jorjandiدسته‌بندی نشده 3 نظر

 پیشاپیش باید بگم که من نه تاریخ دانم نه جامعه شناس و این صرفآ نظر شخص بنده است .

میزان انرژی در دنیا همیشه مقدار ثابتی بوده و به نظر من اگر میبینید یکی یک شبه ره 100 ساله رفته حتمآ 200 نفر رو فقیرتر و بد بخت تر کرده ،  در طول تاریخ انگلیس برای چپاول ثروت ممالک دیگه و رفاه امروزش  یکی از بازی هایی که به راه انداخته بازیه شکاف و گروه بندی بوده نمونه بارزش فرقه بهایت و جدایی طلبان است . البته اینکه آدم ها گروه بندی خاص خودشون رو در چهارچوب پذیرش جامعه داشته باشن اصلآ چیز بدی نیست و برخی از اونها هم ناخواسته است  ولی اگر همه ما به عنوان یک عضو واحد در جهت پیشبرد کشور به عنوان هدف اصلی فعالیت نکنیم میشه همین بلبشویی که هر از گاهی در کشور دیده میشه. مثلآ همین امریکا آدما همه شعارشون آرمانهای آمریکاییه . کسی نمیگه آرمانهای چینی های مقیم آمریکا یا آرمانهای سیاه پوستان زجر کشیده آمریکا یا چیزای دیگه. برام مهم نیست که امریکا دشمنه مهم اینه که کار خوب را باید یاد گرفت حالا از هر کسی.

مثال هم تا دلتون بخواد داریم ، بازیه با ریش – بی ریش ، شیعه – سنی ، عرب – عجم، ترک – فارس … حتی تا اونجا جلو میره که کار برای دولت جمهوری اسلامی ارزشش به طول عمر همون دولته و شاید برای دولت بعدی شما یه تهدید هم بشوید و شما هم برای امرار معاش و منافع شخصی مجبورید برید در یک دسته مثلآ محمودی یا حسنی، نتیجش هم افزایش روز افزون دلال های آشنا داره که همه دیدید، افرادی که حاج آقا زیاد میشناسن و میتونن شما را به یک گروه وارد کنن و باعث موفقیت کسب و کار شما بشن و بدون اونها هم وضعیت مشخصه.

و اما یکی از جالب ترین نمونه هاش برادرانیه که رفتن جنگ و به درجه رفیع شهادت نائل نشدن و امروز فکر میکنن فقط کسایی که رفتن جبهه خوبن و بقیه در زمره مغذوبینن حتی امثال من که 5 سالمون بود و فرصتی برای رفتن به جبهه نداشتیم امروز به درجه اونها نخواهیم رسید در هیچ شرایطی ، این حرف رو فقط از روی شواهد اجتماعی نمیزنم و نزدیک ترین مثالش پدر خود بنده است که 8 سال جبهه بوده و نمیشه بهش کوچکترین انتقادی بکنی بیش از 10 ثانیه گوش نمیکنه و بحث رو تغییر میده. البته دوستان دیگر چون پسرشون نیستی عکس العمل بدتری دارن (دیده شده).اگر به سختی باشه که ما بیشتر سختی کشیدیم و بد بختی دیدیم . درد بی پدری و جنگ و با هم داشتیم انتخابی هم نداشتیم . الانم اینجوری باید مدیریت سعی و خطای شما رو تحمل کنیم. ما به دنیا نیومدیم که باعث شکوفایی شما نسل برتری ها باشیم .  از صدا سیما بگیر تا خیابان ها، افتخارات شما رو ببنیم و سوت و کف بزنیم و شرشره بکشیم . وقتشه که بپذیرید که همه منافع و منابع زمانی مکانی و پولی این کشور مربوط به ترمیم نسل شما نیست.

بیدار شوید آقای مدیر شما فقط در زمان مناسب در مکان مناسب بودید.

دیگه ما کشور جمهوری اسلامی هستیم و سعی و خطا جواب نمیده ،کار علمیه..

پنتریشن تست مجانی سایت‌های آمریکایی،اسرائیلی با نام ولایت

19 دسامبر

jorjandiدسته‌بندی نشده 67 نظر

متن رو با یک سؤال شروع می‌کنم:

به نظر شما دانش هک امریکا و اسرائیل بیشتره، یا برخی تیم‌های بوق به دست و رو به افزایش ایرانی؟

اصلاً هدفم تخریب نیست ،بلکه مشکلی که چند سالی است گریبان گیر جامعه هک ایران شده سود جویی برخی از هک کردن مثلاً دامنه های دانمارکی ،اسرائیلی ؛ آمریکایی و … است در حمایت از فلانی و فلانی و فلانی.. در تاریخ و مناسبت های خاص.

فرض کنید یه روز یه سازمان بوقی تصمیم میگیره اطلاعات یک سازمان بوق‌تری رو در اون ور آب بدست بیاره،  در بررسی اولیه معلوم می شه تنها راه ورود رو یه هکر قهرمانی 2 ماه پیش در حمایت از روز فلسطین هک کرده و تنها کاری که کرده وسط سایت نوشته پر شین گلف و سریع هم ثبتش کرده در زون اچ . حالا به نظر شما خواننده گرامی این فلون فلون شده و اون فلون فلون شده‌هایی که تشویق میکنن، به کشورشون خدمت کردن یا به اسرائیل؟ ادامه این کارها چه شمایلی از ایران در جهان خواهد ساخت؟ آیا اگر خدایی نکرده زبونم لال 0.05% هم حمایت دولتی پشت این بوق بازی‌ها باشه به نظرتان تست نفوذ مجانی انجام نشده؟ آن هم با پول بیت‌المال؟

 . من عاجزانه از مسئولین فهیمی که خوشبختانه همه دارای بلوغ امنیت راهبردی سایبری روز افزون هستند ،خواهش می‌کنم هرچه سریع‌تر جلوی این مسخره بازی‌های عوام‌فریبانه برخی کژ اندیش رو بگیرند.

پ.ن: ذکر اسامی این تیم‌ها و افراد معلوم‌الحال لازم نبود.

آخرین روزهای زمستان؟ یا اولین؟

07 نوامبر

jorjandiدسته‌بندی نشده 6 نظر

بعد از مدتها یه مجموعه بسیار جالب دیدن از تلویزیون با نام آخرین روزهای زمستان کاری از “موسسه فرهنگی فردایی دیگر” داستان زندگی شهید غلامحسین افشردی.

البته هدفم از معرفی این اثر به علاقه مندانی که ندیدن چند دلیل بوده که بی ارتباط با امنیت هم نیست:

1-اعتماد به جوانان ( حالا درسته خود برادر محسن رضایی اعتراف میکنه که وظیفه رو محول کرده یا میشده یا نمیشده.)

2- پی ریزی اطلاعات سپاه توسط شهید باقری.

3- بی توجهی همه فرماندهان به اهمیت جمع آوری اطلاعات در شروع کار.(این در حالی رخ داده که از عمر جمع اوری اطلاعات در ایران 20 سال میگذشته).

4- نیاز به حکم حکومتی جهت اجبار به همکاری.

حالا سوال من اینه به نظر شما چند تا شهید باقری به علت عدم توجه به امنیت سایبری و سوء مدیریت از این کشور رفتند یا میرن یا میخوان برن یا هستن ناراضین یا هستن دارن شو اجرا میکنن یا هستن دارن تو سرشون میزنن؟ با هستن ولی یه پرونده دارن به قطر لغت نامه دهخدا؟ یا همش با هم؟

چرا باید شهید شی تا محبوب شی؟  چرا ایده ها در این کشور حکم جک رو پیدا کرده ؟ چرا تا در مورد امینت سایبری با هر مسئولی صحبت میکنی تهش سر از یه پروژه هک در میاره؟

خدا اون شهید و که آمرزیده انشالله ما رو بیامرزه.

روزی با فیلتر

05 اکتبر

jorjandiدسته‌بندی نشده 7 نظر

بنده تصمیم دارم از باب انتقاد (سازنده) مواردی که بیشتر به چشم میان رو گوشزد کنم ، شاید دوستان برای رفع اون راه حلی منطقی بیندیشند.

البته به دلایلی ارتباطی با این کمیته داشتم و بسیار از منطق و مهربانی های آنها استفاده بردم!

زیاد نمیخوام این مطلب رو طولانی کنم ، با توجه به اتفاقات چند روز اخیر و فشاری که روی این کمیته بوده .از نظر اینجانب بسته شدن ایمیل گوگل کار بدی نبود هرچند که ما سالهاست اطلاعات کشور رو به صورت غیر مستقیم با استفاده از سرویس های خارجی از کشور خارج کردیم ولی راه اصلی همیشه خشونت نیست و باید برای ارائه سرویس بهتر و جایگزین در عین حال خصوصی هزینه و حمایت کنیم .

و اما مطلب اصلی در مورد وب گردی امروز بود ،البته با فیلتر و بدون شیله پیله  در فضای وب که نتیجه آن واقعآ دردناک بود .

میشه گفت تقریبا همه سایت های مقوله کاری اینجانب یا از اون ور مارو فیلتر کردن یا از این ور فیلتر شدن و مطمعنآ اینترنت بدون عبور از این دیواره معنی نداره ، حداقل برای من . ولی اینم مطلب اصلی این پست نیست.

برای من جالب بود که به ازای هر فریم که توسط فیلترینگ مسدود میشه شما به سایت پیوندها منتقل میشوید و بازم جالب تر این بود که این سایت جنبه تبلیغاتی پیدا کرده و با عکس های زیبایی که گاه تا 3 یا 4 تا هستند مزین شده.

به ظاهر همه چیز خوبه ،  ولی آیا میدانید به ازای باز شدن هر صفحه از سایت پیوند ها تقریبآ 340KB  از پهنای باند شما به هدر میرود؟ گیریم یه مقدارش از کش سیستم دریافت بشه ولی با یک محاسبه ساده حد اقل برای من در حال جستجوی یک نرم افزار به راحتی 15 تا  20% ترافیک عبوری رو به خودش اختصاص داده بود این یعنی چی؟

یعنی همینقدر از مصرف اینترنت که بابتش پول داده میشه کاملآ بیهوده بوده و فقط باریست به دوش مصرف  کننده نهایی یه اسم دیگش حق الناسه. اسامی دیگش رو نمیگم خودتون حدس بزنید!

من برام مهم نیست که چی فیلتره چون اصلآ حوصله بحث یک طرفه رو ندارم و ترجیح میدم با روش های خودم از اینترنت باز استفاده کنم  و به نظرم هر کشوری اجازه داره بر اساس منافع ملی دسترسی به یه سری سایت ها رو در کشورش محدود کنه .

راستی چرا کمیته محترم فیلترینگ توجهی به چت روم های یاهو ویا آواکس نداره که بالاترین آمار درخواست های جنسی رو هر روز میشه توش مشاهده کرد و اصلا شباهتی به چت های زمان ما نداره !!!

OSSEC سیستم شناسایی مخاطرات امنیتی مبتنی بر هاست

05 سپتامبر

jorjandiدسته‌بندی نشده یک نظر

OSSEC آی دی اس مبتنی بر هاست (HOST-BASED IDS)

 http://www.ossec.net/

در ادامه معرفی برنامه های کد باز مفید برای امنیت شبکه شما  به نظر بنده یکی از پر کاربرد ترین آنها OSSEC است که با نصب ایجنت آن بر روی سرورهای شما اقدام به کنترل فایل ها و رخدادهای سرور کرده و گزارشاتی را به اطلاع شما از طریق سرور مرکزی خود خواهد رساند

رخداد هایی همچون ورود موفق و غیر موفق به سرور و یا تغییرات فایل ها پوشه های سیستم

یکی از اولین اقدامات هکر بعد از ورود به سرور شما قرار دادن در پشتی و یا بکدور بر روی سرور شماست این بکدور یا به صورت یک فایل باینری و یا حتی در مشهود ترین حالت به صورت یک اسکریپت تحت وب یا اصطلاحآ شل اسکریپت میباشد. این که برخی پوشه های خاص مانند وب سایت شما بر روی سرور دائمآ در حال چک شدن باشند و در صورت تغییر فایل و یا اضافه یا کم شدن فایل شما اولین نفر باشید که از طریق سیستم اخطار دهی OSSEC در جریان قرار بگیرید یکی از پر کاربرد ترین موارد استفاده از OSSEC است  حتی میتوان با تنظیم آن اجازه اجرای دستور  و یا سری از فرامین سیستم را در صورت مشاهده برخی از وقایع به OSSEC داد.

قابلیت های اصلی این سیستم به شرح زیر میباشند:

  • log analysis
  • file integrity checking
  • policy monitoring
  • rootkit detection
  • real-time alerting and active response

برای نصب سیتم بر روی کلاینت ها مراحل زیر بایستی طی شود:

1-      دریافت کلاینت از آدرس زیر و نصب آن بر روی کلاینت

http://www.ossec.net/?page_id=19

2-      با استفاده از دستور زیر در سرور اقدام به نصب ایجینت میکنیم

Server~# var/ossec/bin/./manage_agents

****************************************

* OSSEC HIDS v2.3 Agent manager.     *

* The following options are available: *

****************************************

   (A)dd an agent (A).

   (E)xtract key for an agent (E).

   (L)ist already added agents (L).

   (R)emove an agent (R).

   (Q)uit.

از منو A را جهت اضافه کردن ایجنت انتخاب میکنیم، اسم کلاینت ،آدرس آیپی و شماره آیدی کلاینت را وارد کنید .

3-      در مرحله بعد  با انتخاب گزینه E ، کلید ارتباطی بین سرور و کلاینت را تولید کنید:

Choose your action: A,E,L,R or Q: e

Available agents:

ID: 001, Name: server001, IP: 192.168.0.25

Provide the ID of the agent to extract the key (or ‘\q’ to quit): 001

Agent key information for ‘001’ is:

MDAxIHNlcnZlcjAwMSAxOTIuMTY4LjUuMjUgYTAyZWEyNTg4-0——————————–zU2NDY1ODljNGFkMDkwYg==

** Press ENTER to return to the main menu.

4-      از کلید تولید شده برای کلاینت مورد نظر جهت ارتباط با سرور استفاده نمایید.

 ossec-agent

فایروال وب WAF

24 ژوئن

jorjandiدسته‌بندی نشده 6 نظر

در طول پست های آتی سعی میکنم با معرفی محصولات کد باز مهم و کاربردی جهت بالا بردن سطح امنیت سازمان ، شرکت و وب سایت شما با کمترین هزینه کمک کوچکی کرده باشم.

آشنایی با WAF:

گسترش روز افزون استفاده از برنامه های مبتنی بر وب و تنوع آنها در ساختار و زبان های مختلف برنامه نویسی، همیشه حملات و تهدید های جدی و رو به رشدی در این لایه از شبکه (7) وجود داشته است . سازمانها ، موسسات , شرکتها و همه کسانی که اقدام به ارائه خدمات در بستر وب مینمایند معمولآ مهمترین اطلاعات و داشته های موجود بر روی پایگاه های داده خود را به صورت مستقیم و یا غیر مستقیم از طریق برنامه های کاربردی تحت وب در معرض خطر قرار میدهند و یا حتی به نفوذگر اجازه انتشار کد های مخرب در شبکه از طریق وب سایت و یا گمراه کردن کاربران در صورت نفوذ به وب سرور را میدهند.  با توجه به تنوع موجود در این لایه نیاز به استفاده از یک برنامه واسط جهت کنترل ورودی ها و خروجی های پروتکل های تحت وب مانند HTTP و HTTPS   میباشد که بر اساس قوانین از پیش تنظیم شده اقدام به مقابله با حملات و تهدید های رخ دارده به صورت قطع ارتباط و یا اعلام خطر نماید،  بدین منظور Web Application firewall ها متولد شدند.

یکی از معروف ترین و کامل ترین فایروال های وب Mod_Security است که به صورت یک ماژول بر روی وب سرور های آپاچی معرفی شده است. به جرات میتونم بگم همه WAF های تولید داخل ایران به صورت اپلاینس چیزی بیش از mod_security نیست و اگر شما بتوانید اونو مجانی نصب و راه اندازی کنید نیازی به پرداخت پول های کلان نخواهید داشت.

با نصب سرور مود سکیوریتی به صورت inline و Reverse_proxy به راحتی میتوان تمامی وب سایت ها و وب سرویس های سازمان با هر مدل و پلتفورمی را رو پشت آن پابلیش کرد. مود سکیوریتی حتی قابلیت کنترل ترافیک کد شده SSL  را با دریافت گواهینامه وب سرور شما دارا میباشد.

برای دیدن اطلاعات بیشتر به وب سایت سازنده مراجعه کنید.

http://www.modsecurity.org

پ.ن.: انشالله در اولین فرصت در صورت آزادی فکر، دوره کوتاه مدت امنیت بر پایه کد باز رو در سایت وب آموز برگزار خواهم کرد و همینجا از همه علاقه مندان برای برگزاری دوره های کوتاه مدت دعوت میکنم.

پ.ن.: با توجه به منابع فراوان آموزش نصب دیگه نیاز ندیدم اینجا در موردش صحبت کنم ولی یکی از کامل ترین هاشو از این سایت ببینید.

تجارت الکترونیک سیاه!!!

15 ژوئن

jorjandiدسته‌بندی نشده 27 نظر

در هر حال من هیچ وقت حوصله بلاگ نوشتن ندارم ولی سعی میکنم درد دل هایی رو اینجا مطرح کنم به 2 دلیل 1- خودم حالم بهتر میشه 2- خودم حالم بهتر میشه.

بلاخره یکی نیست به ما بگه این تجارت عبور از فیلترینگ مجازه یا غیر مجازه؟ اگر بگیم برای عبور از تحریم هاست مجاز میشه؟ منو یاد قندی میندازه که فوتش میکنی حلال میشه. والا ما هم بلدیم از این کارا بکنیم اگر مجازه بگید به خدا من روش های ساده تر از ساکس و ویپی ان بلدم میشه کلی پول ازش در آورد.

 بریم سراغ یکی از این شرکت ها ببینیم کیه,چیه ….این وب سایت رو ملاحظه بفرمایید:

parsian-data33.in

شرکت هماورد تجارت ايرانيان

به راحتی انواع ساکس و ویپی ان رو میفروشه و مستقیم هم میشه پرداخت کنی . یادمه یه زمانی یه قبحی داشت این کار ازت شارژ ایرانسل میگرفتن که شناسایی نشن , امروز دیگه رسمی شده. و باز هم سوال اینه که واقعآ این کار مجازه؟ اگر کسی میدونه در بخش نظرات بگه منم بدم نمیاد چند تا روش رو رو کنم یه پولی به جیب بزنم از این بلبشوی اینترنت در ایران.

نکته مهم:

مهم ترین بخش این بازی فروش اینترنتی مستقیم ساکس و ویپی ان نیست بلکه استفاده از المان های بعضآ جذاب و ترغیب مخاطب به خرید این کالا هاست به این صفحه توجه کنید:

baranmovie39.in

فکر کنم تصویر گویاست این تبلیغ لینک شده است به وب سایت parsian-data33.in که در بالا بهش اشاره شد دقت کنید که در این مدل در سایت اصلی هیج مطلب و یا عکس خلاف قانونی گذاشته نمیشود و با ساختن سایت های جذاب و مخاطب پسند در نهایت کاربر را به سمت سایت خرید هدایت میکنند.

ir2seda3.in
musichaa34.in

چند نمونه دیگه ، بخش جالبش فیلتر نبودن 90% آنهاست.

سایت

شرکت
sh****ran3.tk/ شرکت مهر رسانه صبا
www.i****az.net/shop/index.php نت باران
pa****8.org/index.php هماورد تجارت ايرانيان
pay.vp****b1.com/ مهررسانه صبا(Ferestande.com)
lah****et.com/ مهررسانه صبا(Ferestande.com)
www.ki****n-net.in/ مهررسانه صبا(Ferestande.com)
3s****te.in/ مهررسانه صبا(Ferestande.com)
www.ka****bvpn.com/ مهررسانه صبا(Ferestande.com)
ir****cc.in/   جهان پارس اسپادان  
www.pi****o1.in/index.php مهررسانه صبا(Ferestande.com)
shop.a****er.ir/   ای سی سی پرشین  
shop.p****ed.in/index.php   داناج  
shop.g****iba.in/ مهررسانه صبا(Ferestande.com)
www.n****rge.in/ هماورد تجارت ايرانيان
shop.bis****n.in/ هماورد تجارت ايرانيان
to****arj.in/ هماورد تجارت ايرانيان
www.ir****oya.in/ مهررسانه صبا(Ferestande.com)
onl****ha1.in مهررسانه صبا(Ferestande.com)
ta****ks.tk مهررسانه صبا(Ferestande.com)
boy.aut****rge.in گلبرک هاستینگ

پ.ن:

برخی از دوستان مطلع خبر دادند که برخی از شرک ها مانند مثال بالا (هماورد) صرفآ رابط پرداخت درگاه بانک هستند. در هر حال هرچی هستند بر اساس قوانین عمل میکنند و از فعالیت کاربران خود با خبرند . هدف ما هم زیر سوال بردن شرکت خاصی نیست و صرفآ به صورت یک سوال مطرح شده است که آیا این فعالیت قانونی است؟

امنیت تبادل اطلاعات

01 دسامبر

jorjandiدسته‌بندی نشده 15 نظر

در طول مدتی که در جاهای مختلف با امنیت شبکه و مخاطراتش سرو کله زدم همیشه مهم ترین عامل آموزش عمومی بوده و اینکه کاربر رو در برابر مخاطرات و یا اتفاقات دورو برش حساس کنیم.

 چند سالی است که مبحث خدمات الکترونیک و تحت وب و بلاخص اینترنت بانک بازارش در ایران داغه و همه بانک ها چه خصوصی چه دولتی سعی میکنن با دادن خدمات نوین تر گوی سبقت رو از رقبا بربایند ولی آیا در کنار این دغدغه خدمات رسانی به امنیت هم توجه شده است؟

امروز به زبان ساده شما رو با SSL آشنا میکنم:

فرض کنید شما در خانه نشستین و قصد وارد کردن اطلاعات کارت خود برای استفاده از خدمات بانک مقصد دارید .البته غافل از اینکه در بین راه ارتباطی شما تا بانک هکر محترم نشسته و داره اطلاعات شما رو سرقت  میکنه.

 به این روش اصطلاحآ میگن Man in the Middle   از مزایای این مدل هکینگ راحت بودن و تقریبآ غیر قابل رد یابی بودن بعد از انجام رو میشه نام برد همچنین چون این مدل هکینگ مستقیم بر روی سرورهای بانکی انجام نمیشه و صرفآ محدوده ای از کاربران رو مورد هدف قرار میده بخش امنیت سیستم از وجود اون با خبر نخواهد شد.


یکی از روش هایی که برای مقابله با این هکرها وجود داره استفاده از تونل امن SSL   است. وقتی که سایتی رو با آدرس HTTPS مشاهده میکنید یعنی این کانال امن که اطلاعات شما را تا مقصد رمز نگاری میکند برقرار شده و شما با آرامش خاطر میتوانید اطلاعات مهم خود را در وب سایت مورد نظر وارد کنید.

البته همیشه استفاده از SSL یا همون HTTPS نمیتونه شما رو نجات بده چون اگر هکر یک اصطلاحآ گواهی جعلی را برای شما بفرسته دیگه دیتای شما چون با الگوریتم هکر رمز شده پس به راحتی توسط خود هکر هم قابل رمز گشایی است.

پس راه حل چیست؟

راه حل استفاده از گواهی  سرور های تایید شده در دنیاست که وب سایت مورد نظر را تایید خواهند کرد و در مرورگر خود با پیغام ارتباط غیر قابل اطمینان مواجه نمیشوید این گواهی ها قابل اجاره هستند درست مثل دامنه که اجاره میکنید.

  البته خود ادمین سیستم هم میتواند از گواهی های خود امضا Self-signed استفاده کنه که بازم مشکل ساز میشه چون کاربر در مرورگر خود با پیغام خطا مواجه میشه چون نتونسته گواهی رو با سرور های اصلی تایید کنه.

و اما مشکل اصلی کجاست؟

همیشه آموزش جامعه برای رعایت امنیت حد اقل در استفاده از سرویسها به اندازه کافی امریست دشوار و در عین حال زمان بر ، یکی از موارد مهمی که بایستی به کاربران آموخت اینست که به محض مواجه با خطاهای مرورگر مبنی بر گواهی نامه جعلی مراتب را جهت پیگیری به سیستم گزارش دهند تا شاید بتوان از ادامه حمله یک هکر جلوگیری کرد.

آیا ما در ایران از گواهی نامه های معتبر استفاده میکنیم؟

با نگاهی به چند سرویس بانکی به راحتی میتوان دید که جواب برای بخش اعظمی از سیستم بانکی نه است.(البته شاید دلیل اصلی تحریم ایران باشه).

ادمین سیستم یک گواهی جعلی ساخته و سرویس را راه اندازی کرده است و احتمالآ کلی هم در مورد کانال امن SSL برای مدیر توضیح داده و که دیگه ارتباط امن شد .

به دلیل این که ما داریم حساسیت کاربر رو در هنگام مشاهده صفحه اخطار مرورگر مبنی بر معتبر نبودن گواهی از بین میبریم و با توجه به اینکه از یک گواهی خود ساخته استفاده میکنیم پس هکر هم میتونه گواهی جعلی بسازه . پس نه تنها امنیت کاربر و سیستم بالا نرفته بلکه این بد ترین کار ممکن بوده که انجام شده.

به نظر من استفاده نکردن از SSL و استفاده از راهکارهای رمز نگاری در بخش کلاینت در شرایطی که نمیشه از گواهی های قانونی استفاده کرد بهترین راهه .  ابته کاملآ بدیهی است که نظارت بر چنین رفتارهایی در مثال ما که سیستم بانکی است به عهده بانک مرکزی است چون حتی اگر یک بانک هم دچار این مشکل باشد برای ترویج فرهنگ غلط استفاده از گواهی جعلی کافی است.

و فردا میلیاردها تومن باید خرج بشه تا  به کاربر بفهمونید اگر با خطای مرورگر مواجه شد به سیستم امنیت خبر بده…..

در جدول زیر دروازه بانکی چند بانک  مورد بررسی قرار گرفت . جالب بود که برخی از گواهی ها فقط با Firefox مشکل داشتند که این مورد به دلیل عدم راه اندازی صحیح گواهی بر روی وب سرور است.

IE9

Firefox

آدرس

نام

ok

NO

https://www.rb24.ir/login.html

بانک رفاه

ok

NO

https://olb.agri-bank.com/

بانک کشاورزی

NO

NO

https://ebanking.bank-maskan.ir/

بانک مسکن

ok

NO

https://epayment.bmi.ir/SecurePages/CardToCard.aspx

بانک ملی