‫ fars_sakha بلاگ

اندروید

Private Spaceکه در نسخه بعدی اندروید موجود است، یک فضای ذخیره سازی رمزگذاری شده برای برنامه‌ها و فایل های خصوصی فراهم می‌کند.

احتمالاً قبلاً تلفن Androidخود را با قرار دادن پین، اسکن صورت یا اثر انگشت ایمن کرده‌اید. اگر تا به حال می‌خواهید به داده‌های خاصی محافظت بیشتری بدهید، اندروید 15 به شما این امکان را می‌دهد که این کار را از طریق ویژگی جدیدی به نام فضای خصوصی انجام دهید.

همانطور که توسط Android Authorityآزمایش شده است، Private Spaceیک منطقه رمزگذاری شده را در دستگاه Androidشما تنظیم می کند که در آن می‌توانید برنامه ها و فایل های حساس یا خصوصی را پنهان کنید. این ویژگی مشابه گزینه Secure Folderدر گوشی‌های Samsung Galaxyکار می‌کند که به شما امکان می‌دهد برنامه‌ها و فایل‌هایی را که می‌خواهید ایمن کنید و چگونه می‌خواهید آنها را ایمن کنید، انتخاب کنید.

هدف اصلی پشت فضای خصوصی جلوگیری از مشاهده داده های خاص توسط دزد، هکر یا کاربر غیرمجاز دیگری است که به تلفن شما دسترسی پیدا می کند. در حال حاضر اپلیکیشن Google's Filesگزینه مشابهی به نام پوشه امن را ارائه می دهد. این ویژگی فقط با فایل ها کار می کند، در حالی که Private Spaceمی تواند برنامه های خاصی را نیز ایمن کند.

همچنین، می‌توانید قفل فایل شخص ثالث یا برنامه خزانه خصوصی را نیز نصب کنید. Google Playخانه بسیاری از این برنامه ها است. با این حال، از آنجایی که Private Spaceمستقیماً در سیستم عامل تعبیه شده است، این ویژگی قول می دهد استفاده آسان تر و احتمالاً ایمن تر باشد.

برای راه‌اندازی فضای خصوصی، باید به تنظیمات بروید، «امنیت و حریم خصوصی» را انتخاب کنید و سپس بر اساس «Android Authority» روی «فضای خصوصی» ضربه بزنید. پس از احراز هویت، می‌توانید وارد حساب Googleخود شوید تا برنامه‌ها را راحت‌تر به فضای خصوصی اضافه کنید. برای مدیریت بهتر برنامه‌ها و فایل‌هایی که می‌خواهید محافظت کنید، می‌توانید یک حساب جداگانه تنظیم کنید، اگرچه این مرحله لازم نیست.

در مرحله بعد، نحوه ایمن سازی داده هایی را که می خواهید خصوصی نگه دارید، انتخاب کنید. می‌توانید از فرآیند قفل صفحه موجود خود - پین، اسکن صورت یا اثر انگشت - استفاده کنید یا روش دیگری را انتخاب کنید. انتخاب روشی دیگر ایمن تر خواهد بود زیرا فردی که راه خود را از طریق صفحه قفل شما می شکند، سپس با مانع دیگری در تلاش برای دسترسی به برنامه ها و فایل های محافظت شده شما روبرو می شود.

پس از فعال کردن فضای خصوصی، آن را در کشوی برنامه در صفحه اصلی با نماد قفل و متن "Private" خواهید دید. با ضربه زدن روی نماد فضای خصوصی، از شما می‌خواهد قفل آن را باز کنید. همیشه می‌توانید تنظیمات فضای خصوصی را تغییر دهید. برای مثال، می‌توانید نماد را از کشوی برنامه پنهان کنید تا شخص دیگری حتی آن را نبیند. تلاش برای تغییر تنظیمات به فضای خصوصی، از شما می خواهد که قفل این ویژگی را باز کنید.

به‌طور پیش‌فرض، برنامه‌های خاصی از جمله دوربین Google، Chrome، Contacts، Drive، Files، Photosو Play Storeاز قبل به فضای امن شما اضافه شده‌اند. برای افزودن موارد بیشتر، روی دکمه Install Appsضربه بزنید و سپس مواردی را که می خواهید اضافه کنید انتخاب کنید. از طرف دیگر، روی نماد یک برنامه به مدت طولانی فشار دهید و "Install in Private" را انتخاب کنید.

به گفته Android Authority، اگرچه Private Spaceبا اندروید 15 عرضه می شود، اما این ویژگی هنوز در آخرین نسخه پیش نمایش توسعه دهندگان اندروید 15 2 در دسترس نیست. در عوض، نویسنده آن را روی یک تلفن پیکسل 8 پرو با اندروید 14 QPR3بتای 2.1 آزمایش کرد که در واقع جدیدتر از آخرین پیش نمایش توسعه دهندگان اندروید 15 است. ردپای فضای خصوصی در نوامبر گذشته در بیلد اندروید 14 ظاهر شد، نشانه‌ای از اینکه گوگل چندین ماه است که روی این ویژگی کار می‌کند.

پیش‌نمایش توسعه‌دهنده اندروید 15 2 در 21 مارس منتشر شد. گوگل احتمالاً نسخه نهایی سیستم‌عامل جدید را در تابستان معرفی می‌کند و اندروید 15 را در پاییز در کنار سری جدید پیکسل 9 گوگل عرضه می‌کند.

منبع

زدنت

محبوب‌ترین مرورگر وب با کمک چیزی که گوگل آن را V8 Sandboxمی‌نامد، در امنیت بالا می‌رود.

با توجه به اینکه این مرورگر پرکاربردترین مرورگر وب در بازار است، گوگل کروم مدتی است که هدفی در پشت خود دارد. به همین دلیل، گوگل همیشه در حال دستکاری امنیت است تا از هکرها جلوتر بماند، چاه‌ها، آسیب پذیری‌ها و بسیاری از مسائل دیگر را انجام ندهد.

گوگل با جدیدترین اعلامیه خود، Sandbox V8را معرفی کرده است که یک سندباکس سبک وزن و در حال پردازش برای V8(موتور جاوا اسکریپت گوگل) است که برای جلوگیری از آسیب پذیری‌های رایج در موتور طراحی شده است.

با توجه به V8 Sandbox Readme، «سندباکس تأثیر آسیب‌پذیری‌های معمولی V8را با محدود کردن کد اجرا شده توسط V8به زیرمجموعه‌ای از فضای آدرس مجازی فرآیند («جعبه ایمنی») محدود می‌کند و در نتیجه آن را از بقیه فرآیند جدا می‌کند.

این کار صرفاً در نرم‌افزار (با گزینه‌هایی برای پشتیبانی سخت‌افزاری، به سند طراحی مربوطه که در زیر پیوند داده شده است را ببینید) با تبدیل مؤثر اشاره‌گرهای خام یا به آفست از پایه جعبه ماسه‌بازی یا به شاخص‌ها به جداول اشاره‌گر خارج از سندباکس کار می‌کند. در اصل، این مکانیسم‌ها بسیار شبیه به جداسازی کاربر/هسته است که توسط سیستم‌عامل‌های مدرن استفاده می‌شود (مثلاً جدول توصیف‌گر فایل یونیکس).

سند طراحی اولیه برای V8 Sandboxتقریباً سه سال پیش معرفی شد و از آن زمان تا آنجا پیشرفت کرده است که دیگر آزمایشی در نظر گرفته نمی شود. در سند اولیه طراحی به عنوان انگیزه آن بیان شد: "اشکالات V8معمولاً امکان ساخت اکسپلویت‌های غیرمعمول قدرتمند و قابل اعتماد را فراهم می‌کنند. بعلاوه، بعید است که این اشکالات با زبان‌های ایمن حافظه یا ویژگی‌های امنیتی با کمک سخت‌افزار آتی مانند MTEیا MTEکاهش یابند. در نتیجه، V8به ویژه برای مهاجمان دنیای واقعی جذاب است.

دلیل اصلی که گوگل این ویژگی امنیتی جدید کروم را توسعه داده است این است که V8در مرکز بسیاری از آسیب‌پذیری‌های روز صفر کروم بوده است. برای این منظور، تیم Chromiumبیان کرد (در V8 Sandbox Readme)، "سندباکس فرض می کند که یک مهاجم می تواند خودسرانه و همزمان هر حافظه ای را در فضای آدرس جعبه جعبه تغییر دهد، زیرا این اولیه می تواند از آسیب پذیری های V8معمولی ساخته شود."

اگر نگران این هستید که این ویژگی جدید sandboxسرعت مرورگر را کند می کند (که sandboxingمی تواند انجام دهد)، به نظر می رسد معیارهای تیم نشان می دهد که فقط حدود 1٪ افزایش برای گردش کار معمولی وجود دارد.

سندباکس V8هنوز در حال توسعه است، اما باید به طور پیش‌فرض از Chromeنسخه 123 در اندروید، ChromeOS، Linux، MacOSو Windowsفعال شود. این بدان معناست که باید خیلی زود منتشر شود.

منبع

زدنت

حفاظت از مرور ایمن Googleبه شما در مورد وب‌سایت‌های مخرب در زمان واقعی هشدار می‌دهد، در حالی که «بررسی رمز عبور» به شما هشدار می‌دهد که گذرواژه‌های ضعیف و استفاده مجدد

گوگل چند تغییر را برای افزایش امنیت مرورگر کروم خود اعمال کرده است. در یک پست وبلاگی که روز پنجشنبه منتشر شد، این شرکت به‌روزرسانی‌های ویژگی‌های مرور ایمن و بررسی رمز عبور خود را که برای مقابله با هکرهای مداوم امروزی طراحی شده‌اند، توضیح داد.

گوگل در پست وبلاگ خود گفت: "حملات امنیت سایبری به طور مداوم در حال تغییر هستند و گاهی اوقات تفاوت بین تشخیص موفقیت آمیز یا عدم شناسایی یک تهدید چند دقیقه است." "برای همگام شدن با سرعت فزاینده هکرها، ما حفاظت از URLرا در زمان واقعی و حفظ حریم خصوصی به Google Safe Browsingبرای هر کسی که از Chromeروی دسکتاپ یا iOSاستفاده می‌کند، اضافه می‌کنیم. به‌علاوه، ما حفاظت‌های رمز عبور جدیدی را در Chromeبرای iOSمعرفی می‌کنیم. راه دیگری برای کمک به شما برای پیمایش ایمن در وب."

اکنون در کروم برای دسکتاپ و کروم برای iOSدر دسترس است، و در اواخر این ماه به کروم برای اندروید می آید، قابلیت جدید در «مرور ایمن» سایت های مشکوک و مخرب را در زمان واقعی بررسی می کند.

تا پیش از این، سطح استاندارد محافظت کروم از فهرستی استفاده می‌کرد که در رایانه شخصی یا دستگاه تلفن همراه شما ذخیره شده بود تا مشخص کند آیا یک سایت یا فایل به طور بالقوه مخرب است یا خیر. گوگل این لیست را هر 30 تا 60 دقیقه به روز می کند. با این حال، این شرکت دریافته است که متوسط وب سایت مخرب کمتر از 10 دقیقه فعال می ماند.

برای همگام شدن با این وب‌سایت‌های خطرناک و گذرا، «مرور ایمن» اکنون فهرست سمت سرور را بررسی می‌کند که در زمان واقعی توسط Googleنگهداری می‌شود. اگر سایتی خطرناک در نظر گرفته شود، Chromeیک هشدار با جزئیات بیشتر فلش می کند. گوگل گفت که بررسی سایت ها به صورت بلادرنگ از این طریق باید 25 درصد بیشتر از تلاش های فیشینگ جلوگیری کند.

این شرکت توضیح داد که این قابلیت جدید از رمزگذاری و سایر فناوری‌ها بهره می‌برد تا مطمئن شود که هیچ‌کس، حتی گوگل، نمی‌داند از چه سایتی بازدید می‌کنید. در حال حاضر، Safe Browsingدر برابر تلاش‌های فیشینگ، بدافزارها، نرم‌افزارهای ناخواسته و سایر تهدیدها در بیش از 5 میلیارد دستگاه در سراسر جهان محافظت می‌کند. این ابزار روزانه بیش از 10 میلیارد URLو فایل را تجزیه و تحلیل می کند و روزانه بیش از 3 میلیون اخطار صادر می کند.

برای بررسی تنظیمات مرور ایمن خود در کروم برای دسکتاپ یا موبایل، به تنظیمات بروید، حریم خصوصی و امنیت را انتخاب کنید و سپس گزینه مرور ایمن را انتخاب کنید. حداقل، اگر از قبل روشن نشده باشد، می‌خواهید محافظت استاندارد را فعال کنید. همچنین می‌توانید حفاظت پیشرفته را امتحان کنید، که از هوش مصنوعی برای خنثی کردن حملات، انجام اسکن‌های عمیق فایل‌ها و محافظت از شما در برابر برنامه‌های افزودنی مخرب Chromeاستفاده می‌کند.

بعدی در لیست یک به روز رسانی است که به شما کمک می کند گذرواژه های آسیب پذیر را در Chromeپیگیری کنید. در گذشته، ویژگی بررسی رمز عبور کروم اگر رمز عبوری را شناسایی کند که ممکن است به دلیل نقض داده یا تهدیدهای دیگر در معرض خطر قرار گرفته باشد، به شما هشدار می‌دهد.

اکنون، در کروم برای iOS، این ابزار همچنین به شما در مورد رمزهای عبور ضعیف و رمزهایی که در چندین سایت استفاده مجدد کرده اید هشدار می دهد. اما برای اینکه این کار انجام شود، باید از مدیر رمز عبور داخلی کروم برای ذخیره و ذخیره اعتبار وب سایت خود استفاده کنید.

Password Checkبه طور خودکار در صورت یافتن رمز عبور آسیب‌پذیر به صدا در می‌آید. اما شما همچنین می توانید خود را بررسی کنید. در مرورگر کروم دسکتاپ یا برنامه موبایل، به تنظیمات بروید، حریم خصوصی و امنیت را انتخاب کنید و سپس گزینه بررسی ایمنی را انتخاب کنید. برای اجرای اسکن دستی، روی Check Nowکلیک یا ضربه بزنید.

منبع

زدنت

گوگل این پول را در اختیار بیش از 600 محقق امنیتی در 68 کشور قرار داد که آسیب‌پذیری‌هایی را در محصولات و خدمات مختلف آن یافتند.

کسانی از شما که در یافتن نقص‌های امنیتی و سایر اشکالات در محصولات و خدمات Googleمهارت دارند، می‌توانند در 10 میلیون دلاری که این شرکت در سال 2023 پرداخت کرده است، سهیم باشند. روز سه‌شنبه، غول جست‌وجو جوایز سنگین خود را به 632 محقق شکارچی در 68 نفر اعلام کرد. کشورها.

اگرچه 10 میلیون دلار توسط صدها نفر تقسیم شد، بالاترین پاداش چیزی برای تمسخر نبود: 113337 دلار. گوگل نام گیرنده یا فاش نکرد که این محقق خاص کدام باگ یا اشکالات را کشف کرده است. با این حال، این شرکت از دو نفر - Zinuo Han (@ele7enxxh) از OPPO Amber Security Labو Yu-Cheng Lin (林禹成) (@AndroBugs) - به‌عنوان افرادی که در میان شکارچیان باگ برتر گزارش می‌کنند نقص‌های اندروید را شناسایی کرده و از آنها تشکر کرد.

محققانی که ایرادات بزرگی را در اندروید پیدا کردند، بیش از 3.4 میلیون دلار پاداش به اشتراک گذاشتند زیرا گوگل در سال 2023 حداکثر مبلغ را برای مکان یابی آسیب پذیری های حیاتی در سیستم عامل تلفن همراه خود به 15 میلیون دلار افزایش داد. این شرکت گفت که افزایش پاداش باگ اندروید منجر به تمرکز محققان بر روی گزارش باگ های شدیدتر شد.

کسانی که باگ های گوگل کروم را کشف کردند، پرداخت های سالمی نیز دریافت کردند. در مجموع، محققانی که 359 نقص امنیتی منحصر به فرد را در مرورگر گوگل گزارش کردند، 2.1 میلیون دلار پاداش به اشتراک گذاشتند. فردی که باگ دائمی و طولانی مدت در کامپایلر جاوا اسکریپت V8جاوا اسکریپت (JIT) را کشف کرد، 30000 دلار جایزه گرفت.

گوگل همچنین رویدادهای هک زنده را برجسته کرده است که محققان را برای ردیابی نقص های امنیتی شخصاً به چالش می کشد. یک رویداد هک در سال 2023 در کنفرانس ESCAL8بر آسیب‌پذیری‌های Wear OSو Android Autoمتمرکز شد که منجر به تقسیم 70000 دلار بین محققانی شد که بیش از 20 نقص مهم را پیدا کردند. در رویدادهای زنده ای که توسط hardware.ioدر سال 2023 میزبانی شد، شکارچیان اشکال 116000 دلار را برای کشف حفره‌ها در Nest، Fitbitو محصولات پوشیدنی Googleتقسیم کردند.

همچنین در سال 2023، گوگل رویداد هک زنده bugSWATرا با تمرکز بر هوش مصنوعی مدل زبان بزرگ خود برگزار کرد. محققان در این رویداد با کسب بیش از 87000 دلار، 35 اشکال مختلف را گزارش کردند، از جمله مواردی که در Johann, Joseph, و Kai's "Hacking Google Bard - From Prompt Injection to Data Exfiltration" و Roni، Justinو Josephشرح داده شده است "We Google A.I. را به قیمت 50000 دلار هک کردیم".

10 میلیون دلاری که گوگل در سال 2023 به عنوان جوایز باگ پرداخت کرد، کمتر از 12 میلیون دلاری بود که شرکت در سال 2022 خرج کرد. با این حال، مجموع پاداش ها به طور پیوسته در طول سال ها افزایش یافته است و از 2 میلیون دلار در سال 2015 به افزایش یافته است. 6.5 میلیون دلار در سال 2019 به 8.7 میلیون دلار در سال 2021. افزایش و کشف اشکالات مهم و حیاتی تر، اثربخشی انبوه سپاری را برای کمک به ایمن سازی برخی از محصولات و خدماتی که هر روز استفاده می کنیم، نشان می دهد.

منبع

زدنت

طبق گزارش‌ها، چاپگرها، باگ‌های USB، جاوا و موارد دیگر با آخرین به‌روزرسانی مک شکسته شده‌اند، اما مشخص نیست که این مشکلات چقدر گسترده هستند.

از زمانی که  به‌روزرسانی MacOS Sonoma 14.4در اوایل این ماه صورت پذیرفت، کاربران باگ‌های متعددی را گزارش کرده‌اند، از ناپدید شدن پرینترها و هاب‌ها تا حذف نسخه‌های ذخیره‌شده فایل‌های iCloud Drive.

لیست اشکالات گزارش شده طولانی و متنوع است و شامل موارد زیر است:

چاپگرها -- به ویژه پرینترهای HPکه از طریق شبکه قابل دسترسی هستند -- به دلیل درایورهای چاپگر از دست رفته ناپدید می شوند.

مشکلات اتصال با هاب USBو پورت های مانیتور.

خاتمه فرآیندهای جاوا

iLok License Manager DRMخراب می شود، دسترسی به نرم افزار محافظت شده را مسدود می کند.

iCloud Driveنسخه های قبلی فایل را برای کاربرانی که «بهینه سازی فضای ذخیره سازی مک» را فعال کرده اند پاک می کند.

گزارش های متفرقه از خرابی و بی ثباتی سیستم.

توجه به این نکته مهم است که ما هنوز تصویر روشنی از گستردگی این مسائل نداریم. نظرات در انجمن‌های پشتیبانی و در رسانه‌های اجتماعی نشان می‌دهد که مشکل چاپگر بیشترین آشفتگی را با دارندگان Macکه ارتقا داده‌اند ایجاد می‌کند.

مشکلات iLok DRMبر کاربران پلاگین های صوتی محافظت شده توسط این فناوری تأثیر می گذارد، اما این بخش نسبتاً کوچک و تخصصی از کاربران مک است.

نقطه ضعف به تعویق انداختن ارتقاء به دلیل این اشکالات این است که این به روز رسانی لیست طولانی ای از مشکلات امنیتی را اصلاح می کند، در مجموع 64 مورد، از جمله حداقل دو مورد که اپل معتقد است ممکن است قبلاً توسط هکرها مورد سوء استفاده قرار گرفته باشند.

همچنین ایموجی های جدید مانند ایموجی قارچ جدید را از دست خواهید داد.

منبع

زدنت

کاربران اندروید در سنگاپور نمی‌توانند برنامه‌هایی را که ناامن تلقی می‌شوند دانلود کنند، زیرا گوگل به دنبال اجرای اقدامات محافظتی در برابر کلاهبرداری با همکاری دولت محلی است.هدف این حرکت مبارزه با مشکل رو به رشد کلاهبرداری در کشور است که اولین موردی است که این ویژگی را آزمایش می‌کند.

این ویژگی امنیتی جدید که در Google Play Protectموجود است، نصب برنامه‌های بارگذاری‌شده جانبی با برچسب خطر بالقوه را مسدود می‌کند. چنین برنامه‌هایی معمولاً از منابع آنلاین مانند برنامه‌های پیام رسانی یا مدیر فایل دانلود می‌شوند.

گوگل سنگاپور گفت که این اقدام امنیتی از کاربران تلفن همراه در برابر کلاهبرداری‌های فعال شده با بدافزار محافظت می‌کند و افزود که با آژانس امنیت سایبری سنگاپور برای توسعه این ویژگی به عنوان بخشی از تلاش‌های دولت برای مقابله با کلاهبرداری همکاری کرده است.

گوگل می‌گوید: مجرمان سایبری اغلب از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران تلفن همراه برای غیرفعال کردن پادمان‌های امنیتی و نادیده گرفتن هشدارهای پیشگیرانه برای بدافزارهای احتمالی، کلاهبرداری‌ها و فیشینگ به بهانه‌های نادرست استفاده می‌کنند. این می‌تواند منجر به دانلود برنامه‌های جانبی توسط کاربران و افشای اطلاعات شخصی محرمانه یا انتقال وجوه به کلاهبرداران شود.

گوگل با استناد به نظرسنجی‌ای که در این ماه انجام داد، گفت: از هر دو کاربر آنلاین در سنگاپور، یک نفر همچنان قربانی کلاهبرداری‌های آنلاین می‌شود، علیرغم ابراز اطمینان از اینکه می‌توانند کلاهبرداری را شناسایی کرده و از آن جلوگیری کنند.

وی خاطرنشان کرد که اسکن بلادرنگ Google Play Protectبیش از 515000 برنامه بالقوه خطرناک را از زمان عرضه آن در اکتبر گذشته شناسایی کرده است و بیش از 3.1 میلیون اخطار یا بلوک از این برنامه ها را صادر کرده است.

با ویژگی امنیتی اضافه شده، کاربران اندروید در سنگاپور به طور خودکار از نصب برنامه‌ها از منبع بارگذاری جانبی که از مجوزهای زمان اجرا حساس استفاده می‌کنند، مسدود می‌شوند، که گوگل گفته است اغلب برای کلاهبرداری مالی مورد سوء استفاده قرار می‌گیرند.

این ویژگی امنیتی مجوزهای برنامه را در زمان واقعی بررسی می کند و به طور خاص به چهار مجوز زمان اجرا که شامل خواندن و دریافت پیام های اس ام اس و همچنین سرویس دسترسی و سرویس گوش دادن به اعلان ها می شود، نگاه می کند.

این غول فناوری گفت: "مجوزهای حساس اغلب توسط کلاهبرداران برای رهگیری رمزهای عبور یک بار مصرف از طریق پیامک یا اعلان ها و همچنین جاسوسی از محتوای روی صفحه مورد سوء استفاده قرار می گیرند." گوگل با اشاره به تجزیه و تحلیل خانواده‌های بدافزار کلاهبرداری که از چنین مجوزهای زمان اجرا حساسی سوء استفاده می‌کنند، گفت که بیش از 95 درصد از نصب‌ها از منابع بارگذاری جانبی آنلاین بوده است.

این ویژگی امنیتی طی چند هفته آینده به تدریج برای کاربران اندروید در سنگاپور عرضه خواهد شد.

یوجین لیدرمن، مدیر استراتژی امنیتی اندروید گوگل، گفت که تیم او نتایج آزمایشی را زیر نظر خواهند داشت تا تاثیر آن را ارزیابی کنند و در صورت لزوم، ابزار امنیتی را به دقت تنظیم کنند.

این کشور در سال 2022 با افزایش 25.2 درصدی کلاهبرداری ها و جرایم سایبری روبرو شد که عمده آن کلاهبرداری بود. فیشینگ، تجارت الکترونیک و کلاهبرداری های سرمایه گذاری جزو پنج تاکتیک رایج مورد استفاده علیه قربانیان بودند که 82.5 درصد از 10 نوع کلاهبرداری برتر را تشکیل می دهند.

به عنوان بخشی از اقدامات امنیتی در حال اجرا، بانک‌های سنگاپور اکنون یک «سوئیچ کشتن» ارائه می‌کنند که به مصرف‌کنندگان امکان می‌دهد تا حساب‌های خود را در صورت نقض مشکوک به حالت تعلیق درآورند و پیام‌های پیامکی ارسال شده از سازمان‌هایی که در ثبت شناسه محلی ثبت نشده‌اند، با برچسب «احتمالاً-اسکم» برچسب‌گذاری می‌شوند.

این نرم افزار سطح پایین چسبی است که لینوکس را قادر می‌سازد روی رایانه‌های شخصی بوت امن اجرا شود و یک مشکل بد دارد.

یک روز دیگر، یک مشکل امنیتی بالقوه دیگر لینوکس، این بار، این یک آسیب‌پذیری مهم در شیم است. پیوند کلیدی بین لینوکس و سیستم عامل رایانه شما در هنگام بوت که اگر یک مهاجم شبکه تعمیر نشود، می تواند بوت امن را دور بزند و کنترل سیستم شما را در دست بگیرد.

اولین چیزها: شیم مورد بحث فی نفسه بخشی از لینوکس نیست. این پل ارتباطی بین رایانه‌های شخصی مدرن و سرورهای رابط سیستم عامل توسعه پذیر یکپارچه (UEFI) بوت امن و لینوکس است. جدا از نکات فنی، باید از آن برای بوت کردن لینوکس استفاده کنید، بنابراین کار بزرگی است.

Shimبه این دلیل وجود دارد که Secure Boot، یک استاندارد امنیتی رایانه برای جایگزینی میان‌افزار بایوس رایانه‌های قدیمی‌تر، زمانی که در سال 2012 معرفی شد، با اکثر توزیع‌های لینوکس کار نمی‌کند. Secure Bootاز یک پایگاه داده کلید ایمن سازگار با ویندوز استفاده می‌کند و هنوز هم استفاده می‌کند. بدون راه آسانی برای توزیع‌های لینوکس برای ورود به آن. این شیم بود، یک بوت لودر امضا شده که می تواند کلیدهایی را به پایگاه داده خود اضافه کند.

ده ها سال به جلو: بیل دمیرکاپی، مرکز پاسخگویی امنیتی مایکروسافت، یک حفره امنیتی پیدا کرد - CVE-2023-40547- یک سرریز بافر کلاسیک. با سرریز بافر، مهاجم می‌تواند به سیستم نفوذ کند و به طور بالقوه بدافزار مورد نظر خود را نصب کند.

به طور خاص، بخش آسیب‌پذیر کد شیم، بخشی است که با سیستم‌هایی که از HTTPبرای بوت شدن از سرور مرکزی در شبکه استفاده می‌کنند، سروکار دارد. از آنجایی که شما در قرن بیست و یکم زندگی و کار می کنید و هرگز از سروری که HTTPناامن دارد بوت نمی شوید، چیزی برای نگرانی ندارید - درست است؟ اشتباه.

در توییتر. دمیرکاپی توضیح داد: "یک تصور اشتباه رایجی که من دیده ام این است که این فقط در صورت استفاده از بوت HTTPروی شما تاثیر می گذارد. اگر این درست بود، این یک باگ بحرانی نبود."

به طور خلاصه، این آسیب‌پذیری مستلزم مجموعه‌ای از شرایط خاص برای قابل بهره‌برداری است. یک مهاجم به توانایی هدایت سیستم برای راه‌اندازی از یک منبع HTTPنیاز دارد، که می‌تواند شامل به خطر انداختن یک سرور یا اجرای یک حمله Man-in-the-Middleباشد. سپس، برای بهره برداری از آن، مهاجم باید بر موانع متعددی مانند دسترسی فیزیکی به دستگاه یا کنترل اداری غلبه کند. خارج از قلمرو امکان نیست، به خصوص اگر مهاجم قبلاً محیط شبکه را نقض کرده باشد.

خب واقعا چقدر بد است؟ همانطور که گرت به Ars Technicaگفت.

در تئوری، این نباید به مهاجم این امکان را بدهد که خود سیستم عامل را به خطر بیندازد، اما در واقع، به آنها امکان اجرای کد را قبل از ExitBootServicesمی‌دهد (انتقال بین میان‌افزاری که هنوز سخت‌افزار را اجرا می‌کند و سیستم‌عامل که کنترل می‌کند)، و این به این معنی است که سطح حمله بسیار بزرگتر علیه سیستم عامل - فرض معمول این است که فقط کدهای قابل اعتماد قبل از ExitBootServicesاجرا می‌شود. من فکر می‌کنم این هنوز هم یک کیت بوت نامیده می‌شود -- این می‌تواند بوت‌لودر و هسته سیستم‌عامل را قبل از اجرا تغییر دهد. اما به طور کامل پایدار نخواهد بود (اگر دیسک را پاک کنید، از بین می رود).

پایگاه داده ملی آسیب‌پذیری (NVD) که فکر می‌کند افتضاح است، ابتدا به این آسیب‌پذیری امتیازی نزدیک به بالاتر در سیستم امتیازدهی آسیب‌پذیری رایج (CVSS) 9.8داد.کلاه قرمزی که شیم را حفظ می کند، دید معقول تری دارد. نیروگاه لینوکس به CVE-2023-40547نمره 8.3 می دهد -- که هنوز هم بد است، اما وحشتناک نیست.

چرا نمره بالا از آنجایی که گرفتن آن سخت است؟ Shimاساساً در تمام توزیع‌های لینوکس وجود دارد و بیش از یک دهه است که وجود داشته است. این تعداد زیادی از اهداف بالقوه است.برای رفع آن، می‌خواهید شیم را در تمام سیستم‌های لینوکس خود وصله کنید. یا اگر هرگز از شبکه بوت نمی‌شوید، می‌توانید گزینه راه‌اندازی شبکه را غیرفعال کنید. این نیز کار می کند

منبع

زدنت

شرکت‌های فناوری مانند گوگل، متا و OpenAIتوافق‌نامه‌ای امضا کرده‌اند تا محتوای فریبنده تولید شده توسط هوش مصنوعی را در سال 2024 فیلتر کنند.

گوگل، متا، اپن‌آی و ایکس (توئیتر سابق) از جمله 20 شرکت فناوری هستند که متعهد شده‌اند محتوای جعلی تولید شده توسط هوش مصنوعی (AI) را به عنوان بخشی از تلاش‌ها برای حفاظت در سال جاری، از بین ببرند.

گروهی از شرکت‌ها در کنفرانس امنیتی مونیخ، توافق‌نامه فنی برای مبارزه با استفاده فریبنده از هوش مصنوعی را امضا کردند که «چارچوب داوطلبانه اصول و اقدامات» را در بر می‌گیرد که شامل پیشگیری، شناسایی، پاسخ، ارزیابی و شناسایی منبع فریب است. محتوای انتخاباتی هوش مصنوعی

بر اساس بیانیه مشترک منتشر شده توسط امضاکنندگان توافقنامه فناوری که شامل TikTok، Amazon، IBM، Anthropicو Microsoftنیز می‌شوند، این همچنین شامل تلاش‌هایی برای افزایش آگاهی عمومی در مورد نحوه محافظت از خود در برابر دستکاری چنین محتوایی است.

با این توافق، 20 سازمان قول می‌دهند که هشت بیانیه ماموریت را رعایت کنند، از جمله تلاش برای شناسایی و جلوگیری از توزیع محتوای فریبنده هوش مصنوعی و ارائه شفافیت برای مردم در مورد نحوه پرداختن به این محتوا. آنها برای توسعه و پیاده سازی ابزارهایی برای شناسایی و مهار گسترش محتوا و همچنین ردیابی منشاء چنین محتواهایی با یکدیگر همکاری خواهند کرد.

این تلاش‌ها می‌تواند شامل توسعه طبقه‌بندی‌کننده‌ها یا روش‌ها و استانداردهای منشأ، مانند واترمارکینگ یا ابرداده امضا شده، و پیوست کردن اطلاعات قابل خواندن توسط ماشین به محتوای تولید شده توسط هوش مصنوعی باشد.

این هشت تعهد در مواردی که مربوط به خدماتی است که هر شرکت ارائه می دهد اعمال خواهد شد.

در توافقنامه فناوری آمده است: «2024 بیش از هر سالی در تاریخ انتخابات را برای افراد بیشتری به ارمغان می‌آورد و بیش از 40 کشور و بیش از چهار میلیارد نفر رهبران و نمایندگان خود را انتخاب می‌کنند». در عین حال، توسعه سریع هوش مصنوعی فرصت‌های جدید و همچنین چالش‌هایی را برای فرآیند دموکراتیک ایجاد می‌کند. همه جامعه باید به فرصت‌های فراهم‌شده توسط هوش مصنوعی متمایل شوند و با هم گام‌های جدیدی برای حفاظت از انتخابات و فرآیند انتخابات بردارند. در این سال استثنایی."

هدف این قرارداد تعیین انتظارات برای نحوه مدیریت ریسک‌های ناشی از محتوای انتخاباتی هوش مصنوعی فریبنده است که از طریق پلتفرم‌های عمومی یا مدل‌های پایه باز آن‌ها ایجاد می‌شود یا در پلتفرم‌های اجتماعی و انتشاراتی آنها توزیع می‌شود. اینها در راستای سیاست‌ها و رویه‌های خود امضاکنندگان است.

مدل‌ها یا دموهایی که برای اهداف تحقیقاتی یا عمدتاً برای استفاده سازمانی در نظر گرفته شده‌اند، تحت پوشش قرارداد نیستند.

امضاکنندگان اضافه کردند که می‌توان از هوش مصنوعی برای کمک به مدافعان برای مقابله با بازیگران بد و شناسایی سریع‌تر کمپین‌های فریبنده استفاده کرد. ابزارهای هوش مصنوعی همچنین می‌توانند هزینه کلی دفاع را به میزان قابل توجهی کاهش دهند و به سازمان‌های کوچکتر اجازه می دهند تا حفاظت های قوی را اجرا کنند.

امضا کنندگان: "ما متعهد هستیم که نقش خود را به عنوان شرکت های فناوری انجام دهیم، در حالی که اذعان داریم که استفاده فریبکارانه از هوش مصنوعی نه تنها یک چالش فنی، بلکه یک موضوع سیاسی، اجتماعی و اخلاقی است و امیدواریم دیگران نیز به طور مشابه در سراسر جامعه متعهد شوند." گفت. ما تأیید می کنیم که حفاظت از یکپارچگی انتخاباتی و اعتماد عمومی یک مسئولیت مشترک و یک خیر مشترک است که از منافع حزبی و مرزهای ملی فراتر می رود.»

کریستوف هوسگن، رئیس کنفرانس امنیتی مونیخ، گفت که این توافق "گامی مهم" در پیشبرد یکپارچگی انتخابات و انعطاف پذیری اجتماعی است. او گفت که این امر همچنین به ایجاد "روش های فناوری قابل اعتماد" کمک می کند.

بر اساس گزارش جهانی ریسک 2024 که ماه گذشته توسط مجمع جهانی اقتصاد (WEF) منتشر شد، خطرات مرتبط با اطلاعات نادرست مبتنی بر هوش مصنوعی در مورد انسجام اجتماعی بر چشم انداز امسال غالب خواهد شد. این گزارش اطلاعات نادرست و اطلاعات نادرست را به عنوان خطر اصلی جهانی در دو سال آینده فهرست می‌کند.

این ویژگی در ابتدا فقط برای 1٪ از کاربران در دسترس خواهد بود، و برای آینده برنامه ریزی شده است که به طور کامل عرضه شود.

در جولای 2022، گوگل اعلام کرد که احتمالاً نیمه دوم سال 2024 قبل از اینکه مرورگر کروم شروع به حذف تدریجی کوکی‌های شخص ثالث کند، خواهد بود. در حالی که هنوز ممکن است تاریخ هدف برای عرضه کامل باشد، آزمایش اولیه ویژگی غیرفعال کردن کوکی چندان دور نیست.

از 4 ژانویه، گوگل می‌گوید 1 درصد از کاربران کروم در سرتاسر جهان «محافظت ردیابی» را دریافت خواهند کرد که دسترسی وب‌سایت‌ها به کوکی‌های شخص ثالث را که کاربران را در سراسر وب ردیابی می‌کنند، متوقف می‌کند.

طبق گفته گوگل، کاربران به صورت تصادفی انتخاب خواهند شد. کاربران منتخب هنگام باز کردن Chromeدر اندروید یا دسکتاپ، اعلانی دریافت خواهند کرد. محافظت ردیابی به طور پیش‌فرض روشن می‌شود، بنابراین چیزی برای فعال کردن وجود ندارد.

البته، گوگل متوجه می شود که غیرفعال کردن کوکی ها ممکن است مشکلاتی را به خصوص در مراحل اولیه ایجاد کند. اگر مشکلی پیش بیاید و وب‌سایتی بدون کوکی کار نکند، گزینه‌ای برای فعال کردن مجدد آن‌ها برای آن سایت خاص وجود خواهد داشت. «محافظت کمتر از مرور» ارائه می‌شود، اگر محافظت را غیرفعال کنید، هشداری نشان می‌دهد، «اما ویژگی‌ها به احتمال زیاد طبق انتظار عمل می‌کنند».

مسلماً این بخش کوچکی از کاربران کروم است، اما گام خوبی در مسیر درست است. گوگل گفت که هدف نهایی Privacy Sandboxکاهش ردیابی است که در وب‌سایت‌های مختلف رخ می‌دهد، در حالی که همچنان اجازه می‌دهد آن سایت‌ها همانطور که در نظر گرفته شده کار کنند و آزادانه برای همه در دسترس باشند.

Googleتشخیص می‌دهد که برخی از ویژگی‌های مهم، مانند ورود به سیستم، جلوگیری از تقلب، تبلیغات و محتوای جاسازی‌شده شخص ثالث، به کوکی‌ها متکی هستند، اما این فناوری همچنین یک عامل اصلی برای ردیابی بین‌سایتی است.

این غول فناوری می‌گوید وب‌سایت‌هایی که از کوکی‌ها استفاده می‌کنند هنوز زمان زیادی برای اجرای به‌روزرسانی‌ها دارند، اما شرکت می‌گوید تغییرات در راه است: «وقتی نوبت به تغییرات مرتبط با حریم خصوصی مانند این می‌رسد، ما همچنین باید آن را با بهترین منافع افرادی که از آن استفاده می‌کنند متعادل کنیم. وب."

منبع زدنت

هوش مصنوعی آماده است تا آب بیشتری به تلاش‌های DevSecOpsاضافه کند - اما بسیاری هنوز در مورد پیامدهای آن تردید دارند.

DevSecOps- مانند دوقلو برادرش، DevOps- چندین سال است که در فروشگاه‌های نرم‌افزار فرآیندی در حال انجام است و هدف آن فعال کردن گردش‌های کاری مشترک و هوشمندتر است. اکنون، هوش مصنوعی آماده است تا به این تلاش‌ها کمک کند - اما بسیاری هنوز در مورد پیامدهای آن تردید دارند.

اینها برخی از نکات مهم یک نظرسنجی اخیر از موسسه SANSاست که شامل 363 مدیر و مدیر فناوری اطلاعات است که علاقه روزافزونی به افزودن قابلیت‌های هوش مصنوعی یا یادگیری ماشین به گردش‌های کاری DevSecOpsدارد. در طول سال گذشته، افزایش قابل توجهی (16٪) در استفاده از هوش مصنوعی یا علم داده برای بهبود DevSecOpsاز طریق تحقیق و آزمایش وجود داشته است - از 33٪ در سال 2022 به 49٪ در سال 2023.

در حالی که علاقه به استفاده از هوش مصنوعی در چرخه عمر توسعه نرم افزار در حال افزایش است، همچنین شک و تردیدهای سالمی در مورد استفاده از هوش مصنوعی در جریان کار وجود دارد. بن آلن و کریس ادموندسون، نویسندگان SANS، می‌گویند: «تعداد زیادی از پاسخ‌دهندگان، تقریباً 30 درصد، گزارش دادند که اصلاً از هوش مصنوعی یا قابلیت‌های علم داده استفاده نمی‌کنند». "این ممکن است منعکس کننده مسائلی مانند افزایش سطح نگرانی در مورد حریم خصوصی داده ها و مالکیت مالکیت معنوی باشد."

DevSecOps، همانطور که در گزارش تعریف شده است، "نماینده تقاطع توسعه نرم افزار (Dev)، امنیت (Sec) و عملیات (Ops) با هدف خودکارسازی، نظارت و یکپارچه سازی امنیت در تمام مراحل چرخه عمر توسعه نرم افزار است." به عبارت دیگر، فرآیندهایی را برای ایجاد امنیت درست در شروع - مرحله طراحی - ایجاد کنید و تا مرحله استقرار آن را ببینید.

آلن و ادموندسون اظهار داشتند: در نهایت، تلاش DevSecOpsکه به خوبی کار می‌کند، «زمان کمتری برای رفع مشکلات امنیتی، فرآیندهای امنیتی کم‌تر و افزایش مالکیت امنیت برنامه‌ها ارائه می‌کند».

افزایشی در پروژه‌های آزمایشی وجود دارد که عملیات امنیتی را در هر دو دسته «عملیات هوش مصنوعی و یادگیری ماشین» (19 درصد به طور کامل یا جزئی یکپارچه) و «عملیات علم داده» (24 درصد) ادغام می‌کنند. به گفته نویسندگان، این "نشانه‌ای احتمالی است که سازمان‌ها در حال انجام مدل‌سازی تهدید و ارزیابی ریسک قبل از گنجاندن قابلیت‌های هوش مصنوعی در محصولات هستند."

بسیاری از سازمان ها نیاز فوری به پرسنل DevSecOpsواجد شرایط بیشتری احساس می کنند - 38٪ شکاف‌های مهارتی در این زمینه را گزارش می کنند. نویسندگان تاکید می‌کنند: «از آنجایی که تقاضا همچنان بر عرضه در این زمینه بیشتر است، نیاز واقعی به ایجاد علاقه بیشتر در این زمینه همیشه در حال تغییر وجود دارد. برای مقابله با کمبود استعداد در میان فشارهای رقابتی، سازمان‌ها باید بیشتر از شیوه‌های DevSecOpsاثبات شده استفاده کنند و قابلیت‌های فن‌آوری در حال ظهور را کشف کنند.»

مهندسی پلتفرم، که برای ساده‌سازی جریان نرم‌افزار از ایده به پیاده‌سازی در نظر گرفته شده است، نیز در حال افزایش است - به طور کامل یا جزئی توسط 27٪ از پاسخ‌دهندگان به تصویب رسیده است. «از آنجایی که ویژگی‌های سلف‌سرویس توسعه‌دهنده ذاتی در تمرین مهندسی پلتفرم بالغ می‌شوند، استفاده از هماهنگی مورد استفاده برای ساخت، بسته‌بندی، آزمایش و استقرار یک برنامه کاربردی برای ترکیب تست‌های امنیتی و ابزار در نقاط کلیدی در مسیری که دارای آن است، ضروری است. آلن و ادموندسون بیان می کنند. یک پلت فرم مهندسی نرم افزار به خوبی پیاده سازی شده، که با همکاری نزدیک با ذینفعان امنیتی طراحی شده است، احتمالاً می تواند اهداف هماهنگ سازی و همبستگی امنیت برنامه های کاربردی سازمان را برآورده کند.

منبع

زدنت