Meltdown و Spectre: دو خانواده‌ی خطرناک برای پردازنده‌ها

همین ابتدا خیال شما را راحت کنم؛ اگر دستگاهی پردازنده‌ی کامپیوتری دارد، به احتمال خیلی زیاد در معرض خطرات  بزرگ امنیتی Meltdown و Spectre هست. موضوع آنقدر جدی است که Brian Krebs یکی از متخصصین مطرح امنیت اطلاعات در وصف آن گفته: «رخنه‎‌های ترسناکِ تراشه، شبح فروپاشی را احضار می‌کنند». اگر می‌خواهید درباره این خطر جدی و مقابله با آن بدانید، پیشنهاد می‌کنم تا انتهای مطلب همراه باشید.

این نوشته بطور اختصاصی برای بلاگ ابر آروان در این لینک نوشته و توسط محمد کلانتری ویرایش شده‌است.
پیشنهاد می‌کنم وبلاگ ابر آروان را دنبال کنید!

Meltdown

شبح فروپاشی

در هفته‌های پایانی سال ۲۰۱۷، سیستم‌عامل‌های ویندوزی و لینوکسی یک سری به‌روزرسانی امنیتی دریافت کردند که نحوه‌ی مدیریت حافظه‌ی مجازی (Virtual Memory) توسط سیستم‌عامل را تغییر می‌داد. حتی در برخی موارد باعث کاهش راندمان ۱۷٪ تا ۵۰٪ هم شده است. هرچند که تحلیل‌ها و گمانه‌زنی‌های مختلفی وجود داشت، اما در ابتدا علت این به‌روزرسانی‌ها و اینکه با چه مشکل امنیتی مقابله می‌کند، مشخص نبود. تا اینکه در سومین روز سال جدید میلادی، کارشناسان امنیتی خبر از وجود باگ‌های سخت‌افزاری بسیار جدی بنام Spectre و Meltdown دادند که مستقیما ریشه در شیوه‌ی کارکرد پردازنده‌های رایانه‌ای (CPU) دارد. به‌وسیله‌ی باگ‌های این دو خانواده، امکان نشت اطلاعات و دسترسی به محتوای برنامه‌های در حال اجرا فراهم می‌شود.

هرچند که برنامه‌ها عموما دسترسی خواندن اطلاعات جاری برنامه‌های دیگر را ندارند، یک بدافزار می‌تواند با بهره‌گیری از حفره‌های امنیتی Meltdown و Spectre، اطلاعات مربوط به حافظه‌ی سایر برنامه‌های در حال اجرا را به دست آورد. یعنی مثلا رمز شما که در مرورگر یا نرم‌افزار مدیریت رمز ذخیره شده، عکس‌های خصوصی، ایمیل، پیغام‌های داخل پیام‌رسان، و حتی اسناد حساس کاری.

حفره‌های Meltdown و Spectre بر روی کامپیوتر شخصی، موبایل و حتی روی ابر هم وجود دارند. گروه‌های مستقل امنیتی جداگانه این آسیب‌پذیری را کشف کرده‌اند، که در راس آن‌ها پروژه Zero گوگل قرار دارد. وصله‌های امنیتی لازم برای مقابله با آن هم پیش از اعلام عمومی تا جای ممکن آماده شده بود. ولی این حفره‌ها بیشتر جنبه‌ی سخت‌افزاری دارد و در نتیجه عمیق‌تر و زیرساختی‌تر از آن است که به راحتی بتوان جلوی آن‌ها را گرفت. ادامه خواندن “Meltdown و Spectre: دو خانواده‌ی خطرناک برای پردازنده‌ها”

پدربزرگ و حفظ امنیت اطلاعات

پدربزرگ و امنیت اطلاعات
تصویر: PathDoc/Shutterstock

پیرو باگ‌های اخیری که کشف شد (Spectre و Meltdown) و هزاران باگی که قبلاً کشف شدن، و امنیت اطلاعات رو بشدت تحت تاثیر قرار دادن، داشتم فکر میکردم که “بهترین، راحت‌ترین، ساده‌ترین، کارامدترین و اساسی‌ترین” راه‌کارهای امنیت اطلاعات چیا هستن که یکی بتونه حتی به پدر و مادر مسن آموزش بده؟ چند مورد به ذهنم رسید که در ادامه ذکر می‌کنم: ادامه خواندن “پدربزرگ و حفظ امنیت اطلاعات”

خواندنی: اخراج شدن و دوران صبر!

دنیای صنعتی این روزا یکسری واقعیت‌های تلخ داره که حوزه آی-تی و شبکه هم ازونها مستثنی نیست.
پیشنهاد میکنم این مطلب رو مطالعه کنین. نویسنده تجربیات سختی چه برای خودش ارزون بدست نیومدن رو به اشتراک گذاشته.

Getting Fired & Taking a Sabbatical … and How it Changed Things for Me

نتیجه‌گیری این مطلب رو در زیر قرار دادم:

You’re a statistic to your employer. Your immediate team and manager may have a stronger relationship, but the executive leadership likely doesn’t know your name or what you contribute. Remember that when you’re deciding whether to stay past 5pm, miss that concert with friends, miss your kid’s activity, or spend time with your spouse because “you have to work.”

Take a break.  It doesn’t have to be six months, but take a couple of weeks off a couple of times per year. The job, company, and the people will all still be there. If they aren’t, they weren’t there in the first place.  Maroon yourself somewhere, whether its an island, in the wilderness, or just somewhere that doesn’t have cell signal with your best friend or a loved one.  Trust me. It is the most rewarding soul-searching you’ll do.

Don’t stress over things you have no control over.  I let the layoff from NetApp really get to me in a deep way because I invested more in a relationship than the other party invested in me.  Actually, don’t invest in anyone that isn’t willing to quid pro quo with you. This won’t even cross your mind or be an issue with people and companies truly worth investing your time and energy into.

“You’ll never make any real money if you don’t change jobs, internally or with different companies, every three to five years.”  Some sage advice from my dad (career sales & mktg exec) many years ago. Only you can look yourself in the mirror and know what you’re worth.  Don’t stagnate.  Don’t sell yourself short.  Demand your worth, but be ready to sell it too because ….

“Assumption is the mother of all f**kups.”  A quote mostly overlooked from the villain in UNDER SIEGE 2, but it’s a mantra I’ve tried to live life by.  Never assume everyone knows everything you’re doing. Never assume everyone understands the value of something.  Never assume.  I get a lot of flack for being too verbose at times, but this is why. I always want everyone to understand my motivations for doing something a certain way, in order to highlight transparency and incite conversation.  Never assume you understand what everyone is doing, and never assume you know what they think about you. Never assume people are your friends over their own self-interests.

پادکست با سکان آکادمی

محمد مقدس - پادکست سکان آکادمی

آقای بهزاد مرادی از تیم خوب سکان آکادمی لطف کردن و از بنده جهت یه پادکست خودمونی، بقولی TechTalk درباره ی حوزه ی شبکه دعوت کردن.
خودم شحصاً ایده‌ی برگزاری پادکست رو دوست دارم و وقتی ایران بودم با رادیو جوان چندین پادکست کلی در حوزه فناوری اطلاعات تهیه کردیم، اما بعد از اون متاسفانه فرصتش پیش نیومد.

در این پادکست به موضوعات مختلفی پرداختیم که خیلی از اونها از برایند سوالات عزیزانی بود که در اطلاعیه پادکست درخواست کرده بودن. موارد زیر از جمله مطالبی هست که در پادکست درباره ی اون‌ها بحث شد:

  • چی بخونم؟ بازار کار چی خوبه؟ و …
  • دنیای شبکه
  • موفقیت در بازار فناوری اطلاعات و شبکه
  • آینده‌ی دنیای شبکه و مواردی که یک مهندس شبکه باید بدونه
  • اینترنت اشیا (IoT)
  • فضای کاری خارج از کشور
  • تفاوت کار در ایران، اروپا و آمریکا
  • صحبت هایی در رابطه با زندگی در آلمان و کلاً اروپا و جو فعلی
  • توضیح مختصر از شرکت AT&T
  • صحبتی کوتاه در رابطه با استارتاپ‌ها

میتونین این پادکست رو در این لینک گوش کنین و یا دانلود کنین.
خوشحال میشم نظرتون رو بدونم و امیدوارم مفید باشه.

تصویر: این کد رو فقط خدا میدونه!

این کد رو فقط خدا میدونه!

وقتی این کد رو زدم، فقط خودم و خدا میدونستیم که چیه و چیکار میکنه.

الان فقط خدا میدونه 🙂