Free Your Malloc
47 subscribers
76 photos
8 videos
2 files
66 links
You clearly don't know the power of a sword in the hands of a murderer.

Blog @ https://floppydisk.vercel.app
CV & busniess contact @ https://0xdevii.github.io
Download Telegram
یکی از چیزهایی که به لطف آخوند و ج.ا امروزه تبدیل به یه کاسبی شده که عملا کثافت کاریه، فروش vpn عه.

این موضوع شاید همه جای دنیا باشه، منتهی فرقش اینه که جاهای دیگه این موضوع با نظارت انجام میشه و vpn provider موظفه در قبال سرویسی که ارائه میکنه پاسخگوی کلاینتش باشه.

اینجا هرکی میتونه چهارتا کامند بش ران کنه میاد سرور میخره و کیلویی به همه میفروشتش و بعد دو روزم که بسته میشه، به لطف عدم نظارت و غیرقانونی بودن کسب و کار vpn عملا موفق شده دزدی سایبری انجام بده و کسی هم کاری به کارش نداره.

تو این بلاگ توضیح دادم چطور میتونید vpn خودتون رو بسازید. مزایا یادگیری این موضوع اینه که
۱. سرور هاتون تماما دست خودتونن و هیچ ترد پارتی ای بهشون دسترسی نداره

۲. چون سرور ها شخصی ان و لوکال ازشون استفاده میکنید، امکان لو رفتن ایپی و بسته شدنش به مراتب کمتر از vpn های دیگست

۳. چون واسطه این وسط نیست، سود اضافی هم وسط نیست و طبیعتاً هزینه کمتری برای داشتن vpn اتون میکنید

https://floppydisk.vercel.app/posts/create-your-own-vpn

@FreeYourMalloc
درک مفهوم رمزنگاری همیشه یکی از مهم ترین مباحثی هست که به عنوان یه برنامه نویس، مدیر سیستم، شبکه کار و تقریبا هر تایتل دیگه ای تو IT نیازمندش هستید.

دونستن رمزنگاری حتی در حد مفهوم به سواد عمومی هم کمک میکنه که وقتی میگیم فلان اپ یا سرویس از رمزنگاری سراسری، رمزنگاری دو طرفه یا یک طرفه، امضا و ... استفاده میکنه منظور چیه و چه مزیتی برای کلاینت نهایی داره.

حالا اگه میخوایین خیلی تکنیکال تر به قضیه نگاه کنین و توش دیپ شین، این اسکریپت چتی که نوشتم می‌تونه خیلی بهتون کمک کنه. یه سیستم چته که به هر دو صورت رمزنگاری شده و رمزنگاری نشده پیام هارو ارسال/دریافت میکنه. نمونه سمپل شنود وایرشارک هم برای هر دو حالت هست که نشون میده پکت ها در هر حالت چطور ارسال/دریافت میشن و دسترسی سیستم کنترل بهشون چطوریه.

علاوه بر اون میتونین سوکت نویسی، مفهوم ip/port binding و practical cryptography رو هم ببینین که میتونه کمک کننده باشه.

پ.ن: دلیل اینکه سازوکار key exchange پیاده سازی نشده اینه که پروژه تا حد امکان ساده باشه و تفاوت پکت ها رو بتونین از دید کنترل/مسدود کننده ببینین.

https://github.com/0xDeviI/py-socket-secure-transfer


@FreeYourMalloc
دیدن این ویدیو جادی در مورد فلیپر زیرو (Flipper zero) رو توصیه میکنم. به لحاظ تکنیکال توضیح میده که این دیوایس چیه و چطور کار میکنه.
https://youtu.be/nKbL0QEjS6Y?si=nWOUcBz0Bdk3_ewX


نکته ای که هست همون بحث همیشگی محدودیت و فضای بسته ایران هست که همیشه تو هر موضوعی شاهدش هستیم. موضوع سیستم های رادیویی و شنود اونها هم مستثنی نیست که متاسفانه در ایران ممنوعه.

دلیل؟ تحریم خارجی باعث میشه قطعه، نرم افزار، سخت افزار، علم، و به صورت کلی اسباب لازم برای تامین امنیت سایبری و دیجیتال فراهم نشه.

از طرفی همون تحریم + سیستم نخبه کشی و جذب افراد بی استعداد باعث شده سیستم علمی کشور از نظر محتوا و خروجی عملا پوچ باشه و راهکار جدیدی یا جایگزینی برای فراهم کردن امنیت نداشته باشه.

راهکار آخوندی؟ تا جایی که بشه از روسیه و چین مشابه درجه ۴ بی کیفیت همون محصول جهانی رو وارد میکنیم و هرجا شکست خوردیم، محدودیت ایجاد میکنیم. دقیقا مثل محدودیت های سازمان رادیویی کشور که روی امواج هست و شنود اونها رو حتی در فرکانس های پایین و موارد کم اهمیت غیرمجاز میدونه و قانون هم مجازات متناسب با جرم سیاسی-امنیتی رو برای فرد شنود کننده در نظر میگیره.

خط این محدودیت ها رو بگیرین حتی به دعاوی داخلی خود سیستم هم میرسین. نمونه اش اختلاف آذری جهرمی با صدا و سیما سر اختصاص فرکانس های ۷۰۰ و ۸۰۰ مگاهرتز برای ظرفیت سازی شبکه موبایل و افزایش سرعت اینترنت که عنوان شده بود:
«صدا و سیما در این زمینه همکاری لازم را به عمل نمی آورد.»
و خب پر واضحه که صدا و سیما توسط چه ارگانی و با چه تفکری کنترل میشه.

@FreeYourMalloc
Forwarded from Yasha
کاش این یارو «میلاد اعظمی» هرچه سریع‌تر بتونه یه شغل آبرومند واسه خودش پیدا کنه. شرایط جامعه خوب نیست، مردم وضع جالبی ندارن، این رویافروشی [یا همون کلاهبرداری] خسارت خیلی بدی به آدما از لحاظ مالی و زمانی میزنه.

@Yasha
Forwarded from Yasha
Yasha
Photo
«تا موقعی که مردم باور دارن easy money وجود داره این قضیه هم هست، جلوی میلادها یا کوروش کمپانی‌ها رو نمیشه بگیری هیچ‌وقت، این نباشه یکی دیگه میاد»

@Yasha
یه مدته درگیر نوشتن گیم حکم به شکل TUI (Terminal User Interface) ام.
رودمپ ذهنیم براش اینه که اول کل لاجیک گیم توش پیاده شه.
بعد با سوکت بیام سیستم client/server بهش اد کنم که بشه سرور ساخت و جوین شد و پلی داد.
در نهایت میخوام یه AI بهش اد کنم که هر نفر بتونه به صورت client only رو سیستم خودش گیم بزنه (احتمالا سخت ترین قسمتش)

گیم به زبان C عه. اگه دوست داشتید مشارکت کنید، الان رو گیته:
https://github.com/0xDeviI/hokm


@FreeYourMalloc
من خودم به شخصه خیلی در مورد انتخاب بهینه فکر میکنم. انتخاب بهینه مسئله ای هست که بجز کامپیوتر و ریاضیات و کاربردهاشون (مثل رمزنگاری و قضایای PRNG و ...) تو تمامی مراحل زندگی اتفاق میوفته. ما مدام سعی میکنیم بین گزینه هایی که برای یک عمل یا موقعیت داریم، بهترین انتخاب رو انجام بدیم. حین انتخاب ممکنه شرایط مختلفی مثل گذشته، شرایط حال و شرایطی که اون انتخاب خاص روی آینده میذاره رو عامل قرار بدیم و انتخابمون تحت تاثیر این عوامل انجام بشه.

اما ۲ سوال اینجاست:
۱. آیا امکان داره یک فرمول یا راه مشخص برای همه انتخاب ها وجود داشته باشه؟‌ روشی ثابت که بتونه برای هر نوع انتخاب تحت تاثیر هر شرایطی جواب خوب (ایده آل) بده؟

۲. اگر چنین چیزی وجود داره، چند درصد ممکنه جوابی که میده ایده آل باشه؟ (چون قطعا 100 درصد مواقع نمیتونه بهترین انتخاب رو پیدا کنه)


من فکر میکنم چنین چیزی وجود داره.
و اگه میخوایین بر اساس اثبات ریاضی و همچنین آمار بدونین چطوری، پیشنهاد میکنم این ویدیو رو ببینین.
https://www.youtube.com/watch?v=d6iQrh2TK98


@FreeYourMalloc
#فکت
تو عکس اول مشخصات مدل هوش مصنوعی Grok-1.5 شرکت xAI (ایلان ماسک) رو میبینید که به تازگی عرضه شده و از خیلی از مدل های هوش مصنوعی عملکرد بهتری داره.
تو عکس دوم مشخصات حداقل سیستم پیشنهادی (که خودش ابر کامپیوتر به حساب میاد) رو میبینین که توانایی اجرای این مدل رو داره.
قیمت هر کارت گرافیک A100 حدودا 1.25 میلیارد تومان هست. 8 تاش میشه 10 میلیارد تومان.
قیمت هر پردازنده Xeon 8480 حدودا 122 میلیون تومان هست. 2 تاش میشه 244 میلیون تومان.
قیمت 1.5 ترابایت رم حدودا 1.1 میلیارد تومان هست.
مجموعا برای اجرای مدل هوش مصنوعی Grok، شما حدودا به 11.4 میلیارد تومان پول نیاز دارید.

با دزدی زمین 1000 میلیارد تومانی کاظم صدیقی، میشه 88 عدد از این سیستم تهیه کرد و به سیستم hpc (مراکز پردازش سریع) دانشگاه ها اضافه بشه تا برای مقاصد علمی استفاده بشه.
و این در حالیه که همین الان (11 فروردین 1403) دانشگاه های سمنان، فردوسی مشهد، علم و صنعت ایران، صنعتی نوشیروانی بابل، گیلان، کردستان، بیرجند، حکیم سبزواری در بیشترین پلن های hpc پابلیکشون قادر به ارائه چنین سیستمی نیستن یا باید بیش از نصف توان hpc رو مصرف کنن!


@FreeYourMalloc
همیشه برای استفاده از تور ۲ تا مشکل وجود داره.
اولیش اینه که معمولا مستقیم به تور وصل میشیم که عملا این روش ایمن نیست چون ISP میتونه نود اولی که بهش وصل میشیمو شناسایی کنه.
دومیش هم اینه که چون تور روی 127.0.0.1 ران میشه، نمیشه تو دیوایس های دیگه از IP سیستمی که تور رو هاست کرده به عنوان SOCKS5 proxy استفاده کرد.
(یه مشکل سوم هم هست که فیلترچی بسته به اپراتوری که روشین کلا کنسل کنه وصل شدنتونو)

به هر حال برای جفت مشکل اول راه حل وجود داره:
۱. قبل وصل شدن به تور به یه VPN وصل بشیم و از اونجا به تور وصل بشیم (یه چیزی تو مایه های wrap کردن torifier رو یه تانل دیگه)
۲. بیاییم با پورت فورواردینگ، ترافیک 127.0.0.1:9050 که کانکشن دیفالت تور هست رو روی 0.0.0.0:xxxx فوروارد کنیم تا بتونیم رو تمام اینترفیس ها به تور دسترسی داشته باشیم.

با این bash اسکریپتی که نوشتم میتونین هر دو راه حل رو implement کنین. اسکریپت به عنوان نمونه از یه کانفیگ OpenVPN از VpnBook استفاده میکنه و به VPN وصل میشه.
بعد میاد با Chisel ترافیک پورت 9050 رو روی 9051 (منتهی رو تمامی اینترفیس ها) فوروارد میکنه و در آخر سرویس تور رو از systemd ریستارت میکنه.

اگه دوست داشتید مشارکت کنید، الان رو گیته. میتونین بهش استار هم بدین :)

https://github.com/0xDeviI/torifier


@FreeYourMalloc
یکی از نکات جالبی که در مورد قضیه بک دور تو xz هست و به نظر من بولد ترین قسمت کاره، اینه که هکر (Jia) عملا یه پروسه طولانی مدت در حال برنامه ریزی بوده که چطور یه حمله فوق طولانی مهندسی اجتماعی (حدود ۳ سال) انجام بده.
این موضوع بازم یادآور این میشه که نفوذ و رخنه اول روی المان دنیای واقعی انجام میشه و بعد به مجازی کشیده میشه. جلب کردن اعتماد، اولین مرحله برای نفوذ بوده که انجام شده و این مرحله ۳ سال ادامه داشته تا پابلیش اصلیه رو انجام داده.

اگر میخوایین بیشتر در مورد حمله و فاز مهندسی اجتماعیش بدونین، این ویدیو تئو بخش خوبیش رو کاور کرده.
https://www.youtube.com/watch?v=0pT-dWpmwhA

۲ نکته:
۱. هیچوقت کدی رو بدون ریویو اکسپت نکنید. حتی اگه پوش از مینتینر های اصلی باشه.
۲. فکر میکنم اکثر دیسترو ها آپگرید دادن برای xz. سریعا xz تون رو اپگرید کنید (ممکنه اپگرید شمارو به ورژن قبل 5.6.1 آسیب پذیر ببره که منطقی هم هست. صبر کنید تا نسخه جدید منتشر بشه)


@FreeYourMalloc
#انتخابات
وقتی از انتخابات صحبت می‌کنیم، منظور اینه که مردم تو تعیین سرنوشت کشورشون تاثیر مستقیم دارن. امروز اگه دو به شکی که رای بدی، به این فکر کن که

۱. مشارکت تو، مشارکت کلی رو می‌بره بالا. این برای نظام به شکل عمومی خوبه.

۲. احتمال خیلی زیادی هست اونی که خودشون می‌خوانو در بیارن. تو این شرایط تو فقط مشارکت کردی و بهشون کردیت دادی.

۳. حتی اگه به پزشکیان رای بدی و رای هم بیاره، بازم پر واضحه که نمی‌ذارن چیزایی که پزشکیان ازشون حرف زده عملی بشه (تازه اگه بخواد!). مثال میزنم: قضیه حجاب یه سیاست کلی نظامه که بارها خامنه ای گفته ازش کوتاه نمیاد. قضیه مذاکرات و رفع تحریم ها با نظامه و وزارت امور خارجه فقط سیاست های کلی نظامو ابلاغ میکنه. قضیه اینترنت و محدودیت های روش با شورای عالی امنیت ملیه که با اینکه رییس جمهور رییس این شوراست، ولی بازم نظام می‌تونه تو مواردی که حق قانونی نداره دخالت کنه (مثل دست بردن تو تایید صلاحیت های سال های قبل یا تغییر رویه قانونی دادگاهی شدن موسوی به حصر خانگی‌ و ...). لزوما نمی‌گم کسی مثل پزشکیان نمی‌خواد این کارهارو بکنه، نمیذارن.

یه جمله معروفی هست که میگه قانون، در غیاب زور و سلاح قانونه. بعد اون دیگه کاغذ باطله است.

خودت حساب کن،
در هر شرایطی نظام اون کاری رو که می‌خواسته کرده و بازم می‌کنه. تو فقط این وسط بازیچه میشی و تهش از خودت بدت میاد که چرا باز به این سیستم فاسد اعتماد کردی.

من کسی که می‌خواد رای بده رو سرزنش نمی‌کنم. اما مرور کن چی شد. مرور کن ۹۸ چیکار کردن. مرور کن ۴۰۱ چیکار کردن. تو بعضی از این اتفاقا شاید دولت واقعا کاری نکرده.

دستور، دستور نظام بوده. رای تو هم، رای به نظام میشه.

#رای_نمیدم

@FreeYourMalloc
ستاد جلیلی یه سامانه زده که طرفداراش میرن ثبت نام میکنن، بعد شماره ملتو میبینن و بهشون زنگ میزنن که برین به این نره خر رای بدین.
مهمترین و از نظر آقایون بی ارزش ترین چیزی که این وسط هست امنیت و حریم خصوصی افراده که هیچ توجهی بهش نمیشه. تو یک کشور درست و حسابی این افراد باید تو دادگاه توضیح بدن چطور این شماره هارو به دست آوردن؟ چند تا شماره دارن و برای چه مقاصد دیگه ای ازش استفاده کردن/میکنن؟ و جدای از همه اینا، شاید یکی نخواد حتی از طرف شماها تماسی داشته باشه. این حجم تولید گسترده اسپم رو چطور جواب میدن؟

بارها و بارها توسط متخصصین IT و امنیت سایبری به دولت و قوای سه گانه هشدار داده شده که قانون حمایت از حریم شخصی و داده های دیجیتال باید تصویب بشه. نه تنها این قانون تصویب نشده، بلکه در نهایت آقایون حمایت از داده های دیجیتال رو لید کردن به برنامه ای که بهش میگن طرح صیانت از اینترنت ملی و خوشحالن که دارن با نهایت قدرت انجامش میدن.

نبود سازوکار های محکمی مثل GDPR که تو اروپا و بقیه جاهای دنیا هست، باعث شده digital business owner ها نسبت به هک شدن و رخنه به سامانه هاشون بی تفاوت باشن و هک شدن و لیک شدن دیتا براشون هیچ اهمیتی نداره. بنابر این وقتی تو ایران یک سامانه هک میشه، صرفا دیتا لیک شده و پیگیرد قانونی ای بر علیه بیزنس اونر وجود نداره. وقتی چنین سازوکاری وجود داشته باشه، شرکتی که میخواد تو عرصه دیجیتال فعالیت کنه نمیاد با یه تیم فشل قرارداد ببنده. میره با یه تیم حرفه ای و مسئولیت پذیر میبنده. میره SOC و Red Team/Blue Team programs ایجاد میکنه، bug bounty programs میذاره و کلی کار دیگه. چون اون موقع مطمئنه این هزینه ای که میکنه ارزشش رو داره و اگه پسفردا هک شد، حداقل درگیر مسائل قضایی نمیشه و صرفا به اعتبارش ضربه میخوره و غرامتشو میده.

تو کشوری که شنود SSL و TLS به شکل گسترده انجام میشه، یه شورای بی سواد به اسم امنیت ملی میتونه اینترنت رو از ریشه ببنده طوری که دیتاسنتر های مادر هم down شن، به مردم حق اعتراضات نمیدن و دولت/نظام هروقت بخواد میتونه بدون تایید مراجع قضایی اقدام به شنود گسترده ملی یا domestic surveillance کنه، تصویب قوانینی مثل GDPR یا حمایت از داده های دیجیتال و حریم شخصی برای سیستم مثل یه جوکه. اگر هم تصویب بشه، اجرایی نمیشه. مشکل اصلی ایران هم تو تمام دوران افولش همین بوده؛ عدم احترام به ملت.

تا الان سامانه های حیاتی مثل سازمان NOCR (ثبت احوال)، اسنپ، سازمان حج، کلیه بیمه ها و چندین بانک هک شدن که از هرکدوم دیتابیس هایی با میلیون ها رکورد برای فروش گذاشته شده. دیتابیس هایی که توشون نام، نام خانوادگی، نام پدر، کد ملی، شماره تماس، ادرس، روابط خانوادگی و هزارتا چیز شخصی دیگه هست. قیمت این دیتابیس ها حدودا 5 تا نهایت 100 هزاردلاره که برای آدم های عادی قابل خرید نیست. اما دولت (یا جریان وابسطه به دولت) به راحتی میتونه این دیتابیسا رو خریداری کنه و برای مقاصد مختلف استفاده کنه.

حالا باز برو رای بده، ببین چی عوض میشه. رای دادن امروز یعنی کردیت دادن به این سیستم ناکارآمد و بی عرضه که کوچکترین اهمیت و ارزشی برای شهروندش قائل نیست. نه تنها از مردمش، که حتی از خودشم نمیتونه دفاع کنه.
#ناکارآمدی

@FreeYourMalloc
#TipOfTheDay
Bad guys won't sit and wait for you honey. Do yourself a favor and update yourself. NOW.


@FreeYourMalloc
🍾4❤‍🔥1👍1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
از دیشب سیستم های (ویندوزی) فرودگاه ها، بانک ها، فروشگاه ها، داروخانه و بیمارستان و ... دچار اختلال شدن و صفحه BSOD (Blue Screen Of Death) نشون میدن. این صفحه روی سیستم های ویندوزی وقتی نشون داده میشه که اصطلاحا kernel panic رخ داده و سیستم تو عمق یه مشکل جدی پیدا کرده.

حالا قضیه چیه؟
یه شرکت ثالث به اسم CrowdStrike که ارائه دهنده راهکار های امنیته (مشخصا در مورد سرویس فالکن و XDR/EDR شون صحبت میکنم) اومده یه اپدیت جدید داده که باعث kernel panic تو سیستم های ویندوزی شده. از اونجایی که از این سرویس تو مراکز مختلف برای مقاصد SIEM استفاده میشه، تمامی این مراکز دچار مشکل شدن. پس فقط سیستم هایی دچار مشکل شدن که (ویندوزی ان) و (از سافت ور CrowdStrike استفاده میکنن).
یه سری سلوشن موقت تا الان اومده، مثل اینکه اپدیت جدید رو حذف کنن یا تغییراتی تو registry بدن که اپدیت رو ایگنور کنه. به هر حال باید منتظر پچ رسمی CrowdStrike موند.

@FreeYourMalloc
👍6👀2🔥1
Free Your Malloc
از دیشب سیستم های (ویندوزی) فرودگاه ها، بانک ها، فروشگاه ها، داروخانه و بیمارستان و ... دچار اختلال شدن و صفحه BSOD (Blue Screen Of Death) نشون میدن. این صفحه روی سیستم های ویندوزی وقتی نشون داده میشه که اصطلاحا kernel panic رخ داده و سیستم تو عمق یه مشکل…
در مورد اینکه چرا تو ایران و روسیه و چین و کره شمالی خبری نیست هم فکر میکنم همه میدونیم و واضحه دلیلش. چون این کشورا تحریم ان، هم اپدیت های مایکروسافت و هم اپدیت های سافت ورای ثالث (مثل crowdstrike) برای اینا نمیاد و حتی خود این سافت ورام با کرک و به شکل "دزدی" نصب میشن. در نتیجه اون اپدیت آسیب پذیرو نگرفتن.

پ.ن: حالا شب صدا‌و‌سیما میاد از این به عنوان دستاورد امنیتی ج.ا یاد میکنه.

@FreeYourMalloc
👍9🔥1