Free Your Malloc
47 subscribers
76 photos
8 videos
2 files
66 links
You clearly don't know the power of a sword in the hands of a murderer.

Blog @ https://floppydisk.vercel.app
CV & busniess contact @ https://0xdevii.github.io
Download Telegram
Channel created
Channel photo updated
یکی از چیزهایی که به لطف آخوند و ج.ا امروزه تبدیل به یه کاسبی شده که عملا کثافت کاریه، فروش vpn عه.

این موضوع شاید همه جای دنیا باشه، منتهی فرقش اینه که جاهای دیگه این موضوع با نظارت انجام میشه و vpn provider موظفه در قبال سرویسی که ارائه میکنه پاسخگوی کلاینتش باشه.

اینجا هرکی میتونه چهارتا کامند بش ران کنه میاد سرور میخره و کیلویی به همه میفروشتش و بعد دو روزم که بسته میشه، به لطف عدم نظارت و غیرقانونی بودن کسب و کار vpn عملا موفق شده دزدی سایبری انجام بده و کسی هم کاری به کارش نداره.

تو این بلاگ توضیح دادم چطور میتونید vpn خودتون رو بسازید. مزایا یادگیری این موضوع اینه که
۱. سرور هاتون تماما دست خودتونن و هیچ ترد پارتی ای بهشون دسترسی نداره

۲. چون سرور ها شخصی ان و لوکال ازشون استفاده میکنید، امکان لو رفتن ایپی و بسته شدنش به مراتب کمتر از vpn های دیگست

۳. چون واسطه این وسط نیست، سود اضافی هم وسط نیست و طبیعتاً هزینه کمتری برای داشتن vpn اتون میکنید

https://floppydisk.vercel.app/posts/create-your-own-vpn

@FreeYourMalloc
درک مفهوم رمزنگاری همیشه یکی از مهم ترین مباحثی هست که به عنوان یه برنامه نویس، مدیر سیستم، شبکه کار و تقریبا هر تایتل دیگه ای تو IT نیازمندش هستید.

دونستن رمزنگاری حتی در حد مفهوم به سواد عمومی هم کمک میکنه که وقتی میگیم فلان اپ یا سرویس از رمزنگاری سراسری، رمزنگاری دو طرفه یا یک طرفه، امضا و ... استفاده میکنه منظور چیه و چه مزیتی برای کلاینت نهایی داره.

حالا اگه میخوایین خیلی تکنیکال تر به قضیه نگاه کنین و توش دیپ شین، این اسکریپت چتی که نوشتم می‌تونه خیلی بهتون کمک کنه. یه سیستم چته که به هر دو صورت رمزنگاری شده و رمزنگاری نشده پیام هارو ارسال/دریافت میکنه. نمونه سمپل شنود وایرشارک هم برای هر دو حالت هست که نشون میده پکت ها در هر حالت چطور ارسال/دریافت میشن و دسترسی سیستم کنترل بهشون چطوریه.

علاوه بر اون میتونین سوکت نویسی، مفهوم ip/port binding و practical cryptography رو هم ببینین که میتونه کمک کننده باشه.

پ.ن: دلیل اینکه سازوکار key exchange پیاده سازی نشده اینه که پروژه تا حد امکان ساده باشه و تفاوت پکت ها رو بتونین از دید کنترل/مسدود کننده ببینین.

https://github.com/0xDeviI/py-socket-secure-transfer


@FreeYourMalloc
دیدن این ویدیو جادی در مورد فلیپر زیرو (Flipper zero) رو توصیه میکنم. به لحاظ تکنیکال توضیح میده که این دیوایس چیه و چطور کار میکنه.
https://youtu.be/nKbL0QEjS6Y?si=nWOUcBz0Bdk3_ewX


نکته ای که هست همون بحث همیشگی محدودیت و فضای بسته ایران هست که همیشه تو هر موضوعی شاهدش هستیم. موضوع سیستم های رادیویی و شنود اونها هم مستثنی نیست که متاسفانه در ایران ممنوعه.

دلیل؟ تحریم خارجی باعث میشه قطعه، نرم افزار، سخت افزار، علم، و به صورت کلی اسباب لازم برای تامین امنیت سایبری و دیجیتال فراهم نشه.

از طرفی همون تحریم + سیستم نخبه کشی و جذب افراد بی استعداد باعث شده سیستم علمی کشور از نظر محتوا و خروجی عملا پوچ باشه و راهکار جدیدی یا جایگزینی برای فراهم کردن امنیت نداشته باشه.

راهکار آخوندی؟ تا جایی که بشه از روسیه و چین مشابه درجه ۴ بی کیفیت همون محصول جهانی رو وارد میکنیم و هرجا شکست خوردیم، محدودیت ایجاد میکنیم. دقیقا مثل محدودیت های سازمان رادیویی کشور که روی امواج هست و شنود اونها رو حتی در فرکانس های پایین و موارد کم اهمیت غیرمجاز میدونه و قانون هم مجازات متناسب با جرم سیاسی-امنیتی رو برای فرد شنود کننده در نظر میگیره.

خط این محدودیت ها رو بگیرین حتی به دعاوی داخلی خود سیستم هم میرسین. نمونه اش اختلاف آذری جهرمی با صدا و سیما سر اختصاص فرکانس های ۷۰۰ و ۸۰۰ مگاهرتز برای ظرفیت سازی شبکه موبایل و افزایش سرعت اینترنت که عنوان شده بود:
«صدا و سیما در این زمینه همکاری لازم را به عمل نمی آورد.»
و خب پر واضحه که صدا و سیما توسط چه ارگانی و با چه تفکری کنترل میشه.

@FreeYourMalloc
Forwarded from Yasha
کاش این یارو «میلاد اعظمی» هرچه سریع‌تر بتونه یه شغل آبرومند واسه خودش پیدا کنه. شرایط جامعه خوب نیست، مردم وضع جالبی ندارن، این رویافروشی [یا همون کلاهبرداری] خسارت خیلی بدی به آدما از لحاظ مالی و زمانی میزنه.

@Yasha
Forwarded from Yasha
Yasha
Photo
«تا موقعی که مردم باور دارن easy money وجود داره این قضیه هم هست، جلوی میلادها یا کوروش کمپانی‌ها رو نمیشه بگیری هیچ‌وقت، این نباشه یکی دیگه میاد»

@Yasha
یه مدته درگیر نوشتن گیم حکم به شکل TUI (Terminal User Interface) ام.
رودمپ ذهنیم براش اینه که اول کل لاجیک گیم توش پیاده شه.
بعد با سوکت بیام سیستم client/server بهش اد کنم که بشه سرور ساخت و جوین شد و پلی داد.
در نهایت میخوام یه AI بهش اد کنم که هر نفر بتونه به صورت client only رو سیستم خودش گیم بزنه (احتمالا سخت ترین قسمتش)

گیم به زبان C عه. اگه دوست داشتید مشارکت کنید، الان رو گیته:
https://github.com/0xDeviI/hokm


@FreeYourMalloc
من خودم به شخصه خیلی در مورد انتخاب بهینه فکر میکنم. انتخاب بهینه مسئله ای هست که بجز کامپیوتر و ریاضیات و کاربردهاشون (مثل رمزنگاری و قضایای PRNG و ...) تو تمامی مراحل زندگی اتفاق میوفته. ما مدام سعی میکنیم بین گزینه هایی که برای یک عمل یا موقعیت داریم، بهترین انتخاب رو انجام بدیم. حین انتخاب ممکنه شرایط مختلفی مثل گذشته، شرایط حال و شرایطی که اون انتخاب خاص روی آینده میذاره رو عامل قرار بدیم و انتخابمون تحت تاثیر این عوامل انجام بشه.

اما ۲ سوال اینجاست:
۱. آیا امکان داره یک فرمول یا راه مشخص برای همه انتخاب ها وجود داشته باشه؟‌ روشی ثابت که بتونه برای هر نوع انتخاب تحت تاثیر هر شرایطی جواب خوب (ایده آل) بده؟

۲. اگر چنین چیزی وجود داره، چند درصد ممکنه جوابی که میده ایده آل باشه؟ (چون قطعا 100 درصد مواقع نمیتونه بهترین انتخاب رو پیدا کنه)


من فکر میکنم چنین چیزی وجود داره.
و اگه میخوایین بر اساس اثبات ریاضی و همچنین آمار بدونین چطوری، پیشنهاد میکنم این ویدیو رو ببینین.
https://www.youtube.com/watch?v=d6iQrh2TK98


@FreeYourMalloc
#فکت
تو عکس اول مشخصات مدل هوش مصنوعی Grok-1.5 شرکت xAI (ایلان ماسک) رو میبینید که به تازگی عرضه شده و از خیلی از مدل های هوش مصنوعی عملکرد بهتری داره.
تو عکس دوم مشخصات حداقل سیستم پیشنهادی (که خودش ابر کامپیوتر به حساب میاد) رو میبینین که توانایی اجرای این مدل رو داره.
قیمت هر کارت گرافیک A100 حدودا 1.25 میلیارد تومان هست. 8 تاش میشه 10 میلیارد تومان.
قیمت هر پردازنده Xeon 8480 حدودا 122 میلیون تومان هست. 2 تاش میشه 244 میلیون تومان.
قیمت 1.5 ترابایت رم حدودا 1.1 میلیارد تومان هست.
مجموعا برای اجرای مدل هوش مصنوعی Grok، شما حدودا به 11.4 میلیارد تومان پول نیاز دارید.

با دزدی زمین 1000 میلیارد تومانی کاظم صدیقی، میشه 88 عدد از این سیستم تهیه کرد و به سیستم hpc (مراکز پردازش سریع) دانشگاه ها اضافه بشه تا برای مقاصد علمی استفاده بشه.
و این در حالیه که همین الان (11 فروردین 1403) دانشگاه های سمنان، فردوسی مشهد، علم و صنعت ایران، صنعتی نوشیروانی بابل، گیلان، کردستان، بیرجند، حکیم سبزواری در بیشترین پلن های hpc پابلیکشون قادر به ارائه چنین سیستمی نیستن یا باید بیش از نصف توان hpc رو مصرف کنن!


@FreeYourMalloc
همیشه برای استفاده از تور ۲ تا مشکل وجود داره.
اولیش اینه که معمولا مستقیم به تور وصل میشیم که عملا این روش ایمن نیست چون ISP میتونه نود اولی که بهش وصل میشیمو شناسایی کنه.
دومیش هم اینه که چون تور روی 127.0.0.1 ران میشه، نمیشه تو دیوایس های دیگه از IP سیستمی که تور رو هاست کرده به عنوان SOCKS5 proxy استفاده کرد.
(یه مشکل سوم هم هست که فیلترچی بسته به اپراتوری که روشین کلا کنسل کنه وصل شدنتونو)

به هر حال برای جفت مشکل اول راه حل وجود داره:
۱. قبل وصل شدن به تور به یه VPN وصل بشیم و از اونجا به تور وصل بشیم (یه چیزی تو مایه های wrap کردن torifier رو یه تانل دیگه)
۲. بیاییم با پورت فورواردینگ، ترافیک 127.0.0.1:9050 که کانکشن دیفالت تور هست رو روی 0.0.0.0:xxxx فوروارد کنیم تا بتونیم رو تمام اینترفیس ها به تور دسترسی داشته باشیم.

با این bash اسکریپتی که نوشتم میتونین هر دو راه حل رو implement کنین. اسکریپت به عنوان نمونه از یه کانفیگ OpenVPN از VpnBook استفاده میکنه و به VPN وصل میشه.
بعد میاد با Chisel ترافیک پورت 9050 رو روی 9051 (منتهی رو تمامی اینترفیس ها) فوروارد میکنه و در آخر سرویس تور رو از systemd ریستارت میکنه.

اگه دوست داشتید مشارکت کنید، الان رو گیته. میتونین بهش استار هم بدین :)

https://github.com/0xDeviI/torifier


@FreeYourMalloc
یکی از نکات جالبی که در مورد قضیه بک دور تو xz هست و به نظر من بولد ترین قسمت کاره، اینه که هکر (Jia) عملا یه پروسه طولانی مدت در حال برنامه ریزی بوده که چطور یه حمله فوق طولانی مهندسی اجتماعی (حدود ۳ سال) انجام بده.
این موضوع بازم یادآور این میشه که نفوذ و رخنه اول روی المان دنیای واقعی انجام میشه و بعد به مجازی کشیده میشه. جلب کردن اعتماد، اولین مرحله برای نفوذ بوده که انجام شده و این مرحله ۳ سال ادامه داشته تا پابلیش اصلیه رو انجام داده.

اگر میخوایین بیشتر در مورد حمله و فاز مهندسی اجتماعیش بدونین، این ویدیو تئو بخش خوبیش رو کاور کرده.
https://www.youtube.com/watch?v=0pT-dWpmwhA

۲ نکته:
۱. هیچوقت کدی رو بدون ریویو اکسپت نکنید. حتی اگه پوش از مینتینر های اصلی باشه.
۲. فکر میکنم اکثر دیسترو ها آپگرید دادن برای xz. سریعا xz تون رو اپگرید کنید (ممکنه اپگرید شمارو به ورژن قبل 5.6.1 آسیب پذیر ببره که منطقی هم هست. صبر کنید تا نسخه جدید منتشر بشه)


@FreeYourMalloc