بعد از ادعای بزرگ بنیاد رزبری در مورد غیر قابل هک بودن میکروکنترلر RP2350 و فراخوان به هک و تعیین کردن جایزه برای کسی که بتونه code امضا نشده رو روی میکرو اجرا کنه، چند تیم مستقل امنیتی موفق شدن حداقل پنج روش اجرایی رو پیدا کنن که عملاً تمام لایه‌های دفاعی سخت‌افزاری و نرم‌افزاری این چیپ رو دور می‌زنه، این حملات نشون دهنده شکست کامل مکانیزم‌های Secure Boot و حتی استخراج فیزیکی کلیدها از سیلیکون بود.

اولین حفره‌ای امنیتی که پیدا شد مربوط به (State Machine)سخت‌افزاری بود که مسئول خوندن اطلاعات حیاتی از حافظه OTP موقع بوت شدنه! محققان متوجه شدن که با یه گلیچ ولتاژ دقیق روی پین تغذیه USB_OTP_VDD در بازه زمانی ۲۴۵ تا ۲۷۵ میکروثانیه بعد از استارت، می‌شه کاری کرد که سیستم به جای داده‌های واقعی، مقادیر "Guard Read" (که اتفاقاً 0x333333 هستن) رو بخونه و این باعث می‌شه چیپ اشتباهاً دیباگ رو باز کنه و با معماری RISC-V بالا بیاد که هیچ‌کدوم از تنظیمات امنیتی روش اعمال نشده.

روش دوم حمله به بوت‌لودر USB بود که توی فضای Non-Secure اجرا می‌شه! اونجا یه تابع reboot هست که با دو تا دستور اسمبلی چک می‌کنه کسی درخواست (Vector Boot) نکرده باشه، ولی با (Crowbar Glitching) و اسکیپ کردن یکی از این دستورات، تونستن سیستم رو گول بزنن تا کد امضا نشده رو اجرا کنه و جالب اینجاست که حتی آشکارسازهای گلیچ و (Random Delays) هم نتونستن جلوی این حمله رو بگیرن.

قشنگترین حمله وقتی بود که پای لیزر وسط اومد و با یه ستاپ لیزری خونگی زیر ۸۰۰ دلار، پروسه تایید امضا رو هدف گرفتن! تکنیک اینجا یه جور TOCTOU بود که فرم‌ور سالم رو برای تایید امضا می‌فرستادن اما با استفاده از لیزر پوینتر حافظه رو تغییر می‌دادن تا موقع اجرا، کد مخرب از یه آدرس دیگه لود بشه.

حمله چهارم هم روی مکانیزم قفل نرم‌افزاری OTP سوار شد، جایی که بوت‌لودر سعی می‌کنه دسترسی‌ها رو ببنده و این کار رو دو بار چک می‌کنه، ولی با ایجاد "دو تا گلیچ" الکترومغناطیسی (EMFI) پشت سر هم روی دستورات شیفت بیت، تونستن کاری کنن که قفل اعمال نشه و کلیدها از طریق USB قابل خوندن بشن.

نهایتاً تیر خلاص استخراج فیزیکی بود! با اینکه سلول‌های آنتی‌فیوز ۴۰ نانومتری خیلی کوچیکن، با استفاده از تکنیک کنتراست ولتاژ غیرفعال (PVC) زیر میکروسکوپ FIB، تونستن مستقیماً وضعیت ۰ یا ۱ بودن بیت‌ها رو از روی سیلیکون ببینن چون فیوزهای سوخته بار الکتریکی رو تخلیه می‌کردن و روشن‌تر دیده می‌شدن.

رزبری‌پای همه این موارد رو تایید کرد و برای بعضی‌هاش Errata داد، ولی نکته ترسناک اینه که حملاتی مثل OTP PSM یا لیزر نیاز به تغییر سیلیکون دارن و با آپدیت نرم‌افزاری درست نمی‌شن، که نشون می‌ده پیچیدگی زیاد بوت‌لودر و اتکا به سخت‌افزاری که قبل از اجرای کد امنیتی گلیچ می‌خوره (Pre-boot attacks)، می‌تونه کل معماری امنیتی رو به باد بده.

نکته قابل توجه ماجرا اینه که حتی شرکت‌هایی مثل رزبری‌ که اسمشون با «مهندسی تمیز» و «قابل اعتماد بودن» گره خورده و ادعاهای بزرگی در مورد امن بودن دارن، ممکنه همینقدر قاطع تو پیاده سازی ساز و کارهای امنیتی شکست بخورن.

اگه به جزییات این ماجرا علاقه داشتید می‌تونید تو این مقاله در موردش بخونید.



📡openpcb

با اینکه نصف جملاتش رو نفهمیدم ، ولی همونی هم ک فهمیدم برگام ریخت🥸

از قدرت این اگه بخام براتون بگم اینطوریه که با یه همچین پرامتی :
create a todo list app like google tasks which has set time for each task , add date for them , we can create lists , we can set deadlines for them , and we can check them as important

یه همچین خروجی خفن و باحالی داد : https://8001-01f58edb-9c5c-4e1e-936a-8a9860c88ee2-bmna5npboeg7gusg.build-preview.cloudflare.dev/

یه متن کوتاه
یه دو بیتی
یه جمله
یا هر چیز قشنگی در مورد روز مادر دارین ، تو کامنت ها میگین لطفا؟

دلم ازینا میخاد🥲💔

تو پروژه ها اولش شبیه به اینه که داری یه سنگ گرد سنگین رو به سختی از یه تپه بالا می بری. انرژی زیادی میخواد تا راه بیوفته، ولی وقتی راه افتاد، ادامه دادنش خیلی راحته
اما اگه یه مدت رهاش کنی دوباره راه انداختنش به همون اندازه اول، یا حتی بیشتر، سخت میشه

حفظ momentum یعنی حتی اگه وقتت کمه، یا خسته ای، یا مغزت پره، یه حرکت کوچیک بزنی، یه باگ ریز، یه refactor ساده، یا حتی فقط باز کردن پروژه
چون وقتی فاصله می گیری، پروژه یه دفعه سنگین تر از چیزی که هست به نظر میرسه و اون وقت به جای یه خط کد، با یه کوه ناتموم طرفی

چرا momentum؟

1. انگیزه رو زنده نگه می‌داره
وقتی هر روز یه کار کوچیک انجام بدی، حس پیشرفت می‌گیری. ولی وقتی چند روز فاصله بیفته، مغز حس می‌کنه پروژه سنگین‌تر شده

2. یادگیری‌ و درگیری ذهنی حفظ میشه
وقتی مدام با کدها درگیری، context توی ذهنت می‌مونه. ولی بعد از چند روز، باز کردن پروژه مثل روبه‌رو شدن با یه چیز ناآشنا می‌شه

3. بهت کمک می‌کنه با کمالگرایی کنار بیای
وقتی توی flow باشی، بیشتر عمل می‌کنی تا تحلیل. ولی فاصله گرفتن باعث می‌شه بیش از حد فکر کنی. از کجا شروع کنم؟ نکنه کدم خوب نباشه؟

@Syntax_fa

اینو برا پروژه های برنامه نویسی گفته ، ولی بنظرم برا همه چی جوابه

مادر !
به تو می اندیشم
در بی کران مهربانی ها
ای تک چراغ خانه امید

.
.
.
-❤️

#بدرد

این ویدیو خیلی نکات جالبی داشت به نظرم حتما ببینید. موضوعش: "چطور یک بیزینس تک‌نفره (Solo Business) میلیون دلاری با هوش مصنوعی بسازیم؟"
من چکیده اش را اینجا مینویسم:

اولین بیزینس یک میلیارد دلاری (یونیکورن) که فقط "یک نفر" اونو اداره می‌کنه، توی راهه و با AI این اتفاق خیلی زودتر از چیزی که فکر می‌کنیم میفته. توی این ویدیو یه نقشه راه ۴ مرحله‌ای برای ساخت بیزینس شخصی با AI در سال ۲۰۲۶ توضیح داده شده که اینجا براتون خلاصه‌ش کردم:

قدم اول: مثلث موسس (The Founder's Triangle) قبل از شروع باید ببینی ایده‌ت اصلا به درد می‌خوره یا نه. برای این کار ۳ تا سوال از خودت بپرس:
- ضلع Domain (تخصص): آیا توی یه صنعت خاص ۵ سال+ سابقه داری؟ چم و خم و مشکلات اون بازار رو می‌شناسی؟
- ضلع Depth (مهارت عمیق): اون چه کاریه که واسه تو "تفریح" و بازیه، ولی واسه بقیه "کار" سخت به حساب میاد؟ (کدنویسی، نوشتن، فروش و...)
- ضلع Distribution (توزیع): آیا راهی داری که راحت‌تر از بقیه به مشتری برسی؟ (نتورک قوی، مخاطب توی سوشال مدیا و...)

اگه هر ۳ تا تیک خورد، یعنی چراغ سبزه و بایدپیش بری!

قدم دوم: ماشین‌سازی (The Machinery - D.R.E.A.M): اداره بیزینس، فقط ایده نیست، کلی کار اجرایی داره. فرمولش اینه:
قسمت اول: Demand (تقاضا): چطور مشتری پیدا می‌کنی؟ قسمت دوم: Revenue (درآمد): مدل قیمت‌گذاریت چیه؟ قسمت سوم: Engine (موتور): محصول اصلیت چیه؟ قسمت چهارم: Admin (اداری): کارهای حقوقی و مالی. قسمت پنجم: Marketing (مارکتینگ): برندسازی.

خبر خوب؟ الان لازم نیست برای اینا لزوما یک تیم استخدام کنی. ابزارهای AI مثل ChatGPT و NotebookLM می‌تونن نقش CFO یا تیم تحلیلگر تو رو بازی کنن. نکته عملی: لازم نیست یهو کوه رو جابجا کنی. همین هفته یه کار تکراری رو با AI اتومات کن. مثلا با ابزار Clay لیدها رو پیدا کن یا با Gamma اسلاید بساز.

قدم سوم: خندق‌های دفاعی (The Moats): وقتی موفق شی، رقبا میان سراغت. چطور از بیزینست دفاع کنی؟ ضدحمله (Counter-positioning): مدلی کار کن که رقیب بزرگت نتونه کپی کنه بدون اینکه بیزینس اصلی خودش ضربه بخوره (مثل کاری که نتفلیکس با حذف جریمه دیرکرد با بلاک‌باستر کرد). عادت‌سازی (Sticky Habits): محصولت رو تبدیل به عادت کن. سوییچ کردن باید برای مشتری سخت باشه (مثل عادت ما به آیفون یا ChatGPT). دیتای اختصاصی: دیتایی جمع کن که محصولت رو هی بهتر و بهتر کنه (مثل گوگل یا آمازون).

قدم چهارم: ذهنیت (The Mindset) هیچ هوش مصنوعی‌ای نمی‌تونه باگ‌های توی ذهن تو رو دیباگ کنه! ترس همیشه هست، ولی سوال اصلی اینه: "توی بستر مرگ، حسرت چی رو می‌خورم؟" توی دنیای AI، چیزی که تو رو متمایز می‌کنه چیزاییه که ربات‌ها ندارن: سلیقه (Taste) هدف (Purpose) قضاوت انسانی (Judgment)

حرف آخر: ریسک‌هایی که نمی‌کنی، خیلی بیشتر از ریسک‌هایی که می‌کنی و شکست می‌خوری، روت تاثیر منفی می‌ذارن. الان هوش مصنوعی همه چی رو ارزون‌تر، سریع‌تر و بهتر کرده. ابزارها آماده‌ن، فقط منتظر تو هستن که شروع کنی.

https://www.youtube.com/watch?v=IWdvG9Up8Mc

@DevTwitter | <Mehdi Allahyari/>

میفرمود که:

غم ها را نمی‌شود کم کرد
باید خودت را زیاد کنی

یکی از خوبی های خوابگاه مثلا اینه که میتونی فحش ترکی یاد بگیری :)

یه شو آف ویو‌مون نشه؟

قشنگ بود👌

نگاهت می کنم خاموش و خاموشی زبان دارد
زبان عاشقان چشم است و چشم از دل نشان دارد

چه خواهش ها درین خاموشی گویاست نشنیدی؟
تو هم چیزی بگو چشم و دلت گوش و زبان دارد

.
.
.
✍. هوشنگ ابتهاج 🤍

از من به شما نصیحت ، ازینا بخرین
اینا خیلی خوبن

کانفیگ v2ray اگه خواستین ، با قیمت مناسب دارم :))

آیا به آشپزی من ایمان نمی آورید؟