⚠️بدافزار Stuxnet یکی از اولین و پیچیده ترین حملات از نوع Supply Chain
📤یکی از اسراری که پیرامون کرم #Stuxnet (نخستین اسلحه سایبری که جهان با آن روبه‌رو شد) هنوز هم باقی ‌مانده، این است که این اسلحه دیجیتال برای نخستین بار چگونه به تأسیسات #غنی‌سازی #اورانیوم در نطنز راه یافت؟
📤مؤسسه Critical Inteligence که ‌مؤسسه‌ای فعال در حوزه امنیت سایبری در ایداهو است بر اساس اسنادی که از #ویکی_لیکس و #اسنودن افشا شده گزارشی تهیه کرده است که در آن گفته:
📤«سال ۲۰۰۴ آژانس‌های اطلاعاتی آمریکا، شرکتی را به نام «گروه صنعتی ندا» شناسایی می‌کنند که ‌ناظر و پیمانکار اصلی سیستم‌های کنترل صنعتی مکانیزه تأسیسات هسته‌ای #نطنز بوده است. دستگاه های اطلاعاتی آمریکا برای مدت زمانی طولانی، فعالیت‌های گروه صنعتی ندا را برای تهیه و دسترسی به تأسیسات غنی سازی زیر نظر داشته اند. آمریکا #گروه_صنعتی_ندا را ‌‌بر‌ترین شرکت متخصص در نرم‌افزار زیمنس Step7 (نرم افزار مورد استفاده در برنامه هسته‌ای ایران از جمله به کار رفته در سیستم‌های پالایش سوخت سانتریفیوژها) شناسایی کرده و سپس به احتمال زیاد در سال ۲۰۰۸ آمریکا تجهیرات سیستم‌های #کنترل_صنعتی‌ را که شرکت ندا به تأمین کنندگان خارج از کشور خود سفارش داده، هدف قرار داده است.
📤بر پایه این گزارش، اسنادی که در ‌ویکی لیکس منتشر شده، حاکی از آن است که در سال ۲۰۰۸ آمریکا تلاش کرده ‌در فرایند نقل و انتقال این تجهیزات به ایران نفوذ کند. نویسنده گزارش اشاره کرده که عقیده ما بر این است که آمریکا با هدف قرار دادن سیستم‌های کنترل زیمنس برای نطنز که از طریق شرکت ندا تهیه شده، اقدام به فعال‌سازی استاکس نت‌ روی تأسیسات هسته‌ای ایران کرده است. شرکت ندا تمامی طرح‌ها و نقشه‌ها از چگونگی برپایی تأسیسات نطنز و همچنین سرعت مناسب برای سانتریفیوژ‌ها را در اختیار داشته است. این شرکت همه کلیدهایی را که ایالات متحده و اسرائیل برای طراحی و سپس نفوذ استاکس نت به نطنز لازم داشتند، داشته است.
📤در این گزارش آمده است که در سال ۲۰۰۸ ایالات متحده به فرایند نقل و انتقال تجهیزات سیستم‌های کنترل صنعتی راه یافته‌ و کرم استاکس نت را پیش از آنکه به ایران برسند، ‌روی آن‌ها نصب کرده است.
📤به این ترتیب باید Stuxnet را یکی از اولین و پیچیده ترین حملات Supply Chain در دنیا به حساب آورد.
ادامه این گزارش را در اینجا مطالعه کنید.

❓اما سئوال مهم اینجاست: با دانشی که امروز داریم اگر قرار بود حمله Stuxnet را مهار کنیم چگونه می توانستیم این کار را بکنیم؟ با توجه به اینکه تامین تجهیزات کنترلی زیمنس برای نطنز مستقیما از زیمنس خریداری نشده بود و بدلیل تحریم ها پای یک شرکت واسط کانادایی وسط آمده بود به نظر شما دستگاه های امنیتی کشور چگونه می توانند بر فرایند تامین نظارت موثر داشته باشند؟ اگر این تجهیزات به آزمایشگاههای مورد تایید افتا می رفت آیا می توانستند آلودگی را تشخیص دهند؟!
در پست بعدی به این موضوع خواهیم پرداخت.

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

⚠️🔗چالشهای امنیت زنجیره تامین در ایران
📤بعد از علنی شدن ماجرای لو رفتن اطلاعات مشتریان 20 بانک ایرانی بواسطه شرکت توسن و همچنین انفجار پیجرها و بیسیمهای حزب الله لبنان موضوع حمله به زنجیره تامین داغ شده است.
📤مقابله با حملات Supply Chain در دنیا روشها و تعاریف مشخصی دارد. اما از آنجا که ما در ایران در شرایط متفاوتی نسبت به مردم دیگر کشورها زندگی می کنیم نمی توانیم از آن کلیشه ها و استانداردها برای مهار حملات زنجیره تامین استفاده کنیم.
📤تامین کالا در ایران بدلیل شرایط تحریم فرایند شفافی ندارد و نمی تواند داشته باشد. یک تامین کننده داخلی اگر در مواجهه با قوانین دست و پاگیر داخلی و مشکلات عدیده تخصیص ارز و گمرک و ... جان سالم به در ببرد و بخواهد کالایی را تامین کند باید کالایی را خریداری کند که فروشنده اصلی حاضر نیست آنرا به ایران بفروشد. لذا ناچار است با ثبت شرکتهای صوری و بازی دادن برخی واسطه های ناشناس، کانالهایی را برای تامین کالا باز کند. این کانالها ثابت نیستند و مدام در حال تغییر هستند تا امکان شناسایی و ردیابی آنها سخت تر باشد. برخی از کالاها هم همچنان از راه لنجهای باری وارد کشور می شوند. نکته مهم این است که تامین کننده ایرانی نمی تواند و نباید کانالهای وارداتی خود را شفاف سازی کند تا بتواند در شرایط تحریم، آنها را باز نگه دارد و از آنها استفاده کند. بنابراین بدیهی است که دستگاه های امنیتی که متولی امنیت سایبری کشور هستند نمی توانند بر این کانالهای تامین که گاهی بسیار پیچ در پیچ و متغیر هستند نظارت مداوم داشته باشند.
📤روال فعلی بدین صورت است که تجهیزات وارداتی تحویل آزمایشگاه ها می شوند تا از نظر کیفیت و امنیت مورد بررسی قرار بگیرند و تایید شوند. بگذریم از این نکته که تستهای آزمایشگاه ها چقدر می توانند اثربخش باشند و کارایی لازم را داشته باشند و چقدر باعث هدر دادن وقت و انرژی و سرمایه می شوند، نکته مهم این است که نفوذ به زنجیره تامین ممکن است بعد از فاز آزمایشگاه و قبل از تحویل به مشتری نهایی انجام شود.
📤با عنایت به موارد فوق تنها راه باقی مانده برای مهار حملات زنجیره تامین، انجام تستهای امنیتی در نقطه نهایی و در سایت مشتری است. بجز این روش، هیچ روشی در ایران اثربخشی لازم و قابلیت اعتماد قابل قبول را ندارد.
📤از طرف دیگر درحالیکه تمام تمرکز دستگاه های امنیتی کشور به واردات تجهیزات IT مثل Server و Firewall و Switch و Router و ... منعطف شده است تجهیزات بسیار مهمتری مثل PLC و رله و RTU و اینورترهای فرکانسی و سنسورهای هوشمند و کنترلرهای Servo و FPGA و حتی PC Pannelها بدون نظارت دستگاه های امنیتی اغلب به آسانی وارد شده و بدون طی فرایندهای آزمایشگاهی و نظارتی مستقیما در حساس ترین نقاط زیرساختی نصب می شوند.
📤خلاصه کلام اینکه: با شرایط موجود، نظارتهای سخت گیرانه بر تامین کنندگان و پیچیده کردن فرایندهای آزمایشگاهی راه حل این موضوع نبوده و متضمن کشف حملات زنجیره تامین و جلوگیری از نفوذ به زیرساختها نیست. زیرساختهای حیاتی کشور باید مثل برخی زیرساختهای حیاتی خاص، فرایندهایی را برای کنترل تجهیزات در نقاط مصرف کننده نهایی تعریف کنند.
✔️به امید روزی که ما هم بتوانیم در کشورمان کانالهای تامین کالای شفاف داشته باشیم و با استفاده از مدل ZTNA نسبت به امن سازی آنها اقدام کنیم.

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

⭐️نمایشگاه بزرگ تکنولوژی و فناوری اطلاعات IT

Gitex Global 2024

14 to 18 Oct

Dubai / World trade center


✔️صدور ویزای توریستی دبی
✔️رزرو آنلاین پرواز در سایت SPADCHARTER.IR
✔️رزرو هتل های 3, 4 و 5 ستاره


ارتباط با ما:

https://wa.me/971505136480

⚡️دوستانی که قصد سفر به دبی جهت شرکت در نمایشگاه GITEX رو دارن قیمت بلیط و هتل و ویزا و تیکت های گردشگری داخل شهر دبی که این سایت (آژانس مقتدر گشت ایرانیان) ارائه میکنه اکثرا رقابتی و با قیمت کمتر هست و توصیه میشه. (بلیط از طریق سایت و سایر موارد رو از طریق واتساپ پاسخگو هستن.)

📌اطلاعیه شرکت پارس آوان درخصوص محصول IceWarp :
«احتراما به استحضار می‌رساند، پیرو انتشار مطالبی در فضای مجازی در خصوص نشت اطلاعات در نسخه جدید IceWarp EPOS  و به جهت پاسخ به نگرانی‌های ایجاد شده، روابط عمومی شرکت پارس آوان به عنوان نماینده انحصاری IceWarp در ایران، توضیحات زیر را ارائه می‌نماید:

1. انتقال اطلاعات به سرورهای ابری:
در نسخه EPOS، برخی قابلیت‌های جدید مانند Dashboard و Note، نیازمند ارتباط با سرورهای ابری IceWarp هستند. این ارتباط کاملاً امن و رمزنگاری شده بوده و صرفاً جهت ارائه این سرویس‌ها صورت می‌گیرد. هیچ‌گونه اطلاعاتی از مشتری به سرورهای ابری منتقل نمی‌شود و تمامی داده‌ها در سرورهای داخلی سازمان باقی می‌مانند. این موضوع کاملا شفاف در وب‌سایت IceWarp در لینک زیر توضیح داده شده است:
https://www.icewarp.com/cloud-microservices

2. قابلیت Link Shortener و دسترسی به فایل‌های الصاقی:
در آیس‌وارپ، از قابلیت SmartAttach برای کاهش حجم ایمیل‌ها و تسهیل اشتراک‌گذاری فایل‌ها استفاده می‌شود. این قابلیت از سال‌ها پیش در این نرم‌افزار وجود داشته است. به جهت اثبات به لینک زیر مراجعه کنید.
https://dl.icewarp.com/patchinfo/12.0.3.txt
لینک‌های کوتاه شده به صورت پیش‌فرض عمومی نبوده و تنها کاربران مجاز می‌توانند فایل‌ها را دانلود کنند. ضمن اینکه امکان غیرفعال‌سازی این قابلیت و یا تنظیم دسترسی‌ها بر اساس نیاز سازمان به راحتی وجود دارد. لازم به تاکید است که در سرویس On-Premises هیچ فایلی به سرورهای آیس‌وارپ انتقال پیدا نمی‌کند.

3. توقف ارائه سرویس On-Premises:
سیاست کاری کمپانی IceWarp توقف ارائه سرویس On-Premises به واسطه‌ی فعالیت Cloud نبوده و مشتریان در سراسر دنیا می‌توانند به انتخاب خود از سرویس ابری یا درون سازمانی استفاده کنند. نامه‌ی رسمی از آیس‌وارپ موجود است و در صورت درخواست قابل ارائه می‌باشد.

4. تعهد IceWarp به امنیت:
آیس‌وارپ به عنوان یک شرکت معتبر و بین‌المللی، در طول نزدیک به 3دهه فعالیت خود همواره به حفظ حریم خصوصی و امنیت داده‌های کاربران خود متعهد بوده است. این شرکت قوانین GDPR (قوانین حفظ و محرمانگی اطلاعات) در اروپا را برای حفاظت از اطلاعات مشتریان پیاده‌سازی کرده است و نیز دارای گواهینامه‌های امنیتی ISO27001، ISO27017، ISO27018 و انطباق با HIPAA می‌باشد.

5.شفافیت و پاسخگویی پارس آوان:
پارس آوان به عنوان نماینده رسمی IceWarp در ایران و با قریب به 20سال سابقه، همواره کوشیده تا با ارائه محصولات و خدمات با کیفیت و امن، به سازمان‌ها در دستیابی به اهداف‌شان کمک کند. ما به مشتریان خود اطمینان می‌دهیم که امنیت اطلاعات آن‌ها برای ما از اهمیت بالایی برخوردار است. از همین رو در صورت باقی‌ماندن هرگونه سوال یا ابهام در خصوص امنیت IceWarp و یا هر یک از محصولات و خدمات پارس آوان، می‌توانید با کارشناسان ما تماس حاصل فرمایید تا مستدل به مستندات توضیحات لازم ارائه گردد.»

⚡️120 ابزار هوش مصنوعی در ۶ دسته بندی مختلف

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

✨نمایشگاه Gitex امسال هم مانند سال گذشته در دو نقطه از شهر دبی برگزار می شود.
⚡️ منطقه World Trade Centre که بخش اصلی نمایشگاه است و برندهای معتبر دنیا اینجا حضور پیدا می کنند.
⚡️ منطقه Dubai Harbour که مخصوص استارتاپ ها هست.

✔️نکته مهم برای بازدیدکنندگان از نمایشگاه:
دقت داشته باشید که:
📍در منطقه اول، نمایشگاه از تاریخ 23 الی 27 مهر دایر است.
📍در منطقه دوم، نمایشگاه از تاریخ 22 الی 25 مهر دایر است.

🎚️اگر هنوز در نمایشگاه ثبت نام نکرده اید و تیکت ورود به نمایشگاه ندارید به این ID پیام بدهید.

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

❗️رابطه امنیت و ثبات مدیریت
⚡️اولین پیش شرط استقرار یک سیستم امنیتی در یک سازمان بزرگ، ثبات مدیریت است. تغییرات مداوم در ساختار مدیریتی باعث عدم ثبات در راهبردهای امنیتی و تحمیل رویکردها و نگاه های مختلف و حتی متضاد در مقوله سیاستهای امنیتی و کاهش تمرکز بر حوزه امنیت می شود.
⚡️تغییرات مکرر مدیران در بازه زمانی کوتاه، نه تنها باعث اجرای پروژه های جدیدی نخواهد شد بلکه اجرای پروژه های پیشین را هم با تاخیر مواجه خواهد کرد.
به عنوان مثال به تغییرات سرپرست سازمان فناوری اطلاعات شهرداری تهران توجه کنید:

📌۲ بهمن ۱۴۰۰: رضا واحدی فر سرپرست سازمان فاوای شهرداری تهران شد
📌۲۱ فروردین ۱۴۰۱: هادی محضرنیا سرپرست سازمان فاوای شهرداری تهران شد
📌۱۶ بهمن ۱۴۰۱: سعید جهانی سرپرست سازمان فاوای شهرداری تهران شد
📌۳۰ مرداد ۱۴۰۳- جواد مالکی سرپرست سازمان فاوای شهرداری تهران شد
📌و امروز ۴ مهرماه ۱۴۰۳ یعنی یکماه بعد از حکم سرپرست قبلی، علی‌محمد الوند سرپرست سازمان فاوای شهرداری تهران شد

🔍آیا کسانی که بی پروا این تغییرات پیاپی را ایجاد می کنند عامل بی ثباتی و ناامن شدن زیرساختهای حساسی مثل شهرداری تهران نیستند و آیا نباید به مرجعی پاسخگو باشند؟! آیا نهادهای امنیتی کشور به ریسکهایی که این تغییرات بر سازمانها تحمیل می کند توجهی دارند؟

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

⭐️ کانال Ping نه ساله شد.
⭐9 سال قبل دقیقا یک روز بعد از اینکه قابلیت Channel به تلگرام اضافه شد کانال @PingChannel را ایجاد کردم. ابتدا هدفش چندان مشخص نبود. اما کم کم سمت و سوی کانال شکل گرفت و جای خالی یک رسانه انتقادی در حوزه فناوری اطلاعات و بویژه امنیت را تا حدی پر کرد.
⭐در این ۹ سال فراز و نشیب های زیادی طی شد. بارها مطالبی نوشته شد که مورد انتقاد برخی دوستان و همکاران واقع شد. چند بار توسط مسئولانی که ظرفیت شنیدن انتقاد را نداشتند علیه کانال شکایت شد که البته برای همه منع پیگرد صادر شد. و بسیار بیشتر از آن مورد تقدیر و حمایت و تشویق دوستان و حتی مسئولان دلسوز واقع شد. بواسطه این کانال با دوستان جدید زیادی آشنا شدم که حقیقتا سرمایه هایی گران سنگ و باعث افتخار هستند.
وقتی برخی از پستهای این کانال تا 1000 بار در کانالها و گروه‌های دیگر Share می‌شود قطعا مسئولیت نوشتن را سخت تر می‌کند.
⭐جای بسی خوشحالیست که این کانال بستری شده برای معرفی و انتشار تبلیغات شرکت‌های همکار و حتی رقبای تجاری. همانگونه که استحضار دارید درآمد ناشی از تبلیغات که ماهانه بطور متوسط حدود ۳۰ میلیون تومان می‌شود تا کنون توسط تبلیغ دهندگان و به نیابت از همه اعضای کانال که تبلیغات را مشاهده میکنند مستقیما به حساب موسسه خیریه محک واریز میشد. با این حال درخواست‌های تبلیغات زرد و غیر مرتبط به موضوع کانال که زیاد هم بود پذیرفته نشده و نخواهد شد.
⭐در ادامه راه تلاش داریم درآمد ناشی از تبلیغات را به یک موسسه خیریه رسمی دیگر با رای و انتخاب شما اهدا کنیم.
⭐به هر تقدیر این راه ادامه دارد. سعی می کنیم منصفانه بنویسیم و منصفانه نقد کنیم و همراهی شما دلگرم کننده برای ادامه این مسیر است.
⭐شنونده نظرات، انتقادات و پیشنهادات شما در بخش نظرات هستم.
همراهیتان را سپاس🙏🌹

علی کیائی فر
🆔 @Kiaeifar

🔴 محمدجواد ظریف در مصاحبه با شبکه MSNBC با تکذیب کردن حملات هکرهای وابسته به حکومت ایران به کارزار انتخاباتی ترامپ و هریس، هک شدن بانک مرکزی ایران را تایید کرد. این اولین بار است که یک مقام دولتی کشور در خصوص ماجرای هک شدن بانک ها در ایران صحبت می کند!

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

📍اگر عازم نمایشگاه GITEX هستید App مربوط به نمایشگاه را نصب کنید تا دسترسی کاملی به اطلاعات و برنامه این نمایشگاه بزرگ داشته باشید.
📱لینک دانلود از Google play
🍏لینک دانلود از App Store

⭕️توجه داشته باشید با همان آدرس ایمیلی که در نمایشگاه ثبت نام کرده اید باید به این App لاگین کنید.
🎚️اگر هنوز در نمایشگاه ثبت نام نکرده اید و تیکت ورود به نمایشگاه ندارید به این ID پیام بدهید.

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

🎤توصیه های دکتر شریفی زارچی در دانشگاه شریف به دانشجویان در مورد چگونه آموختن #هوش_مصنوعی

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫

▶️اعلام نام سه هکر ایرانی که در ماجرای هک کارزار انتخاباتی ترامپ متهم شده اند
🔴وزارت دادگستری ایالات متحده لحظاتی پیش اعلام کرد که سه ایرانی ایران به دلیل مشارکت در یک طرح هکری علیه کارزار انتخاباتی ترامپ متهم شده‌اند.
🔴مسعود جلیلی، سید علی آقامیری و یاسر بلاغی سه مظنونی هستند که در این پرونده نام برده شده‌اند.
🔴این کیفرخواست نشان می‌دهد که این سه نفر با فهرست طولانی از اتهامات مواجه هستند.

✉️ @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔫🔫🔫🔫  🔫🔫🔫🔫🔫🔫🔫