آموزشکده توانا
58.1K subscribers
30K photos
36.2K videos
2.54K files
18.6K links
کانال رسمی «توانا؛ آموزشکده جامعه مدنی»
عكس،خبر و فيلم‌هاى خود را براى ما بفرستيد:
تلگرام:
t.me/Tavaana_Admin

📧 : info@tavaana.org
📧 : to@tavaana.org

tavaana.org

instagram.com/tavaana
twitter.com/Tavaana
facebook.com/tavaana
youtube.com/Tavaana2010
Download Telegram
امکان #شنود مکالمات تلفنی وجود دارد و نشانه‌ای برای آن وجود ندارد!‌

هر مکالمه غیر‌رمزگذاری شده قابلت شنود دارد.

ویدیوی‌های بیشتر #تواناتک را در یوتیوب ببینید: http://ow.ly/TQTz2
#امنیت

👇👇👇👇👇👇👇👇👇👇
جنجال بر سر #امنیت #تلگرام

تواناتک: تلگرام یکی از محبوب‌ترین اپلیکیشن‌های پیام‌رسان است که کاربران زیادی در ایران در حال استفاده از آن هستند. کاربران ایرانی تلگرام در گروه‌ها و کانال‌های زیادی عضویت دارند و مشغول فعالیت هستند. این روزها بحث امنیت تلگرام، بحث بسیار داغ وجدی است، تا حدی که عده‌ای از کارشناسان اینترنت و امنیت سایبری اعتقاد دارند که تلگرام، پیام‌رسان امنی نیست. تواناتک در این مطلب به بررسی نظرات پژوهشگران در این خصوص پرداخته است و به شما اپلیکیشن‌های امن را برای جایگزین کردن تلگرام معرفی می‌کند.

تلگرام به‌صورت پیش‌فرض پیام و محتوا‌ را رمزگذاری نمی‌کند. تلگرام ادعا می‌کند تنها در هنگامی که شما از سکرت چت استفاده می‌کنید، کلیه محتوای ارسالی و دریافتی را رمزگذاری می‌کند. در حقیقت در این حالت از رمزگذاری End-To-End استفاده می‌کند. این در حالی است که اگر شما در حالت عادی و بدون فعال کردن سکرت چت، شروع به چت کنید، دسترسی به محتوای چت شما امکان‌پذیر است، در این حالت تلگرام امکان دسترسی به اطلاعات شما را خواهد داشت. سکرت چت تنها برای چت میان دو نفر طراحی شده است، پس چت‌های گروهی شما هم به هیچ‌عنوان در تلگرام رمزگذاری نمی‌شود و دسترسی به محتوای آنها هم امکان‌پذیر است.

کالین اندرسون، پژوهشگر اینترنت در خصوص امنیت اپلیکیشن تلگرام به بی‌بی‌سی گفته است: تلگرام اپلیکیشن پیام‌رسانی است که همه بخش‌های آن اوپن‌سورس نیست، در این حالت کارشناسان نمی‌توانند بررسی کنند که در این بخش‌ها چه می‌گذرد.

برخی از کارشناسان معتقد هستند که چون امکان بررسی امنیت تلگرام توسط کارشناسان موجود نیست، شیوه رمزگذاری تلگرام، شیوه رمزگذاری بررسی شده و امنی نیست و همچنین اطلاعاتی که روی سرور تلگرام ذخیره می‌شوند، به صورت #رمزگذاری شده نیست. تلگرام این ادعا را انکار می‌کند ولی روشن هم نمی‌کند که چگونه پیام‌ها را بر روی سرور خود نگه‌داری می‌کند و چون امکان بررسی این مورد موجود نیست، این موضوع برای کارشناسان روشن نیست. تلگرام ادعا می‌کند کلیه پیام‌ها در حالت سکرت چت بین گیرنده و فرستنده رمزگذاری می‌شود، این در حالی است که کارشناسان معتقد هستند که پیام‌ها در گوشی فرستنده و گیرنده به صورت متنی و رمزگذاری نشده ذخیره می‌شوند. در این صورت اگر هکری به حساب کاربری شما نفوذ کند، می‌تواند به پیام‌های شما در حالت سکرت چت هم دسترسی داشته باشد.

کمیته حمایت از روزنامه‌نگاران می‌گوید به دلیل نواقص تلگرام در رمزگذاری اطلاعات کاربران و همچنین حفره‌های امنیتی آن، این #اپلیکیشن پیام‌رسان می‌تواند امنیت روزنامه‌نگاران را به خطر بیاندازد.

کمپین حقوق بشر هم در خصوص امنیت تلگرام تحقیقاتی را انجام داده است، که نتایج این تحقیقات نشان داد، که هکر‌های دولتی ایران برای نفوذ به حساب کاربران از سیستم‌ تایید هویت پیامکی استفاده می‌کنند. در این حالت در حقیقت هکرها تنها با دانستن شماره تلفن کاربر مورد نظر امکان #نفوذ به حساب کاربری آن را پیدا می‌کنند. آنها با مراجعه به صفحه ورود به حساب کاربری تلگرام، گزینه‌ی "Send code via SMS" را انتخاب می‌کنند، شماره تلفن کاربر مورد نظر را وارد می‌کنند، تلگرام کد را برای شماره وارد شده ارسال می‌کند و آنها با #شنود پیام‌های دریافتی آن کاربر به کد ارسالی دسترسی پیدا می‌کنند و به راحتی وارد حساب کاربری شخص مورد نظر می‌شوند.

روزنامه‌نگاران و فعالان زیادی به این روش مورد حمله قرار گرفتند و کلیه فعالیت‌های آنها در اپلیکیشن تلگرام مورد شنود نیرو‌های امنیتی و انتظامی قرار گرفته است.

در حال حاضر ارسال کد امنیتی توسط پیام‌ کوتاه و رمزگذاری تلگرام، از مشکلات بزرگ امنیتی برای کاربران تلگرام بخصوص کاربران ایرانی تلگرام محسوب می‌شوند.

تواناتک چندی پیش مقاله‌ای را منتشر کرد، که در این مقاله به راه‌کار‌هایی برای چت‌کردن امن پرداخت.
https://tech.tavaana.org/fa/ChatWithHighSecurity
ما در این مقاله اپلیکیشن استقاده از اپلیکیشن تلگرام و سیگنال را به شما معرفی کردیم. اکنون با توجه به خبر‌های اخیر، به شما استفاده از اپلیکیشن #سیگنال را توصیه می‌کنیم. اپلیکیشنی که اسنودن امنیت آن را تایید کرده است و کارشناسان زیادی امنیت آن را کاملا بررسی و تایید کرده‌اند.

اپلیکیشن "Signal"، اپلیکیشن ارتباطی بسیار امنی‌ست که توسط ادوارد اسنودن استفاده می‌شود. شرکت "Open Whispersystems"، با ترکیب دو اپلیکیشن امن "textSecure" و "RedPhone"، اپلیکیشن "Signal" را ابتدا در پلتفرم "iOS" و پس از آن در اندروید و نسخه دسکتاپ این اپلیکیشن را منتشر کرد.
بیشتر بخوانید:
https://tech.tavaana.org/fa/TelegramSecurity1

@tavaanatech
شنود و دام‌های سایبری
آیا همه فیلترشکن‌ها امن هستند؟


برنامه زنده در اینستاگرام توانا و تواناتک

محمود تجلی‌مهر؛ کارشناس مخابرات
علیرضا تبریزی؛ کارشناس آی‌تی و برنامه‌نویس

پنجشنبه ۱۸ اردیبهشت ۱۳۹۹
۲۲ به وقت تهران

#برنامه_زنده #فیلترشکن #شنود #دام_سایبری #فیشینگ

@tavaanatech
Media is too big
VIEW IN TELEGRAM
میزگرد آنلاین: شنود و دام‌های سایبری؛ آیا همه فیلترشکن‌ها امن هستند؟

فیلترشکن چیست و چطور عمل می‌کند؟ فیلترشکن ناامن چگونه قربانی می‌گیرد؟ چطور می‌توان شنود مخابراتی را ناکام گذاشت؟ در این برنامه محمود تجلی‌مهر، کارشناس مخابرات، و علیرضا تبریزی، کارشناس آی.تی، به پرسش‌هایی از این دست پاسخ می‌دهند.
این برنامه اردیبهشت ۱۳۹۹ از فیس‌بوک و اینستاگرام تواناتک به صورت زنده پخش شد.
https://bit.ly/2zUCfoH
در ساندکلاد
https://bit.ly/36jkYl4

#فیلترشکن #شنود #وی_پی_ان #لایو_ایونت

@tavaanatech
وزیر ارتباطات یا وزیر تسهیل امور امنیتی؟!

وزیری که قرار بود دستش روی دکمه فیلترینگ نرود، صراحتا می‌گوید که «افتخار» می‌کند که مسئول ایجاد زیرساخت‌های فنی برای شنودهای امنیتی بوده است!

او این سخنان را در مرداد ۹۶ بیان کرده بود!

محمدجواد آذری جهرمی و تلاش‌اش برای اختلال در ارتباطات را هیچ‌گاه از یاد نباید برد!

#شنود #آذری_جهرمی #توییتر #وزارت_ارتباطات #جمهوری_اسلامی

@Tavaana_Tavaanatech
هشدار

در صورتی که یکی از دوستان و یا فردی از خانواده شما برنامه جاسوسی روبیکا را نصب کرده‌‍‌ باشند از آنها بخواهید که این بدافزار خطرناک را از گوشی خود حذف کنند.

برنامه نصب شده روبیکا در گوشی کاربر، با توجه به دسترسی‌های غیرضروری و خطرناک نه تنها تهدیدی برای حریم خصوصی فرد محسوب می شود بلکه برای مخاطبین فرد و کسانی که با او در ارتباط هستند نیز خطرناک است.

#مهسا_امینی #روبیکا #جاسوسی #شنود #بدافزار

@tavaanatech

@Tavaana_TavaanaTech
This media is not supported in your browser
VIEW IN TELEGRAM
توصیه مهم

دریافت کد دو مرحله‌ای اینستاگرام بدون نیاز به پیامک

دسترسی به شنود پیامک برای نهادهای امنیتی به راحتی میسر و ممکن است. این روزها حملات هکری زیادی به حساب‌های کاربری توییتر و اینستاگرام بسیاری از فعالین مدنی، روزنامه نگاران و کاربران فعال در فضای مجازی صورت گرفته است.

برای مقابله با این تهدیدات، توصیه می‌کنیم که تایید هویت دومرحله‌ای حساب کاربری خود را بدون نیاز به پیامک و از طریق اپ هایی مانند Google Authenticator یا Microsaft Authenticator انجام دهید.

نکته مهم:
در هنگام تاییدهویت دومرحله‌ای با استفاده از Google Authenticator حتما کدهای پشتیبان را در جای امنی نگهداری کنید تا در صورت تعویض گوشی یا گم شدن یا سرقت گوشی و ..... دسترسی خود به حساب کاربری‌تان را از دست ندهید.

وب‌سایت:

tech.tavaana.org/fa/video-tutorials/shst-thanyh-dryaft-kd-dw-mrhlhay-aynstagram-bdwn-nyaz-bh-pyamk

یوتیوب:

youtube.com/watch?v=GPUybLBWOnQ

#مهسا_امینی #شنود #اینستاگرام #امنیت_دیجیتال

@tavaanatech

@Tavaana_TavaanaTech
This media is not supported in your browser
VIEW IN TELEGRAM
آیا ابزار شنود در موبایل‌مان نصب شده است؟

چگونه بفهمیم که آیا در گوشی همراهان ابزار شنود نصب شده است یا نه؟ منظور از شنود، دسترسی غیرمجاز برخی اپلیکیشن‌ها به میکروفون یا دوربین دستگاه هوشمند است.
همچنین کاربرد دیگر این برنامه، معرفی و شناسایی اپلیکیشن‌های خطرناک و جاسوس‌افزارها بر روی گوشی است.

وب‌سایت:

tech.tavaana.org/fa/video-tutorials/shst-thanyh-aya-abzar-shnwd-dr-mwbaylman-nsb-shdh-ast

یوتیوب:

youtube.com/watch?v=oWp_gUPXIFQ

لینک برنامه در گوگل‌پلی:

https://play.google.com/store/apps/details?id=com.skibapps.antispyforandroid&hl=en&pli=1



#مهسا_امینی #زن_زندگی_آزادی #شنود #شصت_ثانیه

@Tavaanatech

@Tavaana_TavaanaTech
هشدار
جاسوس‌افزار بولدسپای BouldSpy که فراجا بر روی گوشی‌ بازداشت‌شدگان نصب کرده است

شرکت لوکات Lookout که در حوزه امنیت گوشی‌های موبایل فعال هست در یک گزارش به ابعاد جدیدی از برنامه جاسوسی فرماندهی انتظامی جمهوری اسلامی(فراجا) از شهروندان و اقلیت‌های داخل ایران توسط یک بدافزار اندرویدی به نام بولدسپای (BouldSpy) پرده برداشته است.

در گزارشی که این شرکت منتشر کرده، به معرفی بدافزار بولدسپای BouldSpy پرداخته که اغلب در گوشی افرادی که توسط فراجا بازداشت شده‌اند، کشف شده و از سال ۱۳۹۹ توسط این نهاد برای جاسوسی از شهروندان مورد استفاده قرار گرفته است.

جاسوس‌افزار، بولدسپای BouldSpy دستگاه گوشی بیش از ۳۰۰ نفر از جمله گروه‌هایی مانند کردهای ایرانی، بلوچ‌ها، آذری‌ها و همچنین گروه‌های مسیحی- ارمنی را آلوده کرده است.

با کشته شدن "مهسا امینی" و گسترش اعتراضات مردمی در سال ۱۴۰۱، جهش قابل توجهی در ترافیک سرورهای کنترل یا C&C این بدافزار مشاهده شده که به احتمال زیاد به دلیل نصب آن روی گوشی‌های افراد بازداشت شده توسط مامورین فراجا بوده است.

این بدافزار جاسوسی قابلیت‌های جاسوسی متعددی شامل موارد زیر را داراست:

۱- دسترسی به تمام نام‌های و شناسه‌های کاربری حساب در دستگاه و اکانت‌های مرتبط با آن‌ها (مانند گوگل، تلگرام، واتس‌اپ و ....)

۲- دسترسی به لیست تمام برنامه‌های نصب شده در دستگاه
۳- تاریخچه مرورگر و نشانک‌ها
۴- ضبط تماس زنده
۵- گزارش تماس
۶ - قابلیت عکس گرفتن از طریق دوربین گوشی
۷- دسترسی به لیست‌های تماس
۸- ذخیره اطلاعات دستگاه (آدرس آی‌پی، اطلاعات سیم کارت، اطلاعات وای‌فای، نسخه اندروید و شناسه دستگاه)
۸- دسترسی به لیست تمام فایل‌ها و پوشه‌های موجود در دستگاه
۱۰ ذخیره محتوای کلیپ بورد و صفحه کلید
۱۱- دسترسی به موقعیت مکانی از طریق GPS، شبکه یا ارائه دهنده تلفن همراه
۱۲- دسترسی به تمامی پیامک‌ها (اعم از: ارسال،دریافت و پیش‌نویس)
۱۳- ضبط صدا از طریق میکروفون گوشی
۱۴- امکان گرفتن اسکرین شات از صفحه گوشی

یکی دیگر از قابلیت‌های خطرناک جاسوس افزار بولدسپای BouldSpy این است که می‌تواند تماس‌های صوتی را از طریق چندین برنامه و همچنین برنامه استاندارد تلفن اندروید ضبط کند.

این تماس‌های صوتی از طریق این اپلیکیشن‌ها قابل ضبط است:

واتس‌اپ - بلک‌بری - ترکسل -بوتیم - لاین- تلگرام- اسکایپ-تانگو- وایبر -وی‌چت و ....


این جاسوس افزار خطرناک همچنین می‌تواند دستورات را از طریق پیامک و از تلفن کنترل کند که یک ویژگی نسبتا منحصر به فردی است که این نرم‌افزار جاسوسی را قادر می‌سازد تا قربانیان را حتی در مناطقی که آنتن‌دهی اینترنت بسیار ضعیف است، نظارت و شنود کند.

بیشترین میزان آلودگی و نصب این بدافزار در گوشی افرادی بوده که در نزدیکی ایستگاه‌های پلیس جمهوری اسلامی یا پاسگاه‌های گشت مرزی دستگیر شده‌اند، جایی که امکان بازداشت و دسترسی فیزیکی به دستگاه‌های تلفن همراه این افراد وجود دارد.

مامورین فراجا به دلیل دسترسی فیزیکی و نزدیکی که به دستگاه‌های بازداشت شدگان که احتمالاً در حین بازداشت داشته‌اند، برای نصب این جاسوس‌افزار سوء‌استفاده کرده‌اند.
شرکت لوکات(Lookout)، مقدار زیادی از داده‌های استخراج‌شده که شامل عکس‌ها و ارتباطات دستگاه مانند اسکرین‌شات از مکالمات، ضبط تماس‌های ویدیویی و همچنین گزارش‌های پیامکی بود، به‌دست آمده را منتشر کرده است.

در صورت آلوده شدن دستگاهی به این بدافزارها و جاسوس افزارها، یکی از شیوه‌ها ریست فکتوری یا برگرداندن دستگاه به تنظیمات کارخانه است. سپس با استفاده از یک آنتی ویروس قوی و بروزرسانی شده(تاکید مهم)، دستگاه اسکن شود. اما امن‌ترین و مطمئن ترین راه، عدم استفاده از گوشی‌هایی است که در هنگام بازداشت یا دستگیری، مدتی در اختیار نهادهای امنیتی و اطلاعاتی بوده‌اند.

#جاسوس_افزار #بدافزار #هشدار #بولدسپای #لوکات #پیامک #شنود #جاسوسی

@tavaanatech
ترفند جدید نهادهای امنیتی برای به دام انداختن و شناسایی دانشجویان در فضای مجازی

به گزارش خبرنامه دانشگاه امیرکبیر بعد از «توقیف فله‌ای مطبوعات دانشجویی» و بسته شدن اکثر حساب‌های کاربری فعالین این دانشگاه در شبکه‌های اجتماعی مانند شبکه اجتماعی ایکس(توییتر سابق)، نهادهای امنیتی و کاربران سایبری وابسته به این نهادها، با ایجاد کانال‌ها و گروه‌های جعلی با عناوین مختلف در برخی پیام‌رسان‌ها (مانند تلگرام) با هدف رصد و شناسایی فعالین دانشجویی فعالیت می‌کنند.

به گزارش خبرنامه دانشگاه امیرکبیر، بسیاری از این کانال‌ها و گروه‌ها عمدتا با همکاری حراست دانشگاه‌ها شکل گرفته‌اند که با ایجاد کانال‌ها و گروه‌های جعلی مانند "توییتر امیرکبیری‌ها" (و توییتر دانشگاه های دیگر)، به دنبال نفوذ به گروه‌های دانشجویی و شناسایی و در نهایت بازداشت و سرکوب آن‌ها هستند.

کارشناسان تواناتک بارها درباره عضویت در گروه‌های تلگرامی هشدار داده‌اند. برخی از ادمین‌های این گروه‌های تلگرامی با اضافه کردن انواع ربات‌ها و همچنین فعالیت افراد مشکوک و انتشار اخبار جعلی و شایعات، به هدف شناسایی کاربران و اعضای این گروه ها فعالیت می‌کنند.

در انتها خبرنامه دانشگاه امیرکبیر با توصیه به دانشجویان نوشته:
«از خانواده بزرگ دانشگاهی تقاضا می‌شود که به هیچ عنوان در کانال‌های توییتری که کمتر از ۹ ماه از تاسیس آن نیز نمی‌گذرد و با صرف تبلیغات و هزینه‌های بسیار به دنبال جذب مخاطب هستند؛ «عضویت پیدا نکنند!»

#دانشگاه #رصد #شنود #سایبری #تلگرام #فضای_مجازی #سرکوب

@tavaanatech
برای تایید هویت دومرحله‌ای از پیامک استفاده نکنید

برای تایید هویت دومرحله‌ای از پیامک استفاده نکنید به این دلیل که نهادهای حکومتی به پیامک‌های دریافتی شما، دسترسی دارند. پس توصیه می‌کنیم برای تایید هویت دومرحله‌ای حساب‌های خود حتما از اپلیکیشن‌های authenticator استفاده کنید، و تا جایی که مقدور است از شماره تلفن‌های ایران برای دریافت استفاده نکنید.

#پیامک #شنود #امنیت #حریم_خصوصی

@tavaanatech