تحقیقات پیشرفته آفسک
7.63K subscribers
653 photos
62 videos
88 files
532 links
آفسک، تحقیقات پیشرفته علوم داده و امنیت نرم افزار
میزبان محققین برجسته ایرانی در کنفرانس سالانه‌ی آفسکانف

وبسایت: www.offsec.ir
توییتر: twitter.com/offsecmag
اینستاگرام: instagram.com/offsecmag

ایمیل: we @ offsec . ir
Download Telegram
This media is not supported in your browser
VIEW IN TELEGRAM
شنود کیبورد از روی صدا!

این قضایای Side Channelی یه جوری دارن توسعه پیدا می‌کنن که داره به جاهای خطرناکی می‌رسه! یه نفر اومده یه الگوریتم رو جوری آموزش داده که براساس داده‌های بسامد هر حرف توی مدل n-gram از حروف (فعلا انگلیسی)، صدای تولید شده‌ی کیبورد رو به اون بسامد نسبت میده و شباهتش رو معلوم می‌کنه.
@offsecmag
پویا دارابی از اعضای اصلی آفسک، برای چندمین دوره متوالی جزء هکرهای برگزیده‌ی فیسبوک و اینستاگرام شناخته شد. در کنفرانس امسال آفسک که چند روز دیگر برگزار خواهد شد، ایشان ارائه خواهند داشت.
@offsecmag
جایزه کشف آسیب‌پذیری در برنامه‌های متن‌باز

گیتهاب در راستای رشد انجین کشف آسیب‌پذیری CodeQL، برنامه‌ی جایزه در برابر کشف باگ تحت این انجین رو توسعه داده و پولش رو بیشتر کرده. لازم به ذکره که این انجین مختص برنامه‌های باینری هست و بایستی جهت دریافت جایزه، کوئری مختص CodeQL ش رو براشون بفرستید. این برنامه تا ۶۰۰۰ دلار جایزه پرداخت میکنه.
@offsecmag
کسی که در این کنفرانس می‌بینید، آقای رابرت جویس هست که امروز بعنوان رئیس جدید آژانس امنیت ملی امریکا (NSA) معرفی شده. تا قبل از این، رئیس بخش عملیات دسترسی‌های درخور (خونه‌ی هکرها) در NSA و همزمان دستیار ویژه‌ی ترامپ در زمینه‌ی هماهنگی‌های امنیت سایبری بوده. شاید باورتون نشه، ولی در کنفرانس USENIX که یکی از محفل‌های معتبر آکادمیک در دنیاست، بطور عجیبی سخنرانی‌شو با این جمله آغاز می‌کنه: «کار ما تولید اطلاعات خارجیه. ما در سطح دولتی نفوذ و اکسپلویت می‌کنیم. این ارائه به شما یاد می‌ده که چطور بتونید کار مارو سخت‌تر کنید.» که جدای از جنبه‌ی روابط عمومی جلب اعتماد برای NSA، تغییر رویکرد رسانه‌ای این نهاد اطلاعاتی، بعد از افشاهای متعدد عملیات‌هاش رو نشون می‌ده. یکی دیگر از این اقدامات که وجهه‌ی مثبتی به NSA داد، متن‌باز کردن ابزار مهندسی معکوس (Ghidra) این نهاد بود که سر و صدای زیادی کرد. همه‌ی این سیاست‌های تبلیغی، دست‌کم با ارتقای آقای جویس، رابطه‌ی معنی‌داری نشون می‌ده.

@offsecmag
https://www.youtube.com/watch?v=bDJb8WOJYdA
کنفرانس آفسک چند روز دیگه شروع می‌شه. اگه احیانا از ثبت‌نام فراموش کردید:

offsec.ir/conf
دومین ارائه آفسکانف:
«کشف آسیب‌پذیری افشای اطلاعات هویتی در اینستاگرام»

https://www.aparat.com/v/6URCN

@offsecmag
سومین ارائه آفسکانف:
«حمله با یک آسیب‌پذیری در مقیاس کل کشور»

https://www.aparat.com/v/jszGk

@offsecmag
چهارمین ارائه آفسکانف:
«تکامل حملات کاربردی کانال جانبی»

https://www.aparat.com/v/HMhX0

@offsecmag
پنجمین ارائه آفسکانف:
«حملات وضع‌محور به فضای ابری مایکروسافت»

https://aparat.com/v/aKXmG

@offsecmag
آخرین ارائه آفسکانف امسال:
«نفوذ به شبکه داخلی مایکروسافت»

https://aparat.com/v/OrQJv


@offsecmag
ارائه‌های امسال آفسکانف هم‌اکنون از یوتیوب قابل دسترس است.
محیط هوشمند و شبیه‌سازی‌شده‌ی مقابله با حملات

مایکروسافت، نرم‌افزاری رو متن‌باز کرده که با بکارگیری الگوریتم‌های یادگیری تقویتی، محیطی آسیب‌پذیر در شبکه می‌سازه و براساس یافته‌های مهاجم، یاد می‌گیره که حملات بعدی مهاجم برای پیشروی (lateral movement) و ارتقای سطح دسترسی رو بشناسه و جلوگیری کنه. اگرچه این پلتفرم هنوز در فاز تحقیق و توسعه قرار داره اما بعنوان گسترش ایده و بکارگیری آزمایشی اون می‌تونه به ما کمک کنه.
@offsecmag