می‌دونین که من سفر کاری خیلی زیاد می رم . در یکی از از سفرها قرار شد یک دستگاه رو با یک دستگاه دیگه عوض کنن ولی یک سوال مهم باقی موند:

جادی عزیز، ما یک دیتابیس از ۳۰۰ هزار کاربر داریم که هش شده‌اند. حالا قرار است این افراد به یک سیستم جدید منتقل شوند اما لازم است پسوردهای آنان را داشته باشیم. شرکت سازنده نرم افزار اول و شرکت نویسنده نرم افزار جدید گفته‌اند که امکان کشف اینکه یک هش چه چیزی بوده وجود ندارد. شما راه حلی می‌شناسید؟

راه حل ساده است و مجموعه ای از اسکریپت نویسی جذاب (اینبار پایتون) و ترکیب کردن دستورات خط فرمان گنو/لینوکس. جریان چیه؟‌ اینها سیصد هزار شماره تلفن و پسورد دارند که مال یک سیستم خاص است. پسوردها هش شده‌اند. یعنی چنین چیزی:

9370333**** ea9bf866d98db73eb0909fa9c1cc1b11
9370050**** fcbfab2f4cda26061ed9e3ee96a4fd61
9370750**** 6a130f1dc6f0c829f874e92e5458dced
9370001**** 9ad97add7f3d9f29cd262159d4540c96

هش یک الگوریتم یکطرفه است که می‌تونه یک استرینگ رو به یک استرینگ پیچیده تبدیل کنه. مثلا الان پسورد نفر اول بعد از هش شدن (با الگوریتم md5) تبدیل شده به ea9bf866d98db73eb0909fa9c1cc1b11. این هش غیرقابل برگشت به پسورد اصلی است اما وقتی طرف مثلا سعی می کنه لاگین کنه و پسوردش رو لاگین می‌کنه، سیستم می‌تونه پسورد جدیدا وارد شده رو هش کنه و ببینه بازهم به همون هش سابق که ذخیره کرده (یعنی ea9bf866d98db73eb0909fa9c1cc1b11) می‌رسه یا نه. این تکنیک اجازه می‌ده ما چک کنیم طرف پسورد صحیح رو داره یا نه بدون اینکه مجبور باشیم پسوردش رو جایی ذخیره کنیم. حالا قراره این سیستم با یک سیستم دیگه که با هش متفاوتی کار می کنه جایگزین بشه و لازمه بی دردسر بودن جریان اینه که بشه پسوردها رو از این هش‌ها استخراج کرد. اما هش ساخته شده تا معکوس نشه – یعنی از نظر علمی از هش نمی شه به هش‌شده رسید.

خب حالا راه حل ما چیه؟ یک راه که بهش «بروت فورث» می‌گن اینه که یکی یکی هر چیز ممکن رو هش کنیم. یعنی اول ۱ رو هش کنیم ببنیم به اون چیزی که اونجا هست می‌رسیم یا نه. بعد ۲ رو هش کنیم. بعد ۱۲ رو بعد ۱۱ رو و خلاصه هر چیز ممکن رو. اینکار یک نیروی کور است و بسیار وقت گیر. اما یک راه هوشمندانه تر هم داریم که بهش می‌گن رنگین کمان / rainbow. تکنیک رنگین کمان اینه که تمام کارهای بالا رو بکنیم (یعنی مثلا اگر اکثر افراد در موبایل از پسوردهای عددی استفاده می کنن از ۰ تا ۹۹۹۹۹ رو هش کنیم و رمز و هش اون رو بریزیم توی یک دیتابیس) و بعد یکی یکی هش ها رو توی دیتابیس سرچ کنیم و پسورد رو نشون بدیم… خب آماده‌اید؟

برای ایجاد همه پسوردهای ۰۰۰۰۰ تا ۹۹۹۹۹ و هش کردن اونها این برنامه پایتون رو نوشتم. مطمئنا می‌تونه بهتر هم نوشته بشه ولی این کار من رو راه انداخت:

#!/usr/bin/python

import MySQLdb

db = MySQLdb.connect("localhost","jadi","password","break" )

# prepare a cursor object using cursor() method
cursor = db.cursor()

for i in range(0, 10000):
	pre = '';
	if i < 10:
		pre += '0';
	if i < 100:
		pre += '0';
	if i < 1000:
		pre += '0';
	num = "%s%s" % (pre, i);
	print num;
	# execute SQL query using execute() method.
	cursor.execute("insert into rainbox values ('%s', md5('%s'));"%(num,num));

# Fetch a single row using fetchone() method.
#data = cursor.fetchone()

# disconnect from server
db.close()

همین برنامه رو برای پسوردهای ۰۰۰۰۰ تا ۹۹۹۹۹ و ۰۰۰ تا ۹۹۹ و ۰۰ تا ۹۹ و ۰ تا ۹ هم کم و زیاد کردم و رنگین کمانی شامل ۱۱۱۱۱۰ پسورد و هش اون ساختم:

mysql> select count(*) from rainbox;
+----------+
| count(*) |
+----------+
|   111110 |
+----------+
1 row in set (0.07 sec)

بعد کلیدی روی هش تعریف کردم که سرچ سریعتر بشه:

mysql> ALTER TABLE rainbox ADD primary index (hash);

حالا وقت شکستن رمزها است. فایلی دارم به اسم users.csv که این شکلی است (چهار رقم آخر تلفن ها رو ستاره کردم که پرایوسی آدم‌ها حفظ بشه):

9370333**** ea9bf866d98db73eb0909fa9c1cc1b11
9370050**** fcbfab2f4cda26061ed9e3ee96a4fd61
9370750**** 6a130f1dc6f0c829f874e92e5458dced
9370001**** 9ad97add7f3d9f29cd262159d4540c96

کافیه این رو با لایبری csv پایتون بخونم، و بعد هش هر خط رو از دیتابیسم کوئری بزنم و اگر جواب داشت توی خروجی تلفن و هش و پسورد شکسته شده رو بنویسم و اگر هم جواب این هش توی دیتابیس من نبود، جلوش بنویسم later تا بعدا از یک جای دیگه پیداش کنم.

#!/usr/bin/python

import MySQLdb
import csv

db = MySQLdb.connect("localhost","jadi","password","break" )

# prepare a cursor object using cursor() method
cursor = db.cursor()

spamReader = csv.reader(open('users.csv', 'rb'), delimiter=' ', quotechar='|')
for row in spamReader:
	tofind = row[1];
	try:
		cursor.execute("select pass from rainbox where hash = '%s'"%tofind);
		data = cursor.fetchone()[0];
		print row[0], tofind, data;
	except: #this hash was not in db
		print row[0], tofind, "later" 

# disconnect from server
db.close()

برنامه بالا رو اجرا می‌کنم و زمان می‌گیرم:

jadi@jubun:~/w$ wc -l users.csv && time python break.py > out.txt
316590 users.csv

real	0m57.226s
user	0m25.362s
sys	0m4.856s

واو! سیصد و شونزده هزار پسورد رو توی کمتر از یک دقیقه شکستیم (: یک نگاه به فایل آوت.تکست می‌گه:

jadi@jubun:~/w$ head out.txt
93703334*** ea9bf866d98db73eb0909fa9c1cc1b11 7523
93700508*** fcbfab2f4cda26061ed9e3ee96a4fd61 8510
93707500*** 6a130f1dc6f0c829f874e92e5458dced 7496
93700013*** 9ad97add7f3d9f29cd262159d4540c96 9538
93700177*** c902514ac30b6e23dbb0c3dc80ec7d4a later
93700858*** ee676ed9ce5bd51b4452ddfbdf962ef7 later
93707848*** 8c249675aea6c3cbd91661bbae767ff1 1986

ظاهرا پسوردهای چهار رقمی مد هستن (: ظاهرا تعداد later ها هم کم نیست. بذارین یک نگاه هم به اونها بندازیم:

jadi@jubun:~/w$ grep later out.txt | wc -l
1558

خب... شش هزار نفر هستن که پسوردشون شکسته نشده. اما من و شمای هکر می دونیم که شش هزار نفر به معنی شش هزار پسورد نیست. معمولا آدم‌ها پسوردهای تکراری می ذارن. بذارین ببینیم اگر پسوردهای تکراری رو حذف کنیم، چند تا پسورد منحصر به فرد توی این گروه می مونه. دستور cut می تونه یکسری از فیلدهای اضافی رو حذف کنه. مثلا الان کات میکنم بر اساس فیلد ۲ و با جدا کننده اسپیس (بعد از دش دی، اسپیس می‌ذارم). بعد نتیجه قسمت اول که هش ها هستن رو می دم به دستور یونیک (که با سوییچ یو، فقط خط های غیرتکراری رو نشون می ده)‌ و بعد تعداد خطوط رو می شمرم:

jadi@jubun:~/w$ grep later out.txt  > later.txt && \
                                cut later.txt -f2 -d' ' | uniq -u | wc -l
5536

نتیجه طبیعی نیست... یعنی از شش هزار نفر فقط پونصد ششصد نفر پسورد تکراری داشتن؟ هر کسی که یک مقاله در مورد رفتار پسوردی آدم‌ها خونده باشه می دونه که این عدد غیر واقعی است.. مشکل! قبل از استفاده از دستور یونیک، باید داده‌ها رو مرتب کرد. پس یک سورت بین دستور اضافه می کنم:

jadi@jubun:~/w$ cut later.txt -f2 -d' ' | sort | uniq -u | wc -l
767

هها! نگفته بودم؟ کل این شش هزار نفر باقیمونده، فقط از ۷۶۷ پسورد استفاده کردن. این ۷۶۷ پسورد رو می‌ریزیم توی یک فایل مجزا برای کشف کردنشون در پست بعدی.

و در نیتجه کافیه من یک برنامه بنویسم که همه هش‌های هنوز کشف نشده رو از فایل ورودی بخونه و اونها رو به این سایت پست کنه و منتظر خروجی بمونه. بعد توی خروجی اچ تی ام ال دنبال چنین خطی بگرده:

Found: md5("zaka") = 00a3b206c4ad2cae515e28745423093a

و zaka رو یک جایی ذخیره کنه. کافیه این کار رو برای همه هش‌هایی که هنوز کشف نشدن ادامه بدیم. مشخصه که هنوز یکسری کشف نشده خواهند موند ولی بذارین ببینیم به چی می رسیم. این مرحله به خاطر فرستادن درخواست به اینترنت کندتر است و یک راه حل خوبه اینه که فایل hard.txt و برنامه رو روی یک سرور وی پی اس آپلود کنیم و اونجا اجراش کنیم. همین کار رو می کنم و برنامه پایتون رو هم اینجوری می‌نویسم که یکی یکی هش ها رو برداره، به اون سایت بفرسته و توی خروجی اچ تی ام ال که بر می گرده، خطی که پسورد رو نشون می ده رو جدا کنه. اگر این هش اونجا هم نبود می نویسیم too difficult و از خیرش می گذریم (: بریم ببینیم چی می شه:

#!/usr/bin/python

import urllib
import csv
import re

spamReader = csv.reader(open('hard.txt', 'rb'), delimiter=' ', quotechar='|')
for row in spamReader:
	try:
		# This is here for copy/pasters....
		# Originally by Jadi at freekeyboard.net
		params = urllib.urlencode({'term':row[0], 'crackbtn': 'Crack that hash baby!'})
		f = urllib.urlopen("http://md5crack.com/crackmd5.php", params)
		page = f.read()
		password = re.search('Found: md5\("(.*)"\) = %s' % row[0], page)
		print row[0], password.group(1)
	except:
		print "too difficult"

و برای اجرا می‌زنیم:

user@remotehost:/tmp$nohup python onlinebreak.py > easy.txt & 

که خروجی پسوردهای شکسته شده رو بریزه توی easy.txt و حتی اگر من هم قطع شدم کار رو در پشت زمینه ادامه بده. تقریبا بعد از یازده دقیقه کار، همه پسوردها با این بانک اطلاعاتی هم چک می‌شن. بعد از اضافه کردن این‌ها به موارد شکسته شده قبلی توی دیتابیس خودمون، یک نگاه می‌ندازیم ببینیم چند تا از پسوردها هنوز باقی موندن.

jadi@jubun:~/w$ time python break.py > out.txt &&  grep later out.txt | wc -l 

real	0m58.863s
user	0m27.706s
sys	0m5.756s
1558

عالی (: حالا دیگه فقط ۱۵۵۸ نفر داریم که پسوردشون کشف نشده. از سیصد هزار نفری که اول داشتیم، پیشرفت عالیی است (: این هزار و پونصد نفر که پسوردهای غیرمعمول گذاشتن هم می‌تونن زنگ بزنن به پشتیبانی و بگن از امروز پسوردشون کار نمی کنه و اونها براشون ریست می کنن (:

نتیجه: از سیصد و خورده‌ای هزار نفر، فقط ۱۵۵۸ نفر پسوردهایی دارن که جزو پسوردهای استانداردی که هر هکری چک می کنه نیست. در پسوردهاتون عدد و حروف کوچیک و بزرگ بذارین و پسوردتون از هشت حرف هم بیشتر باشه. اصلا بذارن این یک دستور دیگه هم بدیم: فایل خروجی رو نشون بده، ستون سومش (پسورد) رو جدا کن (ستون‌ها رو اسپیس از هم جدا می کنه) بعد خروجی رو مرتب کن (پسوردها مرتب می شن) بعد بشمر هر پسوردی چند بار تکرار شده و خروجی و مرتب کن به شکل عددی معکوس و اسپیس های اول خط رو هم بیخیال شو و بعد ده خط اول رو نشون بده.

jadi@jubun:~/w$ cut out.txt -f3 -d' ' | sort | uniq -c | sort -b -n -r | head
 192019 1234
  11780 2222
  10532 123
   9734 1111
   7547 5555
   5293 12345
   4512 4444
   4473 0000
   2568 3333
   2192 444

و این شما و این پر استفاده‌ترین پسوردهای این سیصد هزار نفر. جالبه که ۶۰٪ از کاربران پسوردشون رو گذاشتن ۱۲۳۴۵. فوق العاده نیست؟

شرکت اسپلش دیتا که کارش نوشتن ابزارهای مدیریت پسورد و کلمه عبور است فهرست ۲۵ بدترین کلمه عبور امسالش رو منتشر کرده. این فهرست از لیست‌هایی درست شده که در طول امسال هکرها منتشرشون کردن. فهرست مثل همیشه است. هر سال همین داستانه:

 1.  password
 2.  123456
 3.  12345678
 4.  qwerty
 5.  abc123
 6.  monkey
 7.  1234567
 8.  letmein
 9.  trustno1
10.  dragon
11.  baseball
12.  111111
13.  iloveyou
14.  master
15.  sunshine
16.  ashley
17.  bailey
18.  passw0rd
19.  shadow
20.  123123
21.  654321
22.  superman
23.  qazwsx
24.  michael
25.  football 

بعله (: ما هی می گیم طراحی این ویندوز از پایه اشکال داره، هی اصرار کنین. من معتقدم بیل گیتس آدم بسیار خوبیه. معتقدم آدمی فنی بوده و هست. معتقدم مایکروسافت یکی از بهترین شرکت‌ها برای کار کردن است و غیره اما این ویندوز با این اوضاع فعلی، سرور که پیشکش، سیستم عامل دسکتاپ قابل اعتماد بشو هم نیست.

باگ جدیدی که مایکروسافت فیکسش کرده:

این مشکل امنیتی اجازه می‌دهد که کد ریموت روی کامپیوتر اجرا شود اگر حمله کننده رشته ای از بسته‌های خاص UDP را به پورتی که روی سیستم قربانی بسته شده بفرستد.

این به روز رسانی کریتیکال روی ویندوزهای ویستا، سرور ۲۰۰۸، ویندوز ۷ و ویندوز سرور ۲۰۰۸ ارائه شده است.

جدی؟ روی پورت بسته یک رشته خاص پاکت یو دی پی بفرستیم در نهایت می تونیم یک کد رو روی سیستم اجرا کنیم؟ ((: شوخی می کنین!

این یک سالن شنود است که در تریپولی لیبی کشف شده. پر از پوسترها و راهنماهای انگلیسی که تکنیک‌های شنود را آموزش می‌دهند. تمام عکس‌ها از ادو بایر است؛ خبرنگار عکاس وال استریت ژورنال.

ظاهرا ماموران در چنین سالن‌های بازی می‌نشسته‌اند. این یک ساختمان شش طبقه است. احتمالا در همین‌جا جاسوس‌های قذافی با تکنولوژی وارد شده از غرب، ایمیل‌ها و چت‌های افراد را شنود می‌کردند.

سالن شنود فقط یک طبقه از ساختمان را اشغال می‌کرده. پایینتر، اتاق‌هایی شبیه اتاق‌های بازجویی به چشم می‌خورد که در شبکه‌های پیچ در پیچ ساخته شده‌اند.

یکی از انقلابی‌ها در آستانه در یکی از اتاق‌های کار.

اتاقی در ساختمان شنود. این عکس در روز دوشنبه هفته قبل انداخته شده.

همه جا پر از پرونده‌های کاغذی است

و فلاپی دیسک‌ها زمین اتاق‌های شنود را پر کرده‌اند. تکنولوژی‌ها قدیمی هستند.

پرونده‌ها جدیدتر به شکل مرتب در قفسه‌ها چیده شده اند. پر از پرینت ایمیل‌های ماه‌های قبل و مربوط به روزهای آغازین شورش لیبی.

نمایشگرهای کامپیوتری و فایل‌های کاغذی روی هم انبار شده‌اند. در همین ساختمان قذافی سعی می‌کرد تمام مخالفان حکومتش را زیر نظر بگیرد.

نقشه پایتخت لیبی؛ طرابلس با نشانه‌هایی روی آن که نقاط خیزش مردم را نشان می‌دهد.

پرونده‌های اشخاص

جعبه‌هایی پر از فیلم‌های ویدئویی.

پرونده‌های قدیمی که در گوشه‌ای انبار شده‌اند

پرونده‌های خرد شده با دستگاه کاغذ خرد کن

و فکر می کنین اگر لیبی همه این هزینه‌ها رو صرف مثلا آموزش در مدارس می‌کرد، وضعش امروز فرقی داشت یا نه؟ البته می پذیرم که اگر به جای شکنجه و کشتار و پرونده سازی سراغ آموزش بچه ها و دانشگاه هاش می‌رفت، مدت‌ها قبل حاکم مادام العمرش باید کنار می‌کشید و خب ظاهرا برادرمون ترجیح می داد دیکتاتور یک کشور بدتر باشه تا شهروند عادی یک کشور بهتر..

امنیت فرودگاه‌ها این روزها واقعا مایه خنده همه شده.. و البته مایه دردسر. همین چند روز قبل کن لیولد و همسرش که از مسافرت انگلیس برمی‌گشتند یک عروسک کوچک سرباز خریدند تا با خودشان به کانادا برگردانند اما مامورین امنیتی هواپیما با استفاده از دستگاه اشعه ایکس متوجه حضور یک اسلحه در وسایل آن‌ها شدند و در عین تعجب حضار، تصمیم گرفتند که این اسلحه اجازه ورود به هواپیما ندارد تا یک بار دیگر همه ببینند که وضع قوانین محدود کننده عام، گاهی چقدر خنده‌دار می‌شود.

این زن و شوهر در نهایت یک پاکت خریدند و «مسلسل» را پنج روز بعد از رسیدن خودشان به کانادا، از طریق پست تحویل گرفتند. مدیر موزه‌ای که عروسک را فروخته بود در این باره بعد از اشاره به اهمیت امنیت و اضافه کردن اینکه این مورد دیگر زیادی بوده، گفت که خوشحال است این زن و شوهر به جای مسلسل، تانک نخریده بودند.

آپدیت: این مطلب قسمت دوم هم دارد: پاسخ به چند پرسش در مورد ویکی لیکس و آسانژ

بعد از دیدن اشتباه‌های هر روزه رسانه‌های خبری فارسی زبان در مورد ویکی‌لیکس و حواشی‌اش حس کردم نوشتن چنین چیزی مفید است (: دانش من در حوزه فنی است و خرده فرهنگ ناشناس و مشخص است که بحث‌های غیرفنی نامرتبط به ناشناس احتمال بیشتری دارد که اشتباه باشند. در عین حال نوشتن این راهنما به معنی قبول نداشتن بقیه نیست (: این را نوشته‌ام تا اشتباهات کمتر شوند. بدون شک از اصلاحات دوستان نسبت به خود این متن با علاقه استقبال می‌کنم.

ویکی

ویکی لیکس یک ویکی است. ویکی به زبان هاوایایی(؟) می‌شود «سریع» و ایده ای بود برای ساختن سایت. در یک ویکی شما نیازی ندارید صفحه به صفحه سایت را شخصا به زبان وب درست کنید بلکه با نصب یک برنامه ویکی این امکان به سادگی فراهم می‌شود که یک نفر غیر آشنا به زبان‌های طراحی وب هم بتواند به یک سایت صفحه اضافه کند، صفحات را تغییر دهد، آن ها را به هم لینک کند، طبقه‌بندی نماید و غیره و غیره.

بر اساس این ایده، برنامه‌های مختلفی نوشته شدند که مشهورترین آنها ویکی مدیا است. دانشنامه آنلاین و مشهور ویکی پدیا با همین ایده ساخته شده که در آن هر کس اجازه دارد هر صفحه‌ای را تغییر بدهد و کامل کند. با فکر کردن به این ایده، به نظر می‌رسد که آدم‌های بد سریعا همه سایت را تخریب خواهند کرد ولی در عمل عکس موضوع اتفاق افتاده و ویکیپدیا امروزه به یکی از معتبرترین منابع دانش تبدیل شده است.

ویکی‌لیکس هم یک ویکی است. ویکی‌ای مختص Leaks: چیزهایی که درز کرده. برای این سایت از ایده ویکی استفاده شده تا امکان ادیت سریع مطالب فراهم باشد اما بر خلاف سایت‌هایی مثل ویکیپدیا، به همه بازدیدکنندگان اجازه ادیت داده نمی‌شود.

جولین آسانژ هکر

جولین آسانژ در بچگی هکر بوده (: در ۱۶ سالگی با اسم مستعار منداکس هک کرده و به همراه دو نفر از دوستانش، گروه هکری سابورسیوز رو تشکیل داده. آسانژ همچنین یکی از اولین نویسندگان قواعد این خرده فرهنگ بوده و نوشته «سیستم‌های کامپیوتری که به آن نفوذ می‌کنید را خراب نکنید؛ اطلاعات داخل آن سیستم‌ها را دستکاری نکنید (به جز برای مخفی کردن رد پای خودتان) و اطلاعات را به اشتراک بگذارید.»

پلیس در ۱۹ سالگی آسانژ (۱۹۹۱) به خانه‌اش حمله می‌کند و این هکر نوجوان دستگیر می‌شود. اتهام اصلی دسترسی غیرمجاز به کامپیوترهای شرکت مخابرات کانادایی نورتل و چند سازمان دیگر است. در ۱۹۹۲،‌ او به خاطر ۲۴ مورد هک مجرم شناخته شده اما به خاطر رفتار خوب و نوجوانی و پذیرش این موضوع که به خاطر کنجکاوی درگیر این کارها بوده، با ۲۱۰۰ دلار آزاد می‌شود.

منبع اطلاعات: بردلی منینگ

ویکیلیکس، خودش مسوول به دست آوردن اطلاعات نیست. اطلاعات از منابع مختلف به دست ویکیلیکس می‌رسند و ویکیلیکس بعد از اطمینان از اصیل بودن -تا حد ممکن-، آن‌ها را منتشر می‌کند. بردلی منینگ سرباز ایالات متحده آمریکا است که در یک چت ادعا کرده اطلاعاتی که به خاطر حضور در ارتش به آن‌ها دسترسی داشته را به ویکی لیکس داده است. محرمانه ارتش را به آمریکا داده. تقریبا تمام اسنادی که ویکی‌لیکس در این اواخر منتشر کرده از همین مجموعه است. منینگ در یک چت متنی گفته که به این اسناد دسترسی داشته و با وارد کردن یک سی دی قابل چندبار نوشتن حاوی فایل‌های موسیقی به محل کارش، اطلاعات را به جای موسیقی روی سی دی کپی کرده و از محل کار خارج کرده است و بعد آن را به ویکی لیکس داده.

منینگ که متولد ۱۹۸۷ است، در می ۲۰۱۰ دستگیر شده و هنوز منتظر پایان مراحل محاکمه است. حداکثر مجازاتی که این فرد ممکن است با آن روبرو شود، ۵۲ سال زندان است. دادگاه نظامی او احتمالا در بهار ۲۰۱۱ برگزار خواهد شد.

قابل توجه است که چند نشریه دیگر (از جمله گاردین) هم همزمان با ویکی لیکس روی این اسناد و انتشار آن کار می‌کنند و به جز منینگ، جمعیت قابل توجهی از ارتش و دولت هم به این اطلاعات دسترسی داشته اند.

آپدیت: دوستان زیادی تذکر دادن که این روزها ویکی لیکس قابل ادیت توسط مراجعان نیست و یک سایت یک طرف است. اینجا توضیحات بیشتری هست

ناشناس

ناشناس یک خرده فرهنگ اینترنتی است. یک خرده فرهنگ زیرزمینی. ناشناس در واقع یک گروه نیست بلکه جمعی است از کاربران اینترنت که گاهی به شکل متمرکز یک عمل واحد را انجام می‌دهند. هدف این اعمال معمولا خیلی دقیق نیست ولی همه افراد حاضر در عملیات درباره آن یک ایده عمومی دارند. این گروه در چندین مورد با هماهنگی در محیط اینترنت، تظاهراتی را در دنیای واقعی هم انجام داده. این تظاهرات در ابتدا علیه ساینتولوژی شکل گرفته ولی بعد اهداف دیگری هم پیدا کرده. آدم‌هایی که خودشان را جرو ناشناس می‌دانند ممکن است هر کجای اینترنت پیدا شوند ولی به طور خاص از چند فروم عکس و چند سایت مرتبط با خرده فرهنگ‌های خود (از جمله دانشنامه دراماتیکا) با هم مرتبط می‌شوند.

این آدم‌ها اکثرا پسرهای بین شانزده تا بیست و پنج، شش هفت سال هستند. اکثرا کنار آمده با گرایش‌ها، خواست‌ها و سرخوردگی‌های جنسی‌شان، سوء مصرف مواد مخدر و الکل و همینطور اجتماع ستیزی کنار آمده‌اند. این آدم ها برای حضور در دنیای واقعی از ماسک‌های گای فاکس استفاده می‌کنند که شخصیتی تاریخی است. احتمالا استفاده از این ماسک برای «ناشناس ماندن حین انجام تغییرات بزرگ» به کاربرد آن در فیلم V for Vendetta برمی‌گردد. یکی از نقل قول‌های مشهور آن‌ها می‌گوید:

فکر نکن. اگر فکر کردی، هرگز بیانش نکن. اگر گفتی، هیچ وقت جایی ننویسش. اگر نوشتی، امضایش نکن. اما اگر فکر کردی، گفتی، نوشتی و امضا کردی، از چیزی که برایت اتفاق خواهد افتاد متعجب نشو.

حملات توزیع شده بازداری از دسترسی

از DDos که مخف Distributed Denial of Service است، ترجمه‌های مختلفی می‌شود داد. من فعلا حملات توزیع شده بازداری از دسترسی ترجمه کرده‌ام ولی ترجمه با خود شما. مساله این است که مثلا یک وب سایت در ثانیه ممکن است به هزار نفر بتواند سرویس بدهد. حالا فرض کنید من هزار نفر آدم را جمع کنم تا هر ثانیه یکبار صفحه را لود کنند. نتیجه؟ بقیه نخواهند توانست به این صفحه دسترسی پیدا کنند چون من تمام ظرفیت آن را اشغال کرده‌ام. به این می‌گویند یک حمله «بازداری از سرویس». در واقع من کار مهمی نکرده‌ام ولی توانسته‌ام با تقاضای بیخودی، جلوی سرویس‌دهی به کاربران واقعی را بگیرم. مبارزه با این ساده است: کافی است مدیر سیستم دسترسی شبکه من به سرویس دهنده‌اش را قطع کند.

حالا اگر این ۱۰۰۰ نفر در جاهای مختلفی از دنیا باشند چه می‌شود؟‌ بسیار بیشتر طول خواهد کشید تا مدیر سیستم مورد حمله بتوانند دسترسی تک تک ما را قطع کند. به این می‌گویند «توزیع شده». پس مفهوم «حملا توزیع شده بازداری از دسترسی» می‌شود «ایجاد تقاضای غیرواقعی برای یک سرویس توسط افرادی از جاهای مختلف تا سیستم نتواند به کاربران واقعی سرویس بدهد». درست مانند اینکه یک روز همه بیخودی به خیابان بیاییند و به سمت میدان جمهوری رانندگی کنند تا کسانی که واقعا در جمهوری کار دارند نتوانند به آنجا برسند.

اما این مساله یک قدم هم جلوتر می‌رود. کافی است به جای مثلا ریفرش کردن صفحه وب، از یک برنامه استفاده کنیم که هم سریعتر و هم پر دردسرتر تقاضا ایجاد می‌کند. مثلا کافی است به یک وبسایت بگوییم که با آن کار داریم ولی وقتی پرسید که دقیقا چه کار داریم دیگر جواب ندهیم. وب‌سایت در این حالت مجبور خواهد بود مثلا سی ثانیه منتظر جواب ما بماند و در این مدت یکی از کانال‌های پاسخگویی‌اش اشغال بماند بدون اینکه کار مفیدی انجام دهد. این کار معمولا به دانش فنی نیاز ندارد و با استفاده از یک چند برنامه آماده، به راحتی می‌شود آن را انجام داد.

ناشناس هکر نیست

تقریبا اکثریت رسانه‌های داخلی و بخشی از رسانه‌های فارسی زبان خارجی به اشتباه موقع صحبت از ناشناس ، از عبارت هکر استفاده می‌کنند. جالب است که حتی در مواردی، هنگام ترجمه از متن انگلیسی هم بدون دلیل عبارت هکر به متن اضافه می‌شود (مثلا این مطلب ایتنا با عنوان بازداشت دومین هکر طرفدار ویکی لیکس که ترجمه اشتباهی است از مطلب انگلیسی دومین نوجوان هلندی به خاطر حملات توزیع شده بازداری از دسترسی مرتبط با ویکی‌لیکس بازداشت شد).

نکته‌ای که باید رعایت شود این است که در مطالب،‌ ناشناس هکر معرفی نشود. اگر واقعا علاقمند باشید از اصطلاح‌های دنیای هک استفاده کنید، ناشناس در بهترین حالت یک اسکیدی است. اسکیدی خلاصه Script Kiddie است که مثلا می‌توان آن را بچه اسکریپیتی ترجمه کرد: کسی که بدون داشتن مهارت فنی و تنها با دانلود و اجرای چند برنامه / اسکریپت کاری سعی می‌کند سایت‌ها را از کار بیاندازد، ظاهر آن‌ها را تغییر دهد یا حتی به آن‌ها نفوذ کند.

در مقابل، هکر کسی است که در یک زمینه خاص، مهارت، دانش،‌ استعداد و پشتکار زیاد دارد. در رسانه‌های معمول، این تعریف به حوزه کامپیوتر و به طور خاص امنیت کامپیوتر محدود می‌شود. این رسانه‌ها هکر را کسی معرفی می‌کنند که متخصص کامپیوتر است و به طور خاص با مهارت و دانش فنی بالا، می‌تواند به کارهای عجیبی با کامپیوتر انجام دهد یا به سیستم‌های امنیتی نفوذ کند. این فرد ممکن است به دلیل کنجکاوی، هیجان یا دستیابی به اطلاعات درون سیستم‌ها به سراغ آن‌ها برود.

با توجه به تعریف بالا، ناشناس هکر نیست و نباید حتی در مقاله‌های غیر فنی اینگونه معرفی شود. اکثر رسانه‌های انگلیسی زبان، ناشناس را «فعالان اینترنتی مدافع ویکی‌لیکس» معرفی می‌کنند.

هکرهای واقعی

درست است که گفتیم ناشناس هکر نیست، اما این به این معنی نیست که هکرهای دیگری پشت ویکی لیکس نیستند. هکرهای خوبی با ویکی‌لیکس همکاری می‌کنند. البته نه بر ای سرقت اطلاعات یا نفوذ به سیستم‌ها – هکر به معنی واقعی. متخصصین کامپیوتر و امنیت. بخشی از اینها برای بالا نگه داشتن سرورها،‌ بخشی برای مبارزه با هکرهای حمله کننده به ویکیلیکس و بخشی هم برای حفظ امنیت اطلاعات و ارتباطات. یکی از مشهورترین این چهره‌ها، ژاکوب اپل باوم است.

مشکل دی ان اس

اینترنت و کلا کامپیوترها بر اساس اعداد کار می‌کنند و هر آدرس وب هم در نهایت یکسری عدد بیشتر نیست. وظیفه دی.ان.اس. تبدیل اسم‌های قابل فهم برای ما به اعداد است. در واقع وقتی شما تایپ می‌کنید Freekeyboard.net و به سایت من می‌رسید، یک سرور دی ان اس آن اسم را به عدد مربوطه تبدیل کرده. یکی از فشارهای جدی به ویکی لیکس، توقف سرویس دهی دی ان اس سرورش بود. سرویس دهنده ادعا کرد که فشار و حمله به wikileaks.org بسیار زیاد است و به همین دلیل اشتراک آن را ملغی کرد! بعد از این اتفاق دیگر امکان رفتن به wikileaks.org وجود نداشت و مردم مجبور بودند از طریق آی پی های عددی به سراغ سایت بروند. شرکت سرویس دهنده (EveryDNS) بعد از اینکار با حمله‌های توزیع شده بازداری از دسترسی مواجه شد و بعد از مدتی دوباره قبول کرد که خدمات دی ان اس را از سر بگیرد.

میرورهای جدید

اما مشکل بعدی این بود که هوست ویکیلیکس (یعنی آمازون) هم سرویس دهی‌اش را قطع کرده بود. راه حل این شد که افراد داوطلب از طریق ابزارهایی مانند rsync و ssh و ftp و رد و بدل کلیدهای امنیتی بتوانند سرورهای یونیکسی‌شان یا بخشی از یک سرور یونیکس را در اختیار ویکیلیکز بگذارند تا صدها ویکی لیکز جدید ساخته شود. به اینکار از نظر فنی ایجاد آینه می‌گویند. در این لحظه بیشتر از هزار آینه ویکی لیکز در اینترنت موجود است که اولا فشار مراجعان را بین خودشان تقسیم می‌کنند و علاوه بر آن، قطع شدن دامنه اصلی یا آینه‌های دیگر را جبران می‌کنند.

جایزه

این بحث فنی نیست ولی چون تا اینجا رو خوندین، این هم جایزه:

پرونده تجاوز

می‌خوانیم که آسانژ به تجاوز محکوم است و به همین خاطر از طرف دادستان سوئد تحت تعقیب قرار گرفته و در انگلیس خودش را به پلیس معرفی کرده و بازداشت شده است. ظاهرا به خاطر مشکلات ترجمه یا خجالتی بودن خبرنگاران یا نویسندگان، هیچ وقت دقیق گفته نمی‌شود که جریان این تجاوز چیست.

پرونده در ۲۰ آگوست ۲۰۱۰ باز شده. آسانژ متهم است به تجاوز / رابطه جنسی غیرتوافقی به دو زن ۲۶ و ۳۱ ساله در سوئد. البته بحث ترجمه در اینجا جدی است. ظاهرا قوانین سوئد به راحتی حتی به انگلیسی قابل ترجمه نیستند چه برسد به فارسی. فرد دوم یعنی زن ۳۱ ساله، میزبان یک سمینار خبری در سوئد بوده و آسانژ را هم به آنجا دعوت کرده و در طول اقامت آسانژ در استهکلم، میزبانش بوده. در ابتدا این اتهام جدی گرفته نشده و بعد از صحبت یک ساعته تاریخ ۳۱ آگوست آسانژ و پلیس، او بازداشت نشده. در این صحبت آسانژ اعلام کرده که به هر دو زن رابطه داشته ولی چیز غیرعادی در میان نبوده.

بعد پرونده دوباره در سوئد باز می‌شود: با خاطر اطلاعات جدید و در ۲۰ نوامبر، سوئد حکم تعقیب بین المللی آسانژ را صادر می‌کند. آسانژ که در انگلیس بود،‌ بالاخره در ۷ دسامبر، خودش را به پلیس معرفی می‌کند که به بازداشتش منجر می‌شود و قاضی درخواست وثیقه را هم نمی‌پذیرد.

بنا بر اطلاعات، آسانژ چهار اتهام دارد: دو مورد آزارجنسی (در یک مورد integrity جنسی یک زن را به هم زده و در مورد دیگر بر خلاف خواست صریح زن، با او بدون کاندوم سکس کرده). دو مورد اتهام دیگر عبارت هستند از «استفاده از وزن بدن برای پایین و ثابت نگه داشتن بدن زن حین سکس» و «عدم استفاده از کاندوم در حالی که زن خواب بوده» عنوان شده‌اند. ظاهرا گفته می‌شود که در صورت محکوم شدن آسانژ در این موارد، جریمه تنها ۱۷۰ دلار آمریکایی خواهد بود (این را فقط یکی دو جا دیدم).

آپدیت: این مطلب قسمت دوم هم دارد: پاسخ به چند پرسش در مورد ویکی لیکس و آسانژ

جاهای مختلف بحث شده که این گوگل خبیث کم کم داره کل اطلاعات ما رو ذخیره می کنه. بعضی ها تصمیم می گیرن به همین دلیل از گوگل برن. به هرحال شما هر دلیلی برای رفتن از گوگل داشته باشین باید خوشحال باشین چون حداقلش اینه که گوگل – بر خلاف فیسبوک – این اجازه را به شما می‌ده و اطلاعات شخصی شما رو هم پاک می کنه. برای حذف کردن اکانت خودتون از گوگل این مراحل رو انجام بدین

• در گوگل لاگین کنید
• روی My Account در گوشه بالای سمت راست صفحه کلیک کنید
• در این صفحه، کنار My Products روی ادیت کیک کنید.

• حالا باید لینک زیر گزینه Delete Account را کلیک کنید.

• همه چیز را تیک بزنید. این تیک‌ها تایید می کنند که سرویس‌های مختلف گوگل برای شما غیر فعال شوند و شما قبول می کنید که اکانت پاک شوند ولی اگر تعهد مالی بر عهده اکانت باشد، هنوز آن را می‌پذیرید. بعد پسورد خود را وارد و Delete Google Account را کلیک کنید.

• و خلاص:

فیسبوک سیستمی است ضد حوزه خصوصی آدم‌ها. این بارها و بارها گفته شده (مثلا اینجا) و حالا هم مشکلات امنیتی قانونی. منظورم از مشکل امنیتی مشکلی است که بدون اینکه شما بدانید یا بخواهید، اطلاعاتتان را به بقیه می‌دهد و منظورم از قانونی این است که با اینکار، قانونی را نقض نمی‌کند. در واقع همه چیز برمی‌گردد به وقتی که شما بدون خواندن و فهمیدن «توافقنامه»، آن را تیک می‌زنید و امضا می‌کنید تا به خیل دوستان فیسبوکی بپوندید.

حالا هم یک هکر اطلاعات شخصی صد میلیون کاربر فیسبوک را روی اینترنت گذاشته. در یک تورنت ۲.۸ گیگابایتی که رون بووز از Skull Security، برنامه‌ای نوشته که مانند یک موتور جستجو پروفایل‌های فیسبوک را می‌گردد و فایلی تولید می‌کند از صد میلیون اسم و لینکی به صفحه‌ای حاوی اطلاعات شخصی مانند آدرس، تاریخ تولد، شماره تلفن و غیره و غیره.

کاری که این هکر کرده، غیرقانونی نیست اما یکبار دیگر نشان دهنده مشکلات جدی حوزه شخصی در فیسبوک است و اولویت دادن به مسایل تجاری در مقابل حفظ هویت افراد.

در صورتی که این مساله برایتان مهم است و می‌خواهید به فیسبوک بگویید که این اطلاعات را در اختیار قرار ندهد، به این راهنمای ساده انگلیسی مراجعه کنید.

گاهی ایمیل‌هایی هستند که نه فقط دوستشون نداریم که ازشون متنفریم. مثلا ایمیل‌های اسپمرهای ایرانی. فشردن دگمه Report Spam در مورد خارجی‌ها مفیده ولی واقعا کسانی بودن که برای من سال‌ها است اسپم می‌فرستن و من گاه گداری Report Spam می‌کنمشون و هنوز هم فایده ای نداره. گاهی هم ایمیل‌هایی هستن که واقعا نمی خواین فرستنده رو اسپم معرفی کنین (مثلا ایمیل هایی که از کامنت دونی وبلاگتون می‌یاد) ولی نمی‌خواین هم اون ایمیل‌ها رو ببینین و به دلایلی هم شاید نتونین از تنظیمات خود وبلاگ متوقف‌شون کنین.

راه حل؟ استفاده از فیلترها یا همون قوانین سرویس دهنده ایمیل. من اهل نوشتن راهنماهای آی.تی. نیستم ولی واقعا این رو می‌نویسم تا شاید دوستانی رو از مجموعه‌ای از چرندیات ناخواسته خلاص کنم (:

در قدم اول وارد ایمیل بشین. مثلا جیمل و به روی ایمیلی برین که دیگه نمی‌خواین شبیه‌اش رو بگیرین:

من اینجا وارد ایمیلم شدم و چون ایمیل بهتری نبود، سراغ ایمیل‌های تبلیغاتی اپل بیچاره رفتم. بدون شک اگر راه معقولی برای متوقف کردن ایمیل‌ها داشته باشین بهتره از اون راه وارد بشین تا از این راه خشن.. ولی به هرحال. من روی ایمیل رفتم و بعد از منوی More Actions ، گزینه Filter messages like these رو انتخاب کردم.

حالا بهم اجازه می ده فیلتر تعریف کنم. ببینید:

من می‌خوام یک قانون درست کنم که روی هر ایمیلی که از news@inside.apple.com اومده بود اعمال بشه. شما می‌تونین بگین هر ایمیلی که توی عنوانش فلان چیز باشه یا فلان کلمه رو داشته باشه و غیره و غیره…. بعد کافیه Next Step رو بزنین تا بهش بگین با اون ایمیل‌ها چیکار کنه:

خب من انتخاب کردم که Delete It (: پاکش کنه. راحت و‌ آسوده اون بغل هم تیک زده‌ام که Also apply filter to 9 converations below که مشخص می‌کنه این قانون در مورد تمام ایمیل‌هایی که همین الان هم در اینباکس من هستم اعمال بشه. حالا کافیه Create Filter رو بزنم و دیگه هرگز ایمیلی از اون آدرس نگیرم (:

یکبار هم قبلا این اتفاق برام افتاده. جنبه مثبتش اینه که حس می‌کنین هیچ باری روی دوشتون نیست و همه چیز سبکه. نه گذشته سنگینی دارین و نه چیزهایی که بهش دل بسته باشین بدون اینکه سراغشون برین. جنبه منفی‌اش اینه که حجم عظیمی از کارهای جاری رو از دست دادین. از پروژه‌ها عقب افتادین. یک ماه آینده‌تون به تنظیمات خواهد گذشت و به جمع و جور کردن ابزارهاتون.

یک جنبه میانه هم داره: غیب شدن ناگهانی مسوولیت‌ها. تقریبا ده تا ایمیل منتظر جواب گرفتن از طرف شما بودن. یک لیست از کارهای منتظر برای اجرا داشتین که الان دیگه حتی نمی‌دونین چه چیزهای توش بوده و امیدوار بودین فصلی که به دوستان کامپیوتری قول داده بودین ترجمه کنین رو تا آخر ماه تموم کنین که الان دیگه مطمئن هستین نمی‌رسین…

بعله. یکبار دیگه اتفاق شش سال پیش افتاد: به خاطر یک اشتباه احمقانه فنی از طرف خودم و یک ماجراجویی علمی کوچیک، تمام اطلاعات هارددیسک رو به شکل غیرقابل برگشتی از دست دادم. اگر کسی از طرف من منتظر جواب چیزیه یا معتقده باید براش کاری کنم، دوباره بهم خبر بده چون من نه خاطره‌ای دارم نه مسوولیتی. انگار دوباره تازه متولد شدم.