۱۷
ارديبهشت
خوب ، همه میدونیم که تلگرام رو فیلتر کردن :| ، اما این تنها شروع قضیه است !
استفاده شخصی به کنار ، مساله ای که وجود داره ، پشتیبانی مشتری های شرکت ، هست ، نمی تونم بگیم ببخشید ما توی تلگرام پشتیبانی نمی کنیم شما رو برید و سروش نصب کنید ، چیزی که خودمون هم حتی اعتقادی نداریم بهش !
در ضمن کلی سرمایه گذاری کردیم برای رباتی که خدماتی رو به مشتری ها ارائه میکنه، اونم چون سرورمون داخل ایرانه از کار افتاده ، کلی سرمایه گذاری ریالی و زمانی روی این ربات انجام دادیم حالا به همین کشکی دست از سرش بر نمیداریم !
در ضمن استفاده از فیلتر شکن خیلی کلافه کننده ، هی برای این نرم افزار باز کن برای اون یکی ببند :| ، سرعتش که جای خود دارد که واقعا کنده ، هم بدلیل فیلتر های انجام شده است و هم به دلیل هجوم کاربر ها است ، با دیتای گوشی هم که عمرا وصل بشه :|
چند روزه دنبال سلوشن های مختلفی بودم ، که فیلترینگ رو به نحو احسن دور بزنم ، یعنی با امنیت و سرعت ، امروز راه اندازی کردم ، مقداری قضیه پیچیده شد ، پروتکل های عمومی نظیر Http Proxy و Socks5 رو که کلا از داخل به خارج و برعکسش مسدود کردن برای همین اغلب پراکسی ها جواب نمیدن و دنبالشون نرید ، پروتکل های L2TP و PPTP و VPN و .... هم که کلا مورد عنایت قرار گرفته :|
اما همیشه راهی هست ،
هم اکنون دوباره سرویس ها لایو شدن ، زیاد وارد جزییات نمیشم ! در همین حد بدونید که عنوان دقیقا برازنده کاری هست که انجام شده.
زندهام ،هر چه زدی تیغه به شریان نرسید
خیز بردار ببینم خطری هم داری؟
زخم از این تیغ و تبر تا که بخواهی خوردم
عشق من،اَرهی تَنتیزتری هم داری؟
+ تیتر تکه ای از شعر از علیرضا آذر
۱۰
ارديبهشت
خدا رو شکر، نظرشون رو اعلام کردند و قراره تلگرام رو فیلتر کنند!
این یعنی حمله مردم برای دانلود فیلترشکن ، فقط خواستم بگم نرم افزارهای فیلترشکن نیازی به دسترسی مخاطب ها و پیامک ها و موقعیت و نظایر اون ندارد، پس برای امنیت خودتونم که شده این دسترسی ها رو غیر فعال کنید
تو اندروید ۶ به بعد میشه دسترسی ها دستی برای یک نرم افزار تغییر داد
این یعنی حمله مردم برای دانلود فیلترشکن ، فقط خواستم بگم نرم افزارهای فیلترشکن نیازی به دسترسی مخاطب ها و پیامک ها و موقعیت و نظایر اون ندارد، پس برای امنیت خودتونم که شده این دسترسی ها رو غیر فعال کنید
تو اندروید ۶ به بعد میشه دسترسی ها دستی برای یک نرم افزار تغییر داد
+ به هیچ عنوان نرم افزار هایی که تحت عنوان فیلتر شکن توی تلگرام و کانال ها و گروه ها دست به دست میشه رو نصب نکنید ، افراد سوء استفاده گر زیادند، احتمال بدافزار بودنشون بسیار زیاده
+ بعد نوشت: وقتی چو انداختن تلگرام قرار فیلتر بشه ،پوششی بود برای پرت کردن حواس مردم از بالا رفتن قیمت دلار، الان که دارن میبندنش خدا میدونه چه گندی زندن که بعد صداش در میآد
۰۸
ارديبهشت
از همون اول هم تلگرام خوب نبود؛ وقتی که دید استقبال خوبی داره ازش میشه ، شروع کرد به کار کردن روی قابلیت های جدید ، و واقعا میتونم بگم نو آوری های خیلی خوبی هم ارائه کرد ، تا الان که تقریبا کمتر کسی رو میشه پیدا کرد که اسم تلگرام نشنیده باشه !
البته مشخصه همون اول هم روی بحث امنیت به خوبی کار کرده بودند، البته بگذریم از گندی که توی نرم افزار دیسکتاب زده بود و کد تایید هویت رو هم لاگ می گرفت. می خوام بگم همچین تلگرام هم مقدس نیست و باگ داشته و داره و خواهد داشت. مساله اصلی وجود باگ نیست ، سورش هم باگ های خنده داری داره و داشته و خواهد داشت. اصل مساله جای دیگه ای است.
حالا بگذریم که چقدر تو سطح تفکر سازنده های این دو نرم افزار تفاوت وجود داره ، که فکر میکنم به خوبی هم مشهود باشه ، ولی اگر مشخص نیست ، بذارید یکی دو مورد رو بگم
خنده دار تر از این نیست که توی قرن 21 ، نرم افزاری که اطلاعات حساس کاربری رو تبادل میکنه از http استفاده کنه ، بله درسته سروش الان از https استفاده میکنه ، ولی در دی ماه 1396 که تلگرام بسته شد ، سروش از http استفاده می کرد، به شخصه وقتی http رو در آدرس پیام رسان سروش دیدم ، حتی وارد صفحه اش هم نشدم ، چه برسه که بخوام ازش استفاده هم بکنم ، و بسیار جای فکر داره که حتی الفبای امنیت توسط این پیام رسان نادیده گرفته شده ، الان چطور ادعای تامین امنیت رو داره ، حتی شک دارم چیزی از امنیت بدانند. بگذریم.
از دیگر شاهکار های تیم سروش ، استفاده از شماره تماس به عنوان شناسه یونیک در سطح API هست، این اتفاقات هست که میگم حتی نمی فهمند امنیت چیست ، در ضمن آقای میلاد نوری هکر کلاه سفید بود و نقص رو بهتون نشون داد ، هکر های کلاه سیاه باگ رو رو نمی کنن و ازش استفاده خواهند کرد. یعنی میخوام اشاره کنم ، خدا میدونه چقدر دیگه از این باگ های خوف انگیز خنده دار داره.
یکی دیگه از شاهکار های تیم سروش ، عدم پیش بینی ظرفیت مورد نیاز است ، وقتی که توی دی ماه تلگرام بسته شد و تقریبا 80 درصد افراد از فیلتر شکن استفاده می کردند ، 20 درصد درست کار همیشه همراه که رفتن سراغ سروش ، کلا سرویس سروش از دسترس خارج شد ، شاید این خنده دار نباشه ، و بشه گذاشت پای بی تجربگی ، اما اصلا قابل پذیرش نیست ماه ها بعد با خبر فیلتر شدن تلگرام دوباره سرویسشون بخواد از دسترس خارج بشه ! اینو دیگه خودتون تفسیر کنید...
خوب تلگرام از همون اول از MTProto برای رمز کردن پیام ها استفاده می کرد ، MTProto یه الگوریتم من در اوردی است که توسط برادر پاول درف طراحی شده و بر اساس AES و RES هست و جایزه میلیون دلاری برای شکستنش تعیین کردند ! خوب ظاهرا تا حالا کسی جایزه رو نبرده ، حالا یا کسی تلاشی نکرده یا جایزه کم تر از اون چیزی بوده که اطلاعات ارزشش رو دارن!
اما سروش چی ؟ ، هیچی حتی یه TLS ساده هم نداره ، یعنی به سادگی هرچه تمام تر هرکسی ترافیک شما رو شنود کنه ، چت های شما رو هم شنود میکنه !
ممکنه با خودتون بگید ، من که چیزی نمیگم و یا کاری نمی کنم که بخواد اطلاعاتم لو بره و ناراحت بشم ، خوب به شخصه با این تفکر خیلی مشکل دارم ، ولی فرض میکنم مشکل ندارم، اوکی ! ، اما آیا میدونید توی سروش می تونید تراکنش های مالی انجام بدید ؟ ، خوب حالا بازم این حرفو میزنید ؟ ، اگه یه روز صبح بهاری پیامکی دریافت کنید که حسابتون خالی شده بازم این حرف رو می زنید ؟!
خوب حالا فرض کنید چشممون رو همه اینا ببندیم و فرض کنیم سروش انتهای امنیت و سرعت ، اون موقع چی ، اون موقع میشه بهش اعتماد کرد ؟
خوب بذارید قبل از جواب به این سوال چند تا نکته رو مطرح کنم ! ، اول این پست رو یه نگاهی بندازید و در ضمن دی ماه 1396 ، نشون داد که هیچ مرزی برای برای ورود به حریم شخصی وجود نداره ، چطور؟
پیام های ارسالی از سوی تلگرام که کد احراز هویت رو ارسال می کرد توسط شرکت مخابرات ایران و ایرانسل و ... فیلتر شد ، یا وقتی خبر انتشار نسخه ای از تلگرام که فیلترینگ رو در روسیه دور میزد ، منتشر شد ، نسخه مذکور در گوگل پلی موجود بود ولی مارکت های ایرانی نسخه موجود روی سایتشون رو حتی دانگرید کردند!
امروز خبری خوندم در رابطه با این که اکانت ایمیل و تلگرام عده ای از جمعیت امام علی هک شده که ظاهرا ورود دو مرحله ای هم داشته اند ، خوب چطور ممکن است جز استفاده از رخته امنیتی SS7 که نیاز به تجهیزات بسیار گران قیمت دارد یا همکاری نهادی که پیامک ها رو رصد می کند ؟ - حالا قضاوت با خودتون اگر این اتفاق واقعا افتاده باشه ، کدوم راه طی شده ؟
الان میتونم با خیال راحت به سوال قبل جواب بدم و بگم ، خیییییر ، قابل اعتماد نیست ! ، نه این ذاتن نباشه ، ولی شرایط جوری هست که که نیست :|
تنها یک نامه از یک ارگان خاص کافیه که اطلاعات دیگه محرمانه نباشه یا باشه :/
۱۴
فروردين
حمایت از تولید داخل !
خوب این بهانه ای شده برای عده ای فرصت طلب ، شدیدا پیشنهاد می کنم در خصوص خریداهاتون توجه کنید کالای چینی رو به جای ایرانی بهتون قالب نکنند. این حرف ممکنه مقداری عجیب به نظر بیاد ولی اصلا اینطور نیست .
نه امسال ، چندین سال پیش ، شرکتی دولتی قصد خرید تعداد زیادی از یک نوع تجهیز رو داشت که سفارشش رو به یکی از شرکت های دخلی میده ، شرکت موصوف هرچی حساب کتاب میکنه می بینه تولید در داخل خیلی براش توجیه اقتصادی نداره ، برای همین میره با یه شرکت رنده چندم چینی قراردادی می بنده که اون شرکت بیاد تجهیز مورد نیاز رو به اسم شرکتی ایرانی تولید کنه ، خدا میدونه شرکت های چینی اصلا برند براشون هیچ اهمیتی نداره ، شما هزار عدد از کالا رو خریداری کن با هر اسم و نشانی که دوست داری بهت تحویل می دند. بله پس این شد که شرکت ایرانی ما ، جنس چینی رو به جای محصول خودش به شرکت دولتی فروخت . نه کارگری استخدام شد و نه سر سفره کارگر ایرانی نانی رفت ، تنها تبانی شد و چرخ اقتصاد کشور چینی به گردش در اومد.
نمونه ای دیگر :
تلگرام رو به دلایلی که نمی دونم چرا دارند می بندند ظاهرا ، خوب کاری ندارم خوب یا بد ولی بد قضیه اینجاست که دارند یه خر رو به عنوان قناری جایگزین می کنند و تبلیغ ، که تا همین جاشم مشخصه چقدر گند زدند.
خوب ممکنه فکر کنیم ، گور بابای امنیت ما ، مگه چی میخوایم بگیم که بیان و ما رو بگیرن! ، منم میگم بله ، گور بابای امنیت کیه که براش مهم باشه تو هزاران پیام جفنگی که برای این و اون می فرستیم کسی جستجو کنه و بگرده و بخونه - خلاصه هر کاری خواست بکنه ، ولی در عوض نرم افزار ایرانیه دوتا برنامه نویس ایرانی زحمت کشیدند کپی کردند از تلگرام به هر حال کپی کردن هم خودش خیلی کار سختیه ، اینطور راحت نیست که هرکسی بخواد انجامش بده ، مخصوصا وقتی 50 درصد قضیه سورسش موجوده (کلاینت اندرویدی تلگرام) و 50 درصد دیگه اش رو باید وقت بذارن و طراحی کنن که اونم سمت سرورش هست دیگه !
ولی خوب اینطورام نیست ، این خر معروف که ایرانی نیست ، همون 50 درصد باقیه اش هم خارجیه ، دقیقا مثل راویت اولی که گفتم !
بدافزار مورد بحث ، بد افزار eitaa هستن ، که الان ظاهرا به دلیل استقبال گسترده کاربرهای عزیز کلا بفا رفته و در دسترس نیست ولی خوب کاری نداریم ، اگه یه سری به وب آرشیو بزنیم که اهالی بیان خیلی خوب باهاش آشنا هستن می بینیم که بله ، WISPI :|
خوب برای مشخص شدن قضیه باید اول وب سایت eitaa رو در روز های اولیه راه اندازی ببینم مثلا تاریخ چهارم ژانویه 2018 که به سادگی با استفاده از archive.org در دسترس هست. خوب حالا سورس صفحه رو باز کنید برای کروم از کلید های Ctrl+U استفاده کنید . حالا عبارت wispi رو جستجو کنید .
بله کاملا مشخصه که مسنجر WISPI رو برداشتن ، رنگ کردند و به اسم eitaa قصد دارند به جای تلگرام قاالب کنند. که فقط رنگ ها از آبی به نارنجی تغییر کرده ، حتی لینک IOS نرم افزار تو نسخه معرفی شده وب تغییر نکرده و اگه کلیک کنید به صفحه wispi خواهد رفت.
+ در قسمت «درباره» سایت ویسپی، اشارهای به محل تولد این سرویس نشده است. با این حال، در اپاستور و گوگلپلی، توسعهدهنده شرکتی است به نام «SG Atlantic Limited» که مستقر در هنگکنگ است.
۱۹
فروردين
توی پست قبلی گفتم که قراره یه خبرایی بشه ، خوب شد !
ماجرا از این قراره که اول یه خزنده میره یه سری از بلاگ دوستان (که به صورت کاملا اتفاقی انتخاب شدن :|) رو میره می گرده ایندکس میکنه ، بدون این که بیان متوجه بشه و آمار کاذب براشون ثبت بشه ، بعد از اون آخرین پست ها رو استخراج می کنه ، بعد اون طرف یه ربات تلگرامی نوشتم که میاد و این پست ها رو توی تلگرام منتشر میکنه :/ ، البته معلومه که به نام خود دوستان با آدرس خودشون این کار صورت می گیره!
بعد هر کسی که تلگرام داشته باشه ، میتونه بلاگ های مورد نظرش رو توی تلگرام انتخاب کنه و از آخرین پست های اونا مطلع بشه :))
البته هنوز سیستم کامل نشده و تحت تست است ، و باگ هایی داره که باید برطرف بشه ، در حال حاضر عکس ها و فایل های صوتی و تصویری به تلگرام منتقل نمیشه.
بیشتر این پروژه برای تفریح بوده و معلوم نیست واقعا ادامه پیدا کنه یا نه :/
برای تست می توانید به ربات(@OneAshena_bot) پیام بدید. البته ممکنه ربات مشکلاتی داشته باشه که اگر اطلاع بدید متشکر میشم :)
+ وقتی داشتم بات رو مینوشتم ، یه باگ توی تلگرام پیدا کردم به نحوی که اگر عکس پروفایل یا آیدی ، یا حتی یه مسیج از هر شخصی داشته باشیم ، میتونیم شماره رو بدست بیارم :/ ، التبه در حد تئوری هست ، ولی خیلی محتمل هست که بشه
+ چرا بلاگ های برتر آپدیت نشده توی بیان ؟! عجب انگار بیان ذوقشو از دست داده.
۱۷
دی
بعد از اتفاقات مربوط به آدم فضایی ها ، به رادیو آماتوری علاقه مند شدم ، این که بتونی با یکی در فضا که نه در مثلا استرالیا یا مسکو یا آلمان یا امریکا اونم از طریق امواج رادیویی صحبت کنید ، به اندازه کافی هیجان انگیز هست ، با تحقیقات متوجه شدم برای عمل فرستندگی باید مجوز های لازم رو از سازمان تنظیم مقررات رادیویی دریافت کنم ، که اونم یه صف داره که باید به حد نصاب برسه برای برگذاری آزمون مربوطه. با کمی تحقیق بیشتر با جامعه تلگرامی 39 نفریی آشنا شدم از علاقه مندان و به عبارتی کهنه کاران این عرصه .
افراد با تجربه ای که دوست داشتم از علشمان استفاده کنم ، اما همیشه یک اتفاق ناگوار در کمین است. کنجکاو شدن در خصوص هویت و فوزولی در باب این که چه شکلی هستی و اسمت چیه و چند سالته و...
از اونجایی هم که من کلا با این موضوع مشکل دارم ، اونام لطف کردن و از گروهشون که الان احتمالا 38 عضو داره ، اخراجم کردن.
چقدر بده که در خصوص هم اینگونه کنجکاو باشیم ، چقدر بده که اینقدر بخیل علم مان باشیم که حاضر به نشر آن نباشیم! {فکر میکنم آدم هایی که فکر میکنن علمشون چیز شاقی هست حاضر به نشر اون نیستند }
+ عصبانی ام از دست این آدم ها
+ مجوز هم فقط برای باند HF و تا توان 100 وات هست به نظرم یکم پایینه :/