مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

انتشار شده در تاریخ 1399/07/14 - 11:07

گوگل برای یافتن باگ‌ موتورهای جاوا اسکریپت بودجه اختصاص می‌دهد

«کمک‌هزینه‌ی تحقیقاتی فازیلی» پروژه‌ی جدید گوگل برای اعطای بودجه به محققان امنیتی است

به گزارش کارگروه امنیت سایبربان ؛ گوگل به‌تازگی برنامه‌ی کمک‌هزینه‌ی تحقیقاتی جدیدی تدوین کرده است تا به محققان حوزه‌ی امنیت و پژوهشگران دانشگاهی برای پیدا کردن آسیب‌پذیری در موتورهای جاوا اسکریپت (JavaScript) مرورگرهای وب کمک کند. گوگل با حمایت از این محققان در تلاش است نقص‌های موجود در موتورهای جاوا اسکریپت را به حداقل برساند؛ اهالی مانتین‌ویو می‌گویند باگ‌های موردبحث باید از طریق تکنیکی به‌نام فازینگ (Fuzzing) شناسایی شوند.
فازینگ یا آزمایش فاز (Fuzz Testing) نوعی تکنیک است که در آن محققان امنیتی به‌منظور شناسایی باگ‌‌ها، داده‌های تصادفی، غیرمعتبر یا غیرمنتظره را به‌عنوان داده‌ی ورودی به درون برنامه‌ای خاص تزریق می‌کنند و مشغول تحلیل خروجی برای پیدا کردن هرگونه ناهنجاری می‌شوند. تکنیک فازینگ امروزه به‌صورت گسترده در شرکت‌های بزرگ حوزه‌ی فناوری (بیگ تک) استفاده می‌شود، بااین‌حال محققان امنیتی که برای خودشان کار می‌کنند علاقه‌ی چندانی به استفاده از فازینگ ندارند. تکنیک فازینگ بسیار پرهزینه است و به‌طورمعمول برای انجام دادن آن باید به منابع متعدد و گران‌قیمت حوزه‌ی رایانش ابری (Cloud Computing) دسترسی داشته باشید.
یکی از روش‌‌های درآمدزایی برای محققان امنیتی این است که جزئیات باگ‌های شناسایی‌شده را در برنامه‌های شکار باگ عمومی به اشتراک بگذارند و جایزه‌ی تعیین‌شده برای شکار باگ را دریافت کنند. مشکل این است که محققان امنیتی تا چندین ماه پس از شناسایی باگ‌‌ها و ثبت کردن جزئیات آن‌ها در برنامه‌های شکار باگ عمومی، جایزه را دریافت نمی‌کنند. به‌علاوه هزینه‌ای که به محقق داده می‌شود لزوماً قرار نیست تمامی هزینه‌های اولیه‌ را پوشش دهد.

شماری از محققان برای انجام آزمایش فاز، منابع رایانش ابری را اجاره می‌کنند و برای این کار باید مقدار درخورتوجهی پول بدهند. این موضوع باعث می‌شود انجام فازینگ برای محققان مستقل ازلحاظ مالی توجیه‌پذیر نباشد. گوگل پنج‌شنبه‌ی گذشته اطلاعیه‌ای جدید روی وبلاگ رسمی خود منتشر کرد و گفت برنامه‌ی کمک‌هزینه‌ی جدیدش را به‌طور ویژه برای رفع کردن این مشکل تدوین کرده است. محققان امنیتی و دانشگاهی می‌توانند از طریق برنامه‌ی آزمایشی جدید گوگل درخواست کمک‌هزینه را ثبت کنند.
محققان سپس می‌توانند از کمک‌هزینه‌ی دریافت شده برای انجام آزمایش فاز در هر موتور جاوااسکریپتی که خودشان بخواهند، استفاده کنند. گوگل می‌گوید یکایک درخواست‌ها را به‌دقت بررسی می‌کند و در عرض دو هفته به متقاضیان پاسخ می‌دهد. درخواست‌هایی که پذیرش شوند ممکن است تا حداکثر ۵٬۰۰۰ دلار بودجه دریافت کنند. گوگل بودجه‌ی موردبحث را در قالب سرویس پرداختی ویژه برای استفاده در موتور رایانشی گوگل (Google Compute Engine)، زیرساخت رایانشی بسیار قدرتمند واحد گوگل کلاد (Google Cloud) ارائه می‌دهد؛ گوگل با این کار مطمئن می‌شود بودجه‌ای که دراختیار محققان قرار می‌دهد مورد سوءاستفاده قرار نمی‌گیرد.
برنامه‌ی اعطای کمک‌هزینه‌ی تحقیقاتی به محققان امنیتی، برنامه‌ی آزمایشی ویژه‌ای است که از یکم اکتبر ۲۰۲۰ (۱۰ مهر ۱۳۹۹) آغازبه‌کار کرده و قرار است تا یکم اکتبر ۲۰۲۱ (۹ مهر ۱۴۰۰) ادامه داشته باشد. گوگل ابزاری متن‌باز با نام Fuzzilli دارد که برای انجام آزمایش فاز از آن استفاده می‌شود؛ اهالی مانتین‌ویو به‌خاطر همین ابزار، نام برنامه‌ی کمک‌هزینه‌ی جدید خود را «کمک‌هزینه‌ی تحقیقاتی فازیلی» (Fuzzilli Research Grant) گذاشته‌اند. ابزار فازیلی برای انجام آزمایش فاز در موتورهای رایانشی گوگل استفاده می‌شود و خودِ گوگل محققان را به استفاده از آن تشویق می‌کند.

گوگل می‌گوید تمامی باگ‌هایی که در جریان برگزاری برنامه‌ی آزمایشی جدید پیدا می‌شوند باید به شرکت‌هایی که از آن‌ها متأثر شده‌اند اطلاع داده شوند. همچنین محققان می‌توانند پرداخت‌های اضافی مربوط به شکار باگ را در طول برنامه‌ی کمک‌هزینه‌ی تحقیقاتی فازیلی برای خودشان نگه‌دارند. موتورهای جاوااسکریپتی که توسط برنامه‌ی جدید گوگل پوشش داده می‌شوند شامل JavaScriptCore (در سافاری) و V8 (در کروم و مایکروسافت اج) و Spidermonkey (در فایرفاکس) هستند. بااین‌حال محققان امنیتی می‌توانند در درخواستی که برای دریافت بودجه ثبت می‌کنند، جزئیات موتورهای دیگر را هم بنویسند تا توسط گوگل بررسی شود.
موتورهای جاوا اسکریپت بخشی جدانشدنی از مرورگرهای وب مدرن هستند. نقش اصلی آن‌‌ها، خواندن فایل‌ها یا کدهای جاوااسکریپتی است که مرورگر از وب‌سایت‌ها دریافت می‌کند. موتورهای جاوا اسکریپت سپس باید کدهای دریافتی را تفسیر کنند و به دیگر بخش‌های مرورگر آموزش دهند که نتایج (شامل صفحه‌ی وب و انیمیشن‌ها و افزونه‌های مرورگر و...) را چگونه رندر کنند. موتورهای جاوا اسکریپت نقش بسیار مهمی در مرورگرهای وب دارند و به‌همین دلیل است که احتمال حمله‌ به آن‌ها توسط هکرها بسیار زیاد است.