🔵 عنوان مقاله
Detecting.Cloud (WebApp)

🟢 خلاصه مقاله:
در دنیای فناوری امروزی، امنیت فضای ابری تبدیل به یکی از اولویت‌های اصلی شرکت‌ها و سازمان‌ها شده است. در این زمینه، شناخت مسیرهای حمله واقعی که در فضای ابری رخ می‌دهند، اهمیت زیادی دارد تا بتوان راهکارهای مؤثر برای مقابله با تهدیدات ارائه داد. Detecting.Cloud ابزاری است که این نیاز مهم را برآورده می‌کند؛ این پلتفرم مجموعه‌ای از مسیرهای واقعی حمله در فضای ابری، قوانین تشخیص حمله و نمونه‌های تستی را فراهم می‌کند تا مدیران امنیتی بتوانند حملات احتمالی را شناسایی و به آن‌ها پاسخ دهند.

Detecting.Cloud با جمع‌آوری و سازماندهی مسیرهای حمله در فضای ابری، به تیم‌های امنیتی کمک می‌کند تا درک بهتری از نقاط ضعف سیستم‌های ابری خود داشته باشند. این ابزار، علاوه بر ارائه‌ی قواعد و قوانینی جهت کشف حملات، نمونه‌های آزمایشی نیز ارائه می‌دهد تا کاربران بتوانند صحت عملکرد سیستم‌های امنیتی خود را با شبیه‌سازی حملات واقعی بسنجند. بدین‌ترتیب، این پلتفرم به صورت جامع، نقش یک مرجع کامل را در عرصه امنیت ابری ایفا می‌کند و به سازمان‌ها امکان می‌دهد مسیرهای حملات را بهتر بشناسند و استراتژی‌های دفاعی موثرتری تدوین کنند.

در نهایت، Detecting.Cloud با بهره‌گیری از داده‌های دقیق و نمونه‌های واقعی، ابزار قدرتمندی در برابر تهدیدات فضای ابری است که بهره‌برداران را در محافظت موثرتر و پاسخ سریع‌تر به حملات یاری می‌دهد. این سامانه، پلی است میان تهدیدهای پیچیده و راهکارهای مقابله هوشمندانه، و نقش مهمی در تقویت امنیت فناوری اطلاعات سازمان‌ها ایفا می‌کند.

#امنیت_فضای_ابری #درماندگی_حمله #سیستم_تشخیص_حملات #حفاظت_سازمانی

🟣لینک مقاله:
https://detecting.cloud/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Critical Dgraph Database Flaw Allowed Attackers to Bypass Authentication (2 minute read)

🟢 خلاصه مقاله:
تست آسیب‌پذیری حیاتی در پایگاه داده دِگراف، فرصت حمله‌کنندگان را فراهم کرده است تا فرآیند احراز هویت را دور بزنند. این نقص امنیتی با شناسه CVE-2026-34976 و امتیاز CVSS 10.0، تمامی نسخه‌های دِگراف تا نسخه v25.3.0 را در بر می‌گیرد و در حال حاضر هیچ_PATCH_ خاصی برای آن عرضه نشده است. مشکل اساسی در این است که تابع مدیریت‌سازی restoreTenant، که برای بازیابی داده‌ها به صورت ایمن طراحی شده بود، به طور تصادفی از نقشه‌ مسیر میان‌افزار احراز هویت کنار گذاشته شده است. در نتیجه، این قابلیت کاملاً بدون نیاز به احراز هویت قابل دسترسی است و هر کسی که به نقطه انتهایی شبکه مدیریت دسترسی دارد، می‌تواند از آن بهره‌مند شود.

این آسیب‌پذیری منجر به بروز چهار راه نفوذ احتمالی می‌شود. اولین مسیر، امکان سرقت یا جای‌گذاری فایل‌های پشتیبان مخرب است که با استفاده از فایل‌های پشتیبان مخرب، می‌توان پایگاه داده را جایگذاری کرد. دوم، نفوذ از طریق بررسی فایل‌های محلی با افشای پیام‌های خطا، که در آن مهاجم با ایجاد خطاهای خاص، فایل‌های مخفی را کشف می‌کند. همچنین، این نقص می‌تواند به حمله‌ی نوع SSRF (سرور به سرور) منجر شود، جایی که حمله‌کننده با ارسال درخواست‌های مخرب، کنترل بیشتری بر روی سرور یافته و اطلاعات حساس را به سرقت ببرد. در مجموع، این آسیب‌پذیری خطرات جدی برای امنیت داده‌ها و زیرساخت‌های سیستم‌های مبتنی بر دِگراف ایجاد می‌کند و نیازمند توجه فوری است.

#امنیت_دیتابیس #حفره_امنیتی #دِگراف #حمله_SRF

🟣لینک مقاله:
https://gbhackers.com/critical-dgraph-database-flaw/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
New Rowhammer attacks against Nvidia GPUs give attackers full access to CPU memory (6 minute read)

🟢 خلاصه مقاله:
در دو حمله جداگانه به فناوری Rowhammer در کارت‌های گرافیک، محققان توانسته‌اند کنترل کامل سیستم اصلی (هاست) را بدست آورند. این حملات، با نام‌های GDDRHammer و GeForge، از طریق ایجاد تغییرات در بیت‌های حافظه GDDR6، جداول صفحات GPU را دچار مشکل می‌کنند و در نتیجه امکان خواندن و نوشتن دلخواه در حافظه CPU برای حمله‌گران فراهم می‌شود. این روش‌ها نیازمند غیرفعال کردن IOMMU هستند که معمولاً در اکثر BIOSها فعال است. مهاجمان با دستکاری حافظه، تخصیص جداول صفحات GPU را به بخش‌هایی می‌برند که در معرض آسیب‌پذیری‌های Rowhammer قرار دارند.

این حملات نشان می‌دهد که با وجود پیشرفت‌های امنیتی، همچنان راه‌هایی وجود دارد که مهاجمان بتوانند به سیستم‌های پیچیده و حساس نفوذ کنند. برای مقابله با چنین تهدیداتی، فعال‌سازی IOMMU و اتخاذ تدابیر امنیتی مناسب در BIOS و سیستم‌های عامل اهمیت ویژه‌ای دارد. این یافته‌ها هشدار مهمی هستند برای توسعه‌دهندگان و کاربران درباره ضرورت تقویت سیستم‌های امنیتی در برابر حملات پیچیده و پیشرفته.

حملات Rowhammer همچنان یکی از چالش‌های اصلی امنیت حافظه محسوب می‌شوند، به همین دلیل نیاز است تا راهکارهای جامع‌تری برای حفاظت سیستم‌ها ارائه گردد. افزایش آگاهی و بکارگیری فناوری‌های جدید می‌تواند نقش مهمی در جلوگیری از نفوذهای مخرب و تضمین امنیت اطلاعات افراد و سازمان‌ها ایفا کند.

#امنیت_سیستم #حملات_رونحامر #حافظه_کامپیوتر #کارت_گرافیک

🟣لینک مقاله:
https://arstechnica.com/security/2026/04/new-rowhammer-attacks-give-complete-control-of-machines-running-nvidia-gpus/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Variance (Product Launch)

🟢 خلاصه مقاله:
شرکت Variance فعالیت‌های متنوعی در زمینه مدیریت ریسک و مبارزه با تقلب برای نهادهای مالی و شرکت‌های بزرگ انجام می‌دهد. این شرکت با بهره‌گیری از فناوری‌های پیشرفته، عوامل مستقل و خودکار (عامل‌های هوشمند) را به کار می‌گیرد تا فرآیندهای شناسایی تقلب، بررسی ریسک و تطابق با مقررات را به صورت خودکار و مؤثر اداره کند. این عامل‌ها وظایف مختلفی مانند بررسی مشتریان (KYC)، بررسی معیارهای کسب‌وکار (KYB)، مبارزه با پول‌شویی (AML)، نظارت بر تراکنش‌ها و ارزیابی دقیق مشتریان را انجام می‌دهند.

سیستم‌های Variance بر پایه یک مدل داده‌ی مرکزی و منسجم طراحی شده است که امکان هماهنگی و یکپارچه‌سازی داده‌ها را فراهم می‌کند. این رویکرد باعث می‌شود تا اطلاعات از منابع خارجی مختلف با دقت و سرعت بالا جمع‌آوری و تحلیل شوند. نتیجه این است که نهادهای مالی و سازمان‌های بزرگ قادر خواهند بود فعالیت‌هایشان را با نظم بیشتری مدیریت کرده و خطرات احتمالی را کاهش دهند. بهره‌گیری از فناوری‌های نوین در این حوزه، امکان بهبود امنیت، کاهش خطاهای انسانی و افزایش کارایی را در عملیات‌های حساس فراهم می‌کند.

در نهایت، راهکارهای Variance کمک می‌کند تا فرآیندهای مالی و ریسک‌پذیری با بهره‌گیری از داده‌های گسترده و هوشمند، به شکل قابل اعتماد و سریع مدیریت شوند، و سازمان‌ها بتوانند در بازارهای رقابتی جایگاه بهتری پیدا کنند.

#مدیریت_ریسک #مبارزه_با_تقلب #تطابق_مقررات #فین تک

🟣لینک مقاله:
https://www.variance.com/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🚀 کد منبع آپولو ۱۱ اوپن‌سورس شد! همونی که آرمسترانگ و رفیقاش رو روی ماه نشوند 🌕👨‍🚀

کد اصلی کامپیوتر هدایت مأموریت آپولو ۱۱ (AGC) شامل:
🧑‍🚀 ماژول فرمان (Comanche055)
🌕 ماژول ماه‌نشین (Luminary099)

کل کدش رو انگار فضایی‌ها نوشتن، صد درصد با اسمبلی نوشته شده! 🤖✨

توسط تیم Virtual AGC و موزه MIT دیجیتالی شده و حالا به‌صورت متن‌باز در دسترس عموم قرار گرفته 👨‍💻📜

هدف این پروژه، نگهداری نسخه‌ای دقیق از کدهای اصلی آپولو ۱۱ هست و اگر اختلافی بین نسخه تایپ‌شده و اسکن‌های اصلی پیدا بشه، مشارکت (PR) کاملاً پذیرفته میشه 🙌🔧

📥 دانلود از اینترنت ملی:
http://cdn.codehalic.ir/Apollo-11.zip

💻 ریپازیتوری گیت‌هاب:
https://github.com/chrislgarry/Apollo-11

🔥 یه فرصت خفن برای دیدن کدی که انسان رو به ماه رسوند! 🚀🌌

👇 join 👇
https://xn--r1a.website/+Bp8JeTpQoiUwMjVk

🔵 عنوان مقاله
عملیات موج طوفانی: یک کمپین نفوذ چندمرحله‌ای عظیم (مطالعه ۱۵ دقیقه‌ای)

🟢 خلاصه مقاله:
عملیات موج طوفانی: حمله گسترده چندمرحله‌ای به شبکه‌ها (مطالعه‌ای در حدود ۱۵ دقیقه)

در ادامه بررسی‌های امنیتی، محققان شرکت Fortinet ارتباط میان یک گروه تهدید به نام Mora_001 و حملات سایبری بزرگ و برنامه‌ریزی‌شده را نشان دادند. این گروه که پیش‌تر با بدافزار رansomware سوپر بلاک (SuperBlack) مرتبط شده بود، اکنون در قالب یک عملیات چندگانه و هماهنگ تحت نام «موج طوفانی» (Storming Tide) فعالیت می‌کند. هدف این حمله، تجهیزات امنیتی شرکت فورتینت (Fortinet) و به‌ویژه دستگاه‌های مرزی آن بود که از طریق بهره‌برداری از آسیب‌پذیری‌های CVE-2024-55591 و CVE-2025-24472 انجام می‌شد. مجرمان سایبری با ایجاد تونل‌های VPN دائمی و به‌کارگیری حساب کاربری سرویس فورتی‌کلاد (forticloud-sync) سعی در نفوذ ماندگار داشتند؛ به طوری که پس از یک حمله اولیه، به مدت چندین ماه در حالت غیرفعال باقی می‌ماندند تا از دید سیستم‌های تشخیص مخفی بمانند.

در ادامه روند حمله، گروه مهاجم با بهره‌گیری از چندین لایه نرم‌افزاری و ابزارهای پیشرفته، زنجیره‌ای پیچیده از شناسایی و نفوذ را دنبال کرد. آن‌ها ابتدا از نرم‌افزار Matanbuchus 3.0 استفاده کردند که یک لودر مبتنی بر خدمات مدیریت حملات (MaaS) است و برای ارتباطات کنترل و فرمان از پروتکل ChaCha20 و فرمت پروتوباف بهره می‌برد. پس از آن، مهاجمان از ابزار Astarion RAT برای کنترل راه دور و اجرای دستورات مخرب استفاده کردند. این مرحله با رمزنگاری RSA و سایر روش‌های تکنولوژیک برای حفاظت از تماس‌ها، با هدف نفوذ عمیق‌تر و پنهان‌سازی فعالیت‌ها طراحی شده بود.

در نتیجه، عملیات «موج طوفانی» نشان می‌دهد که گروه‌های تهدید امروزی تا چه حد زیرساخت‌های امنیتی را هدف قرار می‌دهند و پیچیدگی و هماهنگی این حملات چقدر بالاست. مقابله با این نوع عملیات‌ها نیازمند اقداماتی جامع و چندلایه برای جلوگیری از نفوذهای آینده است؛ چرا که مهاجمان نه تنها از فناوری‌های پیشرفته بهره می‌برند، بلکه با استراتژی‌های پیچیده و زمان‌بندی‌شده، امنیت سیستم‌ها را به چالش می‌کشند.

#امنیت_سایبری #حملات_حفره_امنیتی #نفوذ_سایبری #مهاجمان

🟣 لینک مقاله:
https://fortgale.com/blog/defence/operation-storming-tide/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

در این شرایط سخت و جنگی، اگر به کمکی نیاز دارید، به من اطلاع دهید.

🟢 اگر کارفرما هستید و به دنبال برنامه‌نویس می‌گردید، آگهی شغلی خود را برای ما ارسال کنید 📩

🟢 اگر کارجو هستید، رزومه خود را بفرستید تا در فرصت‌های شغلی مرتبط معرفی شوید 🚀

ادمین:
@mrbardia72

.......

https://xn--r1a.website/addlist/vMgZb0Y1CHliMWI0

🔵 عنوان مقاله
Tracebit (Product Launch)

🟢 خلاصه مقاله:
شرکت Tracebit با عرضه راهکارهای فریب تهدید مبتنی بر ابر، فناوری نوآورانه‌ای را ارائه می‌دهد که هدف آن فریب هکرها و شناسایی سریع حساب‌های آسیب‌دیده است. این سیستم با کاشت دارایی‌های ساختگی و دقیق در بخش‌های مختلفی مانند هویت‌ها، نقاط انتهایی دستگاه‌ها و زیرساخت‌های ابری، مهاجمان را فریب می‌دهد و آنها را مسیر اشتباه می‌کشد.

در این فناوری، دارایی‌های جاسوسی یا "کاناری" به گونه‌ای طراحی شده‌اند که جذابیت کافی را برای ثبت توجه مهاجمان داشته و آن‌ها را وادار می‌کند به سمت آن‌ها سوق پیدا کنند. هدف این است که قبل از آسیب‌رسانی واقعی، فعالیت‌های مخرب شناسایی شده و به سرعت مورد بررسی قرار گیرند. در نتیجه این روش‌ها، نه تنها امنیت سیستم‌ها افزایش می‌یابد، بلکه تهدیدات جدیدی مانند حملات مبتنی بر هوش مصنوعی نیز کنترل و مهار می‌شوند، که در حال حاضر یکی از چالش‌های بزرگ در حوزه امنیت سایبری محسوب می‌شود.

در مجموع، راهکار Tracebit یک رویکرد نوآورانه و چندلایه است که با شناسایی زودهنگام آسیب‌پذیری‌ها و جلوگیری از نفوذ، به کسب‌وکارها کمک می‌کند تا در فضای دیجیتال، ایمن‌تر عمل کنند و از خسارات احتمالی جلوگیری نمایند.

#امنیت_سایبری #فریب_تهدید #حفظ_امنیت #حفاظت_ابری

🟣لینک مقاله:
https://tracebit.com/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Iranian attacks on US critical infrastructure puts 3,900 devices in crosshairs (2 minute read)

🟢 خلاصه مقاله:
در پی هشدار مشترک مراجع امنیتی ایالات متحده، تعداد قابل توجهی از دستگاه‌های حیاتی و حساس زیرساخت‌های کشور در معرض تهدید قرار گرفته‌اند. بر اساس گزارشی که توسط شرکت امنیت سایبری Censys منتشر شد، تعداد دستگاه‌های کنترل صنعتی (PLC) از شرکت‌های مشهور مانند Rockwell Automation و Allen-Bradley که به صورت اینترنت‌پذیر شناخته می‌شوند، به حدود ۵۲۰۰ دستگاه رسیده است. این دستگاه‌ها در دنیای صنعت و زیرساخت‌های حیاتی نقش کلیدی دارند؛ بنابراین، هرگونه آسیب‌پذیری در این سیستم‌ها می‌تواند تبعات جدی برای امنیت ملی و عملکرد زیرساخت‌های عمومی داشته باشد.

این هشدار به دنبال فعالیت‌های سایبری و احتمال حملات هدفمند صورت گرفته است که ممکن است توسط دولت‌های خارجی یا گروه‌های هکری فعال در فضای مجازی، هدف قرار گیرد. اقدامات اولیه امنیتی و نظارتی در این زمینه به منظور کشف، رصد و مقابله با خطراتی که این دستگاه‌ها را تهدید می‌کند، در حال انجام است. سازمان‌ها و شرکت‌های مسئول باید اقدامات لازم را برای حفاظت از سیستم‌های خود در برابر نفوذهای احتمالی انجام دهند و به‌روزرسانی‌های امنیتی حیاتی را جدی بگیرند تا از وقوع آسیب‌پذیری‌های بزرگ جلوگیری کنند.

در کل، این گزارش یادآور اهمیت حفظ امنیت سایبری در بخش‌های حیاتی است. نیاز است که تمامی فعالان در حوزه فناوری و زیرساخت‌ها هوشیاری بیشتری نشان داده و تمهیدات لازم را برای جلوگیری از وقوع بحران‌های سایبری اتخاذ کنند، زیرا هر گونه نفوذ می‌تواند منجر به اختلال در خدمات روزمره و تهدید امنیت کشور شود.

#امنیت_سایبری #زیرساخت_حیاتی #حملات_سایبری #هوشیاری

🟣لینک مقاله:
https://cyberscoop.com/iran-attackers-industrial-ot-government-energy-water-censys/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

✈️اولین قدم تلگرام در مبارزه با فیلترینگ، به زودی به نسخه جدید تلگرام اضافه می‌شود 🚀

تلگرام با به‌روزرسانی‌های جدید نسخه ازمایشی (نسخه ۶.۷.۲ دسکتاپ و بتای ۱۲.۶.۴ اندروید) نخستین گام جدی خود را برای مقابله با فیلترینگ برداشت 🛡️.

این شرکت تولید پیام TLS ClientHello در اتصال پروکسی MTProto را تغییر داد تا فینگرپرینت ترافیک شبیه‌تر به مرورگرها شود 🌐؛ در نتیجه، سیستم‌های تشخیص عمیق بسته‌ها (DPI) در کشورهایی مانند روسیه دیگر نمی‌توانند ترافیک پروکسی MTProto را به‌راحتی شناسایی و مسدود کنند 🔒🚫.

🔵 عنوان مقاله
Google API Keys in Android Apps Expose Gemini Endpoints to Unauthorized Access (2 minute read)

🟢 خلاصه مقاله:
کلیدهای API گوگل که به صورت ثابت در برنامه‌های اندرویدی قرار می‌گیرند، اکنون امکان دسترسی غیرمجاز به سرویس‌های Gemini را فراهم کرده‌اند. این موضوع می‌تواند خطراتی جدی برای توسعه‌دهندگان و کاربران به همراه داشته باشد، زیرا این کلیدهای ثابت، بخش‌های مهمی از منابع توسعه‌دهندگان در Gemini و همچنین محتوای بارگذاری شده توسط کاربران را در معرض دید مهاجمان قرار می‌دهند. با بهره‌برداری از این مشکل، هکرها می‌توانند کلیدهای موجود در فایل‌های APK مهندسی‌معکوس شده را استخراج کرده، به فایل‌ها و اسناد کش شده دسترسی یابند، درخواست‌های دلخواه به سرویس Gemini ارسال کنند و از سهمیه‌های مصرف‌شده استفاده کنند. این آسیب‌پذیری، توانایی نفوذ و سو‌ء‌استفاده از منابع را برای هکرها آسان‌تر می‌کند و ممکن است باعث لو رفتن اطلاعات حساس و اختلال در سرویس‌ها شود. بنابراین، رعایت نکات امنیتی در مدیریت کلیدهای API و جلوگیری از استفاده ثابت آن‌ها برای تحکیم امنیت سیستم‌های خود امری حیاتی است.

#امنیت_برنامه_نویسی #کلیدهای_API #حفاظت_اطلاعات #امنیت_اندروید

🟣لینک مقاله:
https://www.securityweek.com/google-api-keys-in-android-apps-expose-gemini-endpoints-to-unauthorized-access/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
QA engineers who will be the most successful over the next five years

🟢 خلاصه مقاله:
در دنیای همیشه در حال تحول نرم‌افزار، سؤال بسیاری از علاقه‌مندان به حوزه تضمین کیفیت (QA) این است که چگونه می‌توان در این عرصه رقابتی باقی ماند و همگام با تغییرات پیش رفت. بن فِلز، یک کارشناس معتبر در این حوزه، معتقد است نقش آزمایشگرها نیز در حال تغییر است و آینده این حرفه نیازمند مهارت‌ها و توانایی‌های جدیدی خواهد بود. او مسیرهای نوینی را برای توسعه مهارت‌های لازم در آینده به تصویر می‌کشد و راهکارهایی ارائه می‌دهد که تیم‌های QA باید در نظر داشته باشند تا در پنج سال آینده برجسته باقی بمانند.

با توجه به رقابت شدید در صنعت نرم‌افزار، متخصصان QA باید بتوانند انعطاف‌پذیرتر و مسلط‌تر در مهارت‌های فنی و ارتباطی ظاهر شوند. فِلز بر اهمیت یادگیری روندهای جدید مانند اتوماسیون، هوش مصنوعی و تحلیل داده‌ها تأکید می‌کند، زیرا این ابزارها نقش کلیدی در بهبود فرآیندهای تست و افزایش کارایی دارند. همچنین، داشتن توانایی در تحلیل و درک بهتر نیازهای کاربر و همکاری موثر با تیم‌های توسعه، از جمله مهارت‌هایی است که ارزش آن روزبه‌روز بیشتر می‌شود.

در نهایت، آینده QA نه تنها به فناوری‌های نوین بلکه به توانایی‌های انسانی و خلاقیت در حل مسائل مرتبط است. کسانی که بتوانند با تغییرات سریع سازگار شده و مهارت‌های متنوعی از جمله هوشمندی مصنوعی، تسلط بر ابزارهای جدید و مهارت‌های ارتباطی قوی را در خود تقویت کنند، بیشترین موفقیت را خواهند داشت. برای آن دسته از حرفه‌ای‌هایی که به آینده این مسیر امیدوارند، یادگیری مداوم و روحیه توسعه فردی حیاتی است.

#تضمین_کیفیت #مهارت‌های_آینده #تست_نرم‌افزار #هوشمندی_مصنوعی

🟣لینک مقاله:
https://cur.at/PUQPpyq?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🚨 هشدار پاول دورف: هک «اپلیکیشن احراز هویت» اتحادیه اروپا، نقشه‌ای برای نظارت پنهان! 🕵️‍♂️🇪🇺

پاول دورف، بنیانگذار تلگرام 📱، هشدار داد که هک شدن سریع اپلیکیشن «تأیید سن» اتحادیه اروپا، بهانه‌ای عامدانه برای سلب حریم خصوصی 🔒 و تبدیل آن به ابزاری نظارتی بر کاربران شبکه‌های اجتماعی است. او این اتفاق را گامی در جهت یک «نقشه واقعی» برای کنترل بیشتر دانست. 🎯👁️

#دون

شاید براتون جالب باشه که با انواع backup آشنا بشید.

1- طبقه‌بندی بر اساس حجم و روش کپی
- نوع Full Backup: یعنی کپی کامل تمام داده‌ها در یک بازه زمانی
- نوع Incremental Backup: کپی داده‌ها از آخرین بک‌آپ تا بازه‌ی انتخاب شده
- نوع Differential Backup: فقط کپی داده‌ها از آخرین فول‌بک‌آپ

2- طبقه‌بندی بر اساس نوع داده و کاربرد
- نوع Source Code Backup: برای بک‌آپ کد، مثل چیزی که توی گیت‌لب یا گیت‌هاب نگه‌داری می‌کنیم.
- نوع Database Backup: معمولا خروجی sql که از دیتابیس می‌گیریم
- نوع Conf & Env Backup: معمولا مربوط به بکاپ اسکریپت‌های راه‌اندازی، داکر فایل و کامپوز، فایل‌ّای env و دیگر فایل‌های کانفیگی
- نوع Snapshot-based Backup: برای VM و گرفتن وضعیت لحظه‌ای دیسک مجازی
- نوع Hot Backup: بک‌آپ حین اجرا، مخصوص سیستم‌هایی که 24/7 دارن کار می‌کنن
- نوع Cold Backup: بک‌آپ با متوقف کردن موقت سرویس

3- طبقه‌بندی بر اساس مکان بکاپ
- نوع Local Backup: مثل بکاپ‌گیری روی همون سرور (و یا سیستم)، معمولا منظور همون جاییه که سرور هم هست.
- نوع Offsite Backup: یعنی بکاپی که جایی غیر از مکان اصلی سرور باشه.
- نوع Cloud-native Snapshot: برای زیر‌ساخت‌های ابری
- نوع Immutable Backup: حالت Object lock در S3 برای جلوگیری از ransomware‌‌ها یا حذف عمدی و سهوی


برای بک‌اپ گرفتن یک قانون طلایی وجود داره:
3-2-1 Backup Rule
- حداقل 3 نسخه از داده
- حداقل 2 جای متفاوت
- حداقل 1 نسخه‌ی offsite

بر اساس کدهای آزمایشی و اطلاعات منتشر شده، سه ویژگی که به زودی به تلگرام اضافه خواهند شد: 🚀📱

۱. نظرسنجی‌های پیشرفته: امکان ایجاد نظرسنجی‌هایی که فقط کاربران از کشورهای خاص یا مشترکانی که کمتر از ۲۴ ساعت پیش به کانال پیوسته‌اند، می‌توانند در آن‌ها شرکت کنند تا از تقلب جلوگیری شود. 🗳️🔒

۲. پرامپت‌های سفارشی برای ویرایشگر هوش مصنوعی: قابلیت استفاده از پرامپت‌های سفارشی برای «ویرایشگر هوش مصنوعی» و اشتراک‌گذاری آن‌ها با سایر کاربران. 🤖✨

۳. تب اختصاصی برای جستجوی کانال‌ها: یک تب جدید برای جستجوی جهانی کانال‌ها که کانال‌های اضافه‌شده توسط مخاطبین شما و همچنین کانال‌های دسته‌بندی‌شده بر اساس موضوع را نمایش می‌دهد. 🔍📂

از آخرین اخبار تکنولوژی جهان جا نمونیم 🌍:

1. ربات انسان‌نمای Unitree R1 در راه بازار جهانی با قیمت 4370 دلار 🤖💰.

2. ثبت اختراع توالت داخلی صندیل خودرو توسط یک خودروساز چینی 🚗🚽.

3. رنگ جدید «دارک چری» احتمالی برای آیفون 18 پرو 📱🎨.

4. پیشنهاد ایلان ماسک برای پرداخت‌های دولتی به افراد بیکار شده توسط هوش مصنوعی 🧠💸.

5. تیم کوک پس از 15 سال، از اول سپتامبر جای خود را به جان ترنوس در اپل خواهد داد 🍎👋.

6. واتس‌اپ در حال آزمایش اشتراک پولی 2.49 یورو در ماه برای کاربران اندروید 💬💳.

7. اداره رگولاتوری Ofcom بریتانیا تحقیقاتی را درباره تلگرام در خصوص محتوای غیرقانونی آغاز کرده است 🇬🇧🔍.

8. شرکت OpenAI مدل بصری Images 2.0 را با قابلیت‌های «تفکر» برای تولید تصویر معرفی کرد 🎨🧠.

9. واتس‌اپ در حال آزمایش خلاصه‌سازی پیام‌های نخوانده با پردازش خصوصی توسط هوش مصنوعی 📝🤖.

10. اپل نقص امنیتی را برطرف کرد که می‌توانست اعلان‌های حذف‌شده را روی دستگاه نگه دارد 🍏🔒.

11. اینتل با لپ‌تاپ مفهومی سبک‌وزن خود با تراشه Wildcat Lake، رقیبی برای مک‌بوک نشان داد 💻🚀.

https://xn--r1a.website/addlist/vMgZb0Y1CHliMWI0

دوماهه که با دنیا ارتباط نداریم
💔

🔵 عنوان مقاله
Vibe Security Radar (GitHub Repo)

🟢 خلاصه مقاله:
در جامعه‌ی امنیت سایبری، شناسایی کدهای آسیب‌پذیر و منشاء آن‌ها اهمیت بالایی دارد. ابزار Vibe Security Radar، که از سوی آزمایشگاه SSL دانشگاه جورجیا طراحی شده، به عنوان یک ابزار تحقیقاتی پیشرفته، نقش مهمی در این زمینه ایفا می‌کند. این ابزار به صورت هوشمندانه و دقیق، آسیب‌پذیری‌های مندرج در پایگاه‌های داده مانند OSV، GHSA و NVD را رصد می‌کند و مشخص می‌سازد که چه زمانی و چگونه کدهای تولید شده با کمک هوش مصنوعی منجر به بروز این آسیب‌پذیری‌ها شده‌اند.

عملکرد این سیستم به گونه‌ای است که با استفاده از روش‌های مبتنی بر فناوری SZZ، مکانیزم «git blame»، تاریخچه تغییرات و اصلاحات کد را بازشناسی می‌کند تا منشأ هر آسیب‌پذیری را مشخص نماید. برای تشخیص خطای انسانی و هوش مصنوعی در تولید کد، از امضای‌های خاصی مانند تریلرهای همکار، امضاهای ربات و تحلیل‌های چندابزار بهره‌مند می‌شود و این فرآیند به دقت، صحت نتایج را تقویت می‌کند. در کنار این، از یک مدل مبتنی بر زبان طبیعی (LLM) نیز برای تأیید و تعیین رابطه علّی میان کد و آسیب‌پذیری‌ها استفاده می‌شود.

این سیستم در واقع، آمارهای گزارش شده را به عنوان حداقل قطعی در نظر می‌گیرد، چرا که شدت و دقت تشخیص به متادیتای commit‌ها بستگی دارد؛ امری که در موارد مشارکت‌های هوشمند مبتنی بر هوش مصنوعی ممکن است با محدودیت مواجه شود. در مجموع، Vibe Security Radar ابزاری قوی و هوشمند است که نقش مهمی در شناسایی و تحلیل آسیب‌پذیری‌های ناشی از کدهای تولید شده با کمک هوش مصنوعی ایفا می‌کند و کمک می‌کند زنجیره آسیب در امنیت سایبری قطع شود.

#امنیت_سایبری #هوش_مصنوعی #تجزیه_و_تحلیل_کد #آسیب‌پذیری

🟣لینک مقاله:
https://github.com/HQ1995/vibe-security-radar?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Stop Writing API Tests Manually — Let Your OpenAPI Spec Do the Work

🟢 خلاصه مقاله:
در دنیای توسعه نرم‌افزارهای مدرن، آزمایش API‌ها بخش حیاتی و پرچالش است. نویسندگان و توسعه‌دهندگان همواره به دنبال راه‌حلی هستند تا فرآیند آزمون‌ها را سریع‌تر، دقیق‌تر و کم‌خطاتر انجام دهند. دیوید مسلو، در این راستا، ابزاری ارائه داده است که با تکیه بر توضیحات OpenAPI، می‌تواند به طور خودکار نمونه‌ تست‌های صحیح و کاملی برای API‌ها تولید کند. این ابزار نه تنها فرآیند آزمایش را ساده می‌کند، بلکه در پوشش دادن به موارد حاشیه‌ای و خطاهای خاص، عملکرد فوق‌العاده‌ای از خود نشان می‌دهد و قابلیت بررسی موارد نادر را دارد.

با استفاده از این ابزار، دیگر نیاز نیست زمان زیادی صرف نوشتن دستی تست‌های API کنید. بر اساس مشخصات موجود در تعریف OpenAPI، سیستم به طور خودکار سناریوهای مختلف را ایجاد می‌کند که این امر به کاهش خطاهای انسانی و افزایش دقت در آزمایش‌ها کمک شایانی می‌کند. این فناوری، موجب صرفه‌جویی در زمان، افزایش کارایی و بهبود کیفیت نهایی محصول می‌شود و فرآیند توسعه را بسیار راحت‌تر می‌سازد. در نتیجه، تیم‌های توسعه می‌توانند تمرکز بیشتری بر بخش‌های کلیدی پروژه داشته باشند و پیشرفت قابل توجهی در کارایی خود مشاهده کنند.

در نهایت، استفاده از این نوع ابزارها نشان‌دهنده تحول در روش‌های آزمون و تضمین کیفیت نرم‌افزار است. آنها به توسعه‌دهندگان کمک می‌کنند تا با اطمینان بیشتر، APIهای خود را تست کرده و در حین توسعه، از صحت و امنیت آن‌ها مطمئن شوند. این ابزارها آینده‌ای روشن در عرصه تست‌های اتوماتیک و خودکار نشان می‌دهند و راه را برای پروژه‌های سریعتر، مطمئن‌تر و مقیاس‌پذیرتر هموار می‌سازند.

#تست_API #اتوماسیون_تست #OpenAPI #توسعه نرم‌افزار

🟣لینک مقاله:
https://cur.at/FgrWs5R?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Calendar Event Phishing in the PhishU Framework (5 minute read)

🟢 خلاصه مقاله:
در دنیای امروزی، هکرها و فیشینگ‌چیان به دنبال راه‌هایی هستند که مهاجمانه‌ترین حملات خود را فریب‌نایافتنی‌تر کنند. یکی از این روش‌ها، استفاده از دعوت‌نامه‌های تقویم است که ظاهری کاملاً طبیعی و معتبر داشته و کاربران را گمراه می‌کند. این نوع حمله، در قالب رویدادهای داخل تقویم مانند Outlook یا Gmail ظاهر می‌شود که شامل عنوان، زمان، مکان و یادآورها است، بنابراین شناسایی آنها برای کاربران معمولی سخت می‌شود و آن‌ها ممکن است تصور کنند این رویدادهای پروژه یا قرار ملاقات‌های مهم واقعی است.

در چارچوب PhishU، ابزاری قدرتمند برای مقابله با این نوع حملات توسعه یافته است. این فریم‌ورک، قالب حرفه‌ای دعوت‌نامه‌های رویداد تقویم ارائه می‌دهد که شامل یک ویرایشگر اختصاصی، محتوای تولید شده توسط هوش مصنوعی و قابلیت تحویل فایل ICS از طریق متن/کالندر با روش request است. علاوه بر این، لینک‌های ردیابی شده که در متن رویداد وارد شده‌اند، امکان پیگیری و تحلیل کلیک‌های کاربر را فراهم می‌کند و در نتیجه، تیم امنیتی می‌تواند اثربخشی کمپین‌ها و میزان درگیری کاربران را ارزیابی کند.

پس از اتمام هر کمپین، این سیستم یک آموزش داخلی تعبیه می‌کند که دقیقا دعوت‌نامه‌ای را نشان می‌دهد که کاربر دریافت کرده است، شامل جزئیاتی مانند فرستنده، زمان، مکان و موارد دیگر. این تمرین به آموزش کاربر در شناخت و تشخیص رویدادهای تقویم فیشینگ کمک می‌کند و سطح آگاهی‌های امنیتی را ارتقاء می‌دهد. به این ترتیب، سازمان‌ها می‌توانند نقاط ضعف خود را در برابر این حملات شناسایی کرده و با برنامه‌ریزی‌های دقیق، سطح دفاعی خود را تقویت کنند.

در نتیجه، استفاده از فناوری‌های پیشرفته در زمینه‌های امنیت سایبری، نقش مهمی در مقابله با تهدیدات نوظهور دارد. آگاهی‌بخشی و آموزش مداوم، کلید اصلی برای حفظ امنیت اطلاعات و جلوگیری از نفوذهای نامطلوب است. با بهره‌گیری از ابزارهای هوشمند و آموزش‌های مستمر، سازمان‌ها می‌توانند در مقابل این حملات پیچیده، مقاوم‌تر ظاهر شوند و امنیت داده‌های خود را تضمین کنند.

#امنیت_سایبری #فیشینگ #تقویم_الکترونیک #آموزش_امنیت

🟣لینک مقاله:
https://phishu.net/blogs/blog-calendar-event-phishing-in-the-phishu-framework.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon