فریمورهای جدید اینتل حاوی Backdoorsهای پیش پا افتاده ای است

محققان روش جدیدی برای شکست دادن روند تأیید بوت برای بعضی از سیستم های مبتنی بر اینتل پیدا کرده اند، اما این روش همچنین می تواند روی سیستم عامل های دیگر تاثیر بگذارد و می تواند برای سازش با ماشین ها به صورت یکنواخت و مداوم استفاده شود.

محققان پیتر بوش و ترامپل هادسون، حمله اتمام زمان (TOCTOU) را به ویژگی گارد بوت گارد از رابط مرجع مجتمع مجتمع مجتمع انعطاف پذیر (UEFI) اینتل در کنفرانس هک کنفرانس در آمستردام ارائه دادند. .

بوت گارد فناوری است که در میکرو آرشیو نسل چهارم Intel Core 4 نیز شناخته می شود که همچنین به نام Haswell شناخته می شود و به این معناست که اطمینان حاصل شود که نرمافزار سطح پایین (UEFI) از نظر بدنی اصلاح نشده است. این کار را با بررسی اینکه ماژول های سیستم عامل لود شده با استفاده از کلیدهای قابل اعتماد که هر بار که کامپیوتر شروع می شوند متعلق به اینتل یا سازنده کامپیوتر است، به صورت دیجیتالی امضا شده اند.

بوش، دانشجوی مستقل و دانشجوی علوم رایانه ای در دانشگاه لیدن در هلند، در حالی که تلاش می کرد راهی برای استفاده از نرم افزار منبع باز Coreboot در لپ تاپ خود پیدا کند، در انهدام پرونده تأیید بوت گارد کشف کرد. به طور خاص، او متوجه شد که پس از تایید سیستم سیستم عامل و ایجاد یک کپی معتبر در حافظه پنهان، بعد از آن، ماژول ها را از کپی اصلی که در تراشه حافظه Serial Peripheral Interface (SPI) خوانده می شود، می پردازد - تراشه ای که کد UEFI را ذخیره می کند .

این رفتار درست نیست، زیرا سیستم تنها پس از اتمام بررسی های رمزنگاری، تنها بر روی کپی تایید تکیه می کند. این باعث شد که بوش فکر کند ممکن است برای مهاجم یک فرصت برای تغییر کد سیستم عامل پس از تأیید صحت داشته باشد و قبل از اینکه آن را از حافظه SPI دوباره خواند. او یافته های خود را و پیاده سازی اثبات اولیه از Trammell Hudson، یکی از محققان سخت افزار و یکپارچه شناخته شده که کار قبلیش شامل حملات Thunderstrike علیه فناوری Thunderbolt اپل بود، به دست آورد.

هادسون یافته های بوش را تایید کرد و با همکاری یک حمله که شامل اتصال دستگاه برنامه نویسی به تراشه حافظه فلش برای پاسخ دادن با کد مخرب بود، هنگامی که CPU تلاش می کند که ماژول های نرم افزار را از حافظه SPI به جای کپی معتبر تجدید نظر کند. نتیجه اینست که کد مخرب و بدون علامت با موفقیت اجرا می شود، چیزی که Boot Guard برای جلوگیری از آن طراحی شده است.

در حالی که این حمله نیاز به باز کردن پرونده لپ تاپ برای اتصال اتصالات اتصال به تراشه دارد، راه هایی برای ایجاد آن دائمی است، مانند جایگزینی تراشه SPI با یک سرکش که تقلید UEFI است و همچنین کد مخرب را ارائه می دهد. در حقیقت، هادسون قبلا چنین تراشه ای شبیه ساز طراحی کرده است که دارای ابعاد مشابهی با یک تراشه واقعی فلش SPI است و اگر بخشی از پوشش پلاستیکی به آن اضافه شود، می تواند به راحتی به عنوان یکی از بازرسی های بصری منتقل شود.

پیامدهای حملات TOCTOU چیست؟

اینتل بوت گارد و ویژگی های بوت امن ایجاد شده است برای جلوگیری از مهاجمان از تزریق نرم افزارهای مخرب به UEFI و یا سایر اجزای بارگذاری شده در طول فرایند بوت شدن مانند سیستم عامل bootloader OS یا هسته. چنین برنامه های بدافزار برای مدت زمان طولانی وجود داشته و به عنوان rootkits boot یا bootkits نامگذاری شده اند و مهاجمان از آنها استفاده می کنند، زیرا آنها بسیار پایدار و سخت برای حذف هستند. به همین دلیل است که آنها بعد از هر بار راه اندازی مجدد سیستم عامل را دوباره آلوده می کنند تا هر برنامه آنتی ویروس فرصتی برای شروع و شناسایی آنها داشته باشد.

در نوع مبادله تراشه، حمله هادسون و بوش به عنوان یک بوت کیت پایدار سخت افزاری عمل می کند. این می تواند مورد استفاده قرار گیرد برای سرقت رمزهای رمزگذاری دیسک و سایر اطلاعات حساس از سیستم و برای شناسایی بدون باز کردن دستگاه و بررسی دقیق مادربرد آن بسیار سخت است.

حتی اگر چنین حملات فیزیکی نیازمند یک رویکرد هدفمند باشد و هرگز تهدیدی گسترده نخواهد بود، آنها می توانند خطرات جدی را برای کسب و کار و کاربران که دسترسی به اطلاعات ارزشمند دارند، ایجاد کنند.

چنین مصالحه فیزیکی می تواند به روش های مختلفی اتفاق بیافتد، به عنوان مثال در یک سناریوی نوعی شیطانی که در آن یک هدف ارزشمند مانند مدیر عامل شرکت، به یک کشور خارجی سفر می کند و لپ تاپ خود را در اتاق هتل خود بی نظیر نگه می دارد. بوش به CSO می گوید که تعویض تراشه حافظه SPI با یک ریشخند طراحی شده برای اجرای این حمله 15 تا 20 دقیقه برای یک مهاجم با تجربه با تجهیزات مناسب می گیرد.

احتمال دیگری نیز این است که حملات زنجیره تامین یا به اصطلاح «روش ممنوعیت» که در آن حمل و نقل کامپیوترها از طریق حمل و نقل متوقف می شود، به طور مثال توسط سازمان اطلاعاتی، پشتیبانی می شوند و سپس مجددا مجددا برای پنهان کردن هرگونه سوء استفاده می شوند. اسناد منتشر شده توسط ادوارد اسنودن نشان داد که NSA از این تکنیک ها استفاده می کند و احتمالا نه تنها سازمان اطلاعاتی برای انجام این کار است.

بعضی از دستگاه ها دارای مهر و موم و یا مکانیزم خاصی هستند، اما کسی که با منابع و دانش مناسب می تواند به راحتی از این دفاع دفاع کند، بوش به CSO می گوید.

کارکنان مضر همچنین می توانند از این تکنیک در لپ تاپ های مورد استفاده خود استفاده کنند تا کنترل های دسترسی را دور بزنند و امتیازات مدیر را به دست بیاورند و یا پس از ترک شرکت از دسترسی به داده های شرکت و شبکه استفاده کنند. چنین سازمانی می تواند کامپیوتر را از بین برده و دوباره استفاده کند.

در طول سالهای جاسوسی اقتصادی چندین مورد وجود دارد که کارکنان برای شرکت های مختلف به سرقت اسرار تجاری دست زده اند و آنها را به دولت های خارجی یا رقبا منتقل می کنند.

کاهش چیست؟

این دو محقق در ماه ژانویه اینتل را از یافته های خود مطلع ساختند و به CSO می گویند که چیپمبر این مسئله را به طور جدی مورد رسیدگی قرار داده و به شدت به آن اهمیت داده است. این شرکت در حال حاضر دارای تکه هایی برای پیاده سازی مرجع UEFI خود یعنی Tianocore است که با فروشندگان BIOS و سازندگان کامپیوتر مشترک است. محققان هنوز رفع نشده اند، اما حداقل بر اساس توصیف آنها به نظر جامع هستند و باید از حملات مشابه در آینده جلوگیری کنند.

مشکل این است که توزیع تکه های UEFI هرگز فرآیند آسان نیست. اینتل سهام UEFI خود را با فروشندگان UEFI / BIOS که قراردادهایی با تولیدکنندگان مختلف PC دارد، به اشتراک میگذارد. سپس آن OEM ها سفارشی های سیستم عامل خود را قبل از اینکه آنها را در داخل محصولات خود حمل کنند، تنظیم می کنند. این بدان معنی است که هر گونه اصلاح بعدی نیاز به همکاری و هماهنگی از طرف همه طرفهای درگیر دارد، نه به کاربران نهایی که نیاز دارند تا به اندازه کافی برای نصب و به روز رسانی UEFI نصب شوند.

تکه هایی برای آسیب پذیری های بحرانی و Spectre که باعث آسیب به CPU های اینتل نیز شد، نیاز به به روز رسانی UEFI داشت و چند ماه بعد برای برخی از فروشندگان PC آنها را برای محصولات آسیب دیده خود منتشر کرد. بسیاری از مدل ها هرگز تکه ها را به شکل به روز رسانی UEFI دریافت نکرده اند، زیرا تولید کنندگان دیگر از آنها پشتیبانی نمی کنند.

دو محقق قصد دارد کد مدرک مفهومی خود را در ماه های بعد به عنوان بخشی از یک ابزار به نام SPISpy منتشر کند که امیدوار است به دیگر محققان و اشخاص علاقه مند کمک کند تا بررسی کنند که آیا ماشین های خود آسیب پذیر هستند و به بررسی مسائل مشابه در سیستم عامل های دیگر .

بوش می گوید: "من واقعا می خواهم صنعت را در جهت باز کردن منبع به سیستم عامل خود ببینم تا بررسی صحت و امنیت آن آسان تر شود."

۳ کتابخانه جاوا اسکریپت برای جایگزینی با JQuery

جاوا اسکریپت و مرورگر پیشرفته است. این گزینه های جی کوئری مانند انتخاب جی کوئری خاموش است

ساده سازی وظایف مانند حرکت سند HTML، انیمیشن و مدیریت رویداد، کتابخانه جی کوئری جاوا اسکریپت، چهره توسعه وب را تغییر داد. طبق نظر سنجی وب W3Techs، از ماه مه سال 2017، جی کوئری در 74 درصد از وب سایت های شناخته شده مورد استفاده قرار می گیرد. با این وجود، کتابخانه جی کوئری که در اوت 2006 عرضه شد، در حال حاضر توسط بعضی از توسعه دهندگان به عنوان یک تکنولوژی قدیمی که مدت زمان آن گذشت، مشاهده شده است.

جایگزین های jQuery در سال های اخیر مانند کتابخانه نقدی و یا حتی مدرن وانیل جاوا اسکریپت ظاهر شده است، در حالیکه مرورگرهای وب از همان دسته ی جاوا اسکریپت برخوردار نیستند و جی کوئری برای حل مسائل سازگاری بیشتر مورد نیاز نیست. Arguments در Reddit و ویدیوها در YouTube باعث می شود که jQuery منسوخ شده باشد یا حداقل به همان اندازه که یک بار آن را نداشته باشد، به همان اندازه مهم نیست.

[TypeScript چیست؟ صنعتی جاوا اسکریپت • ویژگی های جدید در به روز رسانی های مکرر TypeScript را با ردیاب ویژگی InfoWorld TypeScript مشاهده کنید. | با موضوعات داغ در برنامه نویسی با NewsWorld App Dev Report آشنا شوید. ]

چرا jQuery دیگر مورد نیاز نیست

در یک نمایش یوتیوب، "آیا جی کوئری هنوز در سال 2018 مرتبط است؟"، مربی توسعه وب، براد Traversy اذعان دارد که جی کوئری احتمالا بهترین کتابخانه ی جاوااسکریپت جاوااسکریپت است که تاکنون ایجاد کرده است. آسانتر شدن یادگیری، سازگاری متقابل مرورگر، مختصر تر از جاوا اسکریپت ویلای قدیمی و پلاگین های غنی در ارائه قابلیت های خاص است. اما جاوا اسکریپت از ECMAScript 6 پیشرفت کرده و جی کوئری در بسیاری از موارد مورد نیاز نیست، Traversy نتیجه می گیرد.

در فیلم دیگری، کنت لووری، مدرس برنامه نویسی، استدلال می کند که تبدیل شدن به زبان جی کوئری مسلط، اتلاف وقت است. در چشم انداز توسعه وب فعلی، مرورگرهای مدرن به طور عمده از جاوا اسکریپت استفاده می کنند. در اغلب موارد، کد جاوااسکریپت جاوااسکریپت بهتر از یک کتابخانه مخرب مخرب مانند jQuery است.

در حالی که jQuery انتخابی برای درخواست HTTP بود، به عنوان مثال، ECMAScript 6 Fetch را به ارمغان آورد، یک API مبتنی بر وعده که درخواست های HTTP را ساده تر می کند. و پیشرفت با HTTP متوقف نمی شود. جایی که جی کوئری برای کارهایی نظیر دستکاری آرایه ها استفاده می کند، وانیل جاوا اسکریپت هم اکنون برای این عملیات ها بهبود یافته است.

هکر ها موفق به نفوذ به خودرو تسلا ۳ شدند

در کنفرانس امنیتی CanSecWest و رقابت Pwn2Own، تعدادی از چهره های شرکت کننده در این کنفرانس، بر روی یک مدل تسلای درخشان بود. در انتظار هک شدن، ماشین نشسته در تالار کنفرانس نشسته بود. حضور Tesla اولین بار نشان داد که رقابت مسابقه خودرویی را برگزار کرد. در نهایت، تنها تیمی از محققان امنیتی امنیتی سفیدپوست وارد شده و نشان داد که هک کردن یک تسلا کاملا امکان پذیر است.

Amat Cama و Richard Zhu که به عنوان Team Fluoroacetate شناخته می شوند، به منظور استفاده از خودرو در ظرفیت محدود، یک سوراخ در نرم افزار سرگرمی تسلا را در اختیار داشتند و پیامی را در مرورگر وب Model 3 نمایش دادند. به گفته این تیم، محققان از یک اشکال "فقط در زمان" در عنصر رندر اطلاعاتtainment بهره می برد. به عنوان پاداش، Cama و Zhu برنده 35000 دلار و Tesla Model 3 واقعی تیم را هک کرد. Cama و Zhu با برداشتن آسیب پذیری در سیستم های ساخته شده توسط Safari، Oracle، VMware Workstation، Microsoft Edge و Firefox، برنده 340،000 دلار اضافی شدند. با این حال، تسلا تعدادی دیگر جوایز غیر اختصاصی را برای محققان حاضر در این کنفرانس در اختیار داشت.

به عنوان یک وسیله برای یافتن آسیب پذیری ها، شرکت ها اغلب "خرج های خرابکارانه" را به کلاهبرداران سفیدپوست و محققان امنیتی که چنین مسائلی را پیدا می کنند، ارائه می دهند. این عمل کاملا رایج بوده و به اطمینان کمک می کند تا هکرها و محققان انگیزه ای برای ارائه سوء استفاده از آنها به شرکت های تحت تاثیر قرار دهند. قبل از کنفرانس، تسلا اعلام کرده بود که در مورد سرگرمی هایی که Cama و Zhu مورد سوء استفاده قرار گرفته است، و همچنین مزایای مودم مدل 3، تونر صوتی، Wi-Fi، بلوتوث، کلید FOB، برنامه تلفن، و Autopilot با تمرکز خاص روی پورتال ورودی خودکار و سیستم امنیتی - تخفیف 250،000 دالر بر روی بهره برداری از توان بالقوه ارائه شده است.

همانطور که نیروهای الکتریکی تلاش می کنند، تولیدکنندگان خودرو صرف تحقیقات و منابع مهندسی بیشتری می کنند - هم زمان و هم پولی بر عملکرد و بهره برداری از یک خودرو خودرو تمرکز می کنند. تقریبا هر سیستم در حال حاضر توسط ECU خودرو کنترل می شود و با به روزرسانی Over-The-Air به طور معمول و همچنین برنامه های مبتنی بر تلفن مبتنی بر تلفن، Wi-Fi، خدمات LTE، برنامه های غیر بومی و خارج از منابع سیستم های عامل - این سیستم ها تبدیل به یک زلزله از آسیب پذیری بالقوه قابل بهره برداری است. با توجه به این نکته، کنفرانس های امنیتی و به اصطلاح "Hackathons"، مانند رقابت Pwn2Own، باید به سرعت برای تولیدکنندگان خودرو و مهندسان آنها متوقف شود. مسائل مربوط به خودروها همچنان پررنگتر خواهد شد؛ جنرال موتورز و فیات کرایسلر هر دو برنامه های فضایی و عملیاتی عملیاتی دارند.

ماشین متوسط ​​در حال حاضر به طور فزاینده پیچیده در استفاده از سیستم های الکتریکی و کامپیوتر کنترل شده است؛ به ذکر اینکه درامبیتی که در حال پخش است، نشانه ای از سن و سال مستقل پیشرو است. باید برنامه تسلیحاتی تسلا را مورد ارزیابی قرار داد زیرا شرکت اقدامات لازم را برای امنیت بهتر انجام داده است. با این حال، مگر اینکه توسعه و مهندسی واقعی رخ دهد قبل از اینکه ماشین به مردم می رسد، آسیب پذیری هایی مانند Cama و Zhu می تواند منجر به تهدیدات امنیتی عمیق تر شود. هر سازنده نیاز به انجام یک کار بهتر در ایجاد امنیت شبکه و امنیت الکترونیکی در اولویت دارد.

مایکروسافت از ویژوال استدیو آنلاین رونمایی کرد

مایکروسافت امروز اعلام کرد که برنامه پیش نمایش خصوصی ویژوال استودیو آنلاین، یک ویرایشگر کد آنلاین است که این شرکت به عنوان همراه با ویژوال استودیو و آموزش ویژوال استودیو کد قرار دارد.

این سرویس بر اساس ویژوال استودیو کد، ویرایشگر کدهای دسکتاپ محبوب و آزاد منبع مایکروسافت است. به این معناست که ویژوال استودیو آنلاین نیز از تمام پسوندهایی که در حال حاضر برای ویژوال استودیو در دسترس هستند پشتیبانی می کند و همچنین ویژگی های محبوب مانند فضای کاری ویژوال استودیو کد را پشتیبانی می کند. پشتیبانی از IntelliCode، ابزار مایکروسافت برای توسعه کمک های AI که امروزه به طور کلی در دسترس قرار دارد، نیز ساخته شده است.

تاکید اینجاست که ویژوال استودیو آنلاین "همدم" است. این به معنای تبدیل شدن به محیط پیش فرض برنامه نویس نیست، بلکه به عنوان یک راه برای ویرایش سریع، بررسی یک درخواست کشش یا پیوستن به جلسه Live Share است.

و اگر فکر می کنید نام ویژوال استودیو آنلاین به نظر می رسد آشنا، به این دلیل است که مایکروسافت در واقع بازیابی این نام است. نه چندان دور، Visual Studio Online هاب مایکروسافت برای همه چیز DevOps بود، قبل از DevOps یک کلمه وزوز. سال گذشته، این شرکت آن را به Azure DevOps تغییر نام داد، و نام را برای استفاده های دیگر باز کرد. صادقانه بگویم، با توجه به نام، بسیاری از افراد احتمالا همیشه تصور می کردند که Visual Studio Online یک نسخه مبتنی بر وب از محیط توسعه یکپارچه است، و تنها پس از آن ناامید شد که این کار نمی کرد.

شایان ذکر است که اگر نمی خواهید صبر کنید تا مایکروسافت پیش نمایش خصوصی را برای کاربران بیشتری باز کند، راه اندازی هایی همچون Coder وجود دارد که می تواند محیط Visual Studio Code Remote را ارائه دهد.

برنامه نویسی برای کودکان در جاوا اسکریپت

CodeGuppy، بر خلاف دیگر سیستم های مقدماتی مانند Scratch که از زبان های مبتنی بر بصری استفاده می کنند، قصد دارد بچه ها (و نوجوانان و بزرگسالان خلاق) را با نوشتن جاوا اسکریپت کد کند. چرا این بهتر است؟

بلوک های بصری زبان هایی مانند Scratch شایستگی خود را برای معرفی بچه های بسیار جوان به جهان برنامه نویسی دارند. با این حال، نظر ما این است که بچه ها باید در اسرع وقت به زبان های متنی تبدیل شوند. زبان مبتنی بر متن کمک خواهد کرد که بچه ها نه تنها مهارت های برنامه نویسی واقعی بلکه مهارت های مهم دیگری همچون املا را توسعه دهند. اگر بچه ها در دهه 80 قادر به یادگیری برنامه نویسی با استفاده از BASIC (زبان مبتنی بر متن در ویراستاران اولیه) باشند، ما معتقدیم که کودکان معاصر همچنین می توانند جاوا اسکریپت را با استفاده از محیط پیشرفته Codeguppy یاد بگیرند.

علاوه بر این در ترکیب برنامه نویسی با گرافیک و بازی، CodeGuppy تلاش می کند جوانان را در هنگام سرگرم نگه داشتن انگیزه نگه دارد؛ همه ما می دانیم که فاصله توجهشان کوتاه است ...

خود برنامه نویسی در داخل مرورگر از طریق زمین بازی مجتمع CodeGuppy در داخل مرورگر قرار می گیرد. این کار نیاز به تنظیم یک محیط توسعه و بارگذاری سریع را به عنوان امکان پذیر می کند. شرایط برای اهداف تازه ای که از ابتدا شروع می شود بسیار مهم هستند.

توجه داشته باشید که "واقعی" آموزش وجود دارد که شامل دستورالعمل هایی است که شما را از طریق یک گام به گام فعال می کند و آنهایی که در واقع فقط لیست های کد است که دارای توضیحات کوتاه هستند که در کنار نتیجه نهایی آنها اجرا می شود. آنها از طراحی های ساده تا بازی هایی مانند Breakout و Invaders می آیند! به همین ترتیب هنگامی که شما برای اولین بار شروع می کنید، این کار را با مطالب مقدماتی انجام دهید، که متأسفانه با بقیه مخلوط شده است، بنابراین به راحتی شناسایی نمی شود.

یک مثال از گام "واقعی" گام به گام آموزش "معرفی به کدهای" است که در آن دستورالعمل ها شما را از طراحی یک دایره ساده به ترکیب چندین حلقه برای قرعه کشی گربه خرس، و یا، "عبارات و متغیرها" که به سادگی مفاهیم را نشان می دهد از طریق ساخت یک خانه.

سپس "لیست کد"، همتایان پیشرفته آموزش، وجود دارد که در حال انتظار برای بهینه سازی است تا دانش آموز بتواند در زمان واقعی تجربه کند که چگونه این اثر بر نتیجه نهایی تاثیر می گذارد و از آن یاد می گیرد. یک نمونه از آن بازی کلاسیک برک آوت یا بالن های سقوط است.

آموزش واقعی به خوبی نوشته شده است و آسان است به دنبال آن، اما تعداد زیادی وجود دارد، و من به نویسندگان تشویق برای نوشتن بیشتر از آنها در صورتی که به دنبال گسترش پلت فرم.

در زمان نوشتن، Codeguppy به طور کامل رایگان و همچنین بدون تبلیغات ارائه می شود که موجب می شود که چگونه این پلتفرم درآمدزا شود. با این وجود، پیشنهاد من این است که اگر با والدین خود و یا دانش آموزان خود درگیر یک معلم باشید، در حالی که طول می کشد، با بچه خود امتحان کنید. اگر شما آن را ارزشمند بدانید، من شما را تشویق می کنم که به توییتر بروید و به نوبه خود، نویسندگان را تشویق کنید تا آموزش های بیشتری را بنویسید.