چرا ما Notify Cyber را ساختیم
نمای کلی
Notify-Cyber (NC) یک وبسایت است که اخبار امنیت سایبری را از چندین منبع گردآوری میکند، آن مقالات را خلاصه میکند، و همه آنها را در یک فید خبری ساده فهرست میکند. این وبسایت یک تجربه مطالعه سریع برای بهروز ماندن در چشمانداز امنیت سایبری فراهم میکند. NC بهصورت مشترک توسط Mehmet Yilmaz (من) و Dylan Eck توسعه داده شد. من توسعه بکاند را بر عهده داشتم و Dylan مسئول پیادهسازی فرانتاند بود. آن را اینجا ببینید!
این مقاله که در اصل در تاریخ 29 مه 2023 در Medium منتشر شد، بینشهایی درباره Notify-Cyber و انگیزههای پشت شکلگیری آن ارائه میدهد. مقاله اصلی با عنوان از ناآگاه تا آماده: پیمایش در چشمانداز امنیت سایبری با Notify-Cyber، توسط من، Mehmet Yilmaz، نوشته شد و تحت @notify-cyber منتشر شد. من هرگز عنوان اصلی را دوست نداشتم، چون خیلی طولانی است. بنابراین عنوان را برای این بازنشر وبلاگ به این صورت کوتاه کردم: چرا ما Notify-Cyber را ساختیم
چکیده
- تهدیدهای حیاتی امنیت سایبری اغلب تا زمانی که فاجعهبار شوند از دید عموم پنهان میمانند، و این موضوع شکافی در آگاهی را برجسته میکند.
- با ظهور ابزارهای هوش مصنوعی مولد مانند ChatGPT، آگاه ماندن درباره اخبار و آسیبپذیریهای امنیت سایبری بهطور فزایندهای حیاتی میشود.
- Notify-Cyber سرویسی است که هدف دارد با گردآوری جدیدترین اخبار امنیت سایبری از منابع مختلف در یک فید خبری، عموم مردم را بیشتر نسبت به تهدیدهای امنیت سایبری آگاه نگه دارد. میتوانید به Notify-Cyber از اینجا دسترسی پیدا کنید: https://notifycyber.com/
- Notify-Cyber برنامه دارد سرویسی برای هشدار ایمیلی شخصیسازیشده راهاندازی کند که اعلانهای بهموقع درباره آسیبپذیریهای امنیت سایبری مرتبط فراهم خواهد کرد. میتوانید به فهرست انتظار در www.notifycyber.com/join یا اینجا بپیوندید.
مقاله
در دنیای دیجیتال امروز، امنیت سایبری از همیشه مهمتر است. ما برای همهچیز، از کار گرفته تا سرگرمی، به دستگاههای خود متکی هستیم و همین ما را دائماً در برابر تهدیدهای سایبری آسیبپذیر میکند. متأسفانه، بسیاری از افراد فقط زمانی به مسائل امنیت سایبری توجه میکنند که به فاجعه تبدیل شوند، مانند نشتهای بزرگ داده یا حملات باجافزاری پرسروصدا. این کمبود آگاهی، افراد را در برابر تهدیدهای ظریف اما به همان اندازه خطرناک، آسیبپذیر میگذارد.
یکی از چنین تهدیدهای گستردهای که مورد توجه قرار نگرفت، آسیبپذیری «نشت اطلاعات API مربوط به IndexedDB» در مرورگر Safari اپل بود. این آسیبپذیری در نوامبر 2021 توسط شرکت نرمافزار حفاظت در برابر تقلب FingerprintJS کشف و گزارش شد و فقط مرورگر وب Safari را تحت تأثیر قرار میداد. در این آسیبپذیری، زمانی که کاربری از وبسایتی بازدید میکند که از این آسیبپذیری بهره میبرد، آن وبسایت توانایی دسترسی به تاریخچه مرور وب کاربر را در تبها و/یا پنجرههای مختلف به دست میآورد. این موضوع در نهایت میتوانست به وبسایت اجازه دهد کاربر را بر اساس فعالیت او در وبسایتهای دیگر، مانند حساب Google او، بهصورت یکتا و دقیق شناسایی کند [1]. این آسیبپذیری بعداً در ژانویه 2022 توسط اپل اصلاح شد [2].
ویدئو از Fingerprint که آسیبپذیری IndexedDB را نشان میدهد
در این فاصله، متوجه شدیم که بسیاری از کاربران Safari همچنان از این آسیبپذیری بیاطلاع ماندهاند. با اینکه این مسئله در نهایت توسط منابع خبری مختلفی از جمله The Verge، The Hacker News، Macworld، TechCrunch، The Register، Screen Rant و SiliconANGLE پوشش داده شد، اما از نظر ما هنوز توجه کافی از سوی عموم مردم دریافت نکرده بود.
پس از کشف این آسیبپذیری در ژانویه 2022، آن را با خانواده، دوستان و همتایان خود در میان گذاشتیم و تازه متوجه شدیم که بیشتر آنها تا زمانی که ما موضوع را مطرح نکرده بودیم، از آن بیخبر بودند. سپس، پس از آگاه شدن از این آسیبپذیری، فوراً به مرورگری دیگر مهاجرت کردند تا زمانی که ما تأیید کنیم مشکل برطرف شده است.
این رویداد کمبود کلی دانش مردم درباره رویدادها و آسیبپذیریهای امنیت سایبری را برجسته کرد. با این حال، همچنین نشان داد که با وجود آگاهی محدود در این حوزه، نگرانی گسترده و اهمیت مداوم برای امنیت و حریم خصوصی وجود دارد. ضروری است که افراد مسئولیت امنیت دیجیتال خود را بر عهده بگیرند و از جدیدترین تهدیدها و آسیبپذیریهای سایبری مطلع بمانند.
با ظهور ابزارهای هوش مصنوعی مولد مانند ChatGPT، آگاه ماندن درباره اخبار و آسیبپذیریهای امنیت سایبری بهطور فزایندهای مهم میشود. این ابزارها توانایی شناسایی سریع آسیبپذیریها را دارند، که میتواند به احتمال افزایش شتابگرفته سوءاستفادهها، مانند سوءاستفادهای که پیشتر دربارهاش صحبت کردیم، منجر شود [3]. بنابراین، بهروز ماندن درباره اخبار امنیت سایبری و تهدیدهای نوظهور اکنون از هر زمان دیگری حیاتیتر است.
در زمانهای 00:23:00-00:23:31 و 00:23:31-00:35:48، Tristan Harris و Aza Raskin خطرات بالقوهای را که فناوریهای هوش مصنوعی میتوانند در حوزه امنیت سایبری ایجاد کنند، نشان میدهند.
برای محافظت از خود، ضروری است که درباره رویدادهای امنیت سایبری مرتبط با نرمافزاری که روزانه استفاده میکنید، آگاه بمانید. اینجاست که پلتفرم ما، Notify-Cyber (www.notifycyber.com)، وارد میشود. Notify-Cyber یک پلتفرم جامع اخبار امنیت سایبری است که آگاه ماندن درباره رویدادهای امنیت سایبری را ساده میکند. Notify Cyber جدیدترین اخبار امنیت سایبری را از منابع مختلف در یک فید خبری گردآوری میکند. این کار دریافت یک نمای کلی از چشمانداز فعلی اخبار امنیت سایبری را آسان میسازد.
وقتی از Notify-Cyber (www.notifycyber.com) بازدید میکنید، یک فید خبری شامل جدیدترین اخبار امنیت سایبری که از 7 روز گذشته گردآوری شدهاند، به شما نمایش داده میشود. هر خبر شامل یک خلاصه برای مطالعه سریع است. علاوه بر این، یک نوار جستوجو وجود دارد تا به شما کمک کند پستهای خاص را بر اساس کلیدواژهها پیدا کنید.
دموی ساده Notify Cyber
هدف نهایی Notify-Cyber این است که شما را نسبت به آسیبپذیریهایی که بر نرمافزار و سختافزاری که به آنها اهمیت میدهید تأثیر میگذارند، آگاه و بهروز نگه دارد. در حال حاضر، Notify-Cyber بهعنوان تجمیعی از جدیدترین اخبار امنیت سایبری از منابع مختلف عمل میکند. برنامه ما این است که با معرفی یک سرویس ایمیلی که برای کاربران اعلانهای بهموقع درباره آسیبپذیریهایی که به آنها اهمیت میدهند ارسال میکند، قابلیتهای Notify-Cyber را گسترش دهیم. این سرویس یک خبرنامه نخواهد بود، بلکه بیشتر شبیه هشدارهای شخصی خواهد بود. ایمیلها فقط و منحصراً در صورت شناسایی رویدادهای امنیت سایبری مرتبط با هر فرد ارسال خواهند شد. بنابراین، بسته به ترجیحات کاربر، ممکن است روزانه ایمیل دریافت کنند یا فقط هر چند ماه یکبار یک ایمیل. اگر به استفاده از چنین سرویسی علاقهمند هستید، میتوانید به فهرست انتظار ما در اینجا بپیوندید: https://notifycyber.com/join.
ما از همه میخواهیم که خود را نسبت به چشمانداز فعلی امنیت سایبری آگاه نگه دارند و نقش محوریای را که هر یک از ما در ایمنی دیجیتال خود ایفا میکنیم، بشناسند. همیشه به یاد داشته باشید، امنیت سایبری شما از خودتان آغاز میشود. از همه شما دعوت میکنیم Notify Cyber را بررسی کنید: https://notifycyber.com/
این مقاله توسط تیم Notify-Cyber با کمک ChatGPT (GPT-3.5) نوشته شده است. پیشنویس نهایی بازخوانی شد، از نظر صحتسنجی بررسی شد، و توسط تیم Notify-Cyber ویرایش شد.
استنادات
- [1] M. Bajanik, “Exploiting IndexedDB API Information Leaks in Safari 15,” Fingerprint Blog RSS, https://fingerprint.com/blog/indexeddb-api-browser-vulnerability-safari-15/ (accessed May 29, 2023).
- [2] “Safari 15 indexeddb leaks,” Safari 15 IndexedDB Leaks, https://safarileaks.com/ (accessed May 29, 2023).
- [3] Center for Humane Technology, “The A.I. Dilemma — March 9, 2023,” YouTube, https://www.youtube.com/watch?v=xoVJKj8lcNQ (accessed May 29, 2023). Timestamps 00:23:00–00:23:31 and 00:23:31–00:35:48