گفتمان‌ها، تازه‌ها و بررسی‌ها پیرامون فناوری‌های نظامی و جنگی

[sonixax]

ابله جان اون آیدی من نیستم!
من نیازی به چند آیدی ندارم و از این کار و اینطور حقه بازیها خوشم هم نمیاد. مگر یوقت مثل اون سری اخراجم کنید واسه انتقام گرفتن و درس عبرت دادن بخوام چنین کارهایی بکنم! اونم دیدید که هیچوقت پنهان نکردم و رو در رو شمشیر میکشم!
مثل اینکه توهم هوش و شرلوک هلمز بودن بدجوری گرفتتت! یا شاید بعکس این تو هستی که اهل این حقه بازیها هستی. البته من برداشتی که از شخصیتت داشتم درسته اغراق میکنی ولی فکر نمیکردم که حقه باز باشی و دست به روشهای ناجوانمردانه بزنی.

شما همین الانش 100 تا ID داری جانم!
در ضمن درست صحبت کنید که دوباره اخراج نشید به بچه بازی رو بیارید :))

حداقل تاحدی حداقل میتونه مفید باشه. سوپرماریو با یک بازی جنگی واقع گرا تفاوت میکنه.
من خیلی از مسائل و اصطلاحات و تاکتیک های نظامی و نکات فنی رو توی همین بازی یاد گرفتم و توی اینترنت هم پیگیر شدن بررسی و تحقیق بیشتری از منابع کردم درست بودن.
یک جزییاتی رو توی این بازی لحاظ کردن که وقتی حرفه ای بشی و مدتی بازی کنی متوجهشون میشی. البته بی نقص هم نیست طبیعتا!

فکر نمیکنید دیگه شوخی بسه ؟!

تو که همش میخوای فقط کل کل کنی و بپیچونی.
کدوم خلاف قانون؟ من بهت میگم اصلا اینکه متن کامل و دقیق قانون و تفسیر درستش رو با اطمینان کافی بدونی هنوز رخ نداده و نیاز به تحقیق گسترده تر و دقیق تری داره اثباتش.
اینقدر هم میترسی از ادامهء این بحث که بهت گفتم تاپیک جدید بزنیم و بیشتر بررسی و تحقیق کنیم جرات نکردی بگی آره و همش صرفا روی نظر خودت اصرار میکنی.
من اینقدر راحت و سریع روی اینطور مسائل قضاوت نمیکنم و فتوا نمیدم. میدونم که مسائل تخصصی و پیچیده و ظریفی هستن.

اثبات متن قانون هم ادعای جدید از طرف شما :)))
من از چیزی نمیترسم! فقط حوصله بحث با آدمی که در خرد رو تخته کرده و میگه قانون رو اثبات کن ندارم جانم!!!!

دوست عزیز این بحثها و پرداختن به شخصیت و افکار طرف چه ارزشی چه کاربردی داره؟
چیزی که من میبینم و توی صحبت های طرف خوندم اینه که افکار مثبت و انسانی داشته و کار مثبتی کرده و از دستاوردهاش هم امروزه همگان بهره مند هستن.
شما بگو نرم افزار آزاد/بازمتن چیش بده؟ چطوری میشه گفت در مجموع مضراتش بیشتر از فوایدش بوده؟

طرفداران استالین هم مدعی هستند افکار انسانی داشته!!! شما بگو کمونیسم چه حرف بدی زده ؟! مهم نیست چی ور زده!!! مهم اینه نتیجه کار چی میشه.
کسی هم نگفته نرم افزار آزاد ضرر داره یا چیز بدیه!!! هیچ وقت هیچ کسی چنین ادعایی نکرده. فقط گفته شده نرم افزارهای آزاد/رایگان/متن باز در مقابل انواع تجاری یا ناکارآمد تر هستند! یا پیچیدگی بیش از حدشون باعث میشه به درد عموم کاربران نخورند! (از لینوکس گنده تر هم برای اثبات این مدعا نداریم - پیچیدگی بسیار بسیار زیادش باعث شده کمتر از 2% بازار کامپیوترهای دسکتاپ رو در اختیار داشته باشه - Usage share of operating systems - WiKi - که برای یک سیستم عامل رایگان، متن باز و به قول شما آزاد آمار فاجعه باریه - برعکسش توی زمینه های حرفه های بخش خیلی بزرگتری رو در اختیار داره که همین آمارها به راحتی ادعای من رو ثابت میکنه!)
شما هنوز گفته به این سادگی رو درک نکردی بعد هی داری با من کل کل میکنی که استالمن چه تفکری داره و چه کرده و چه نکرده!
هیچ کس حق نداره به کسی دیگه ای بگه نر نرم افزار آزاد تولید نکن!!! برعکسش هم کسی حق نداره به دیگری بگه نرم افزار انحصاری درست نکن! هر وقت این رو درک کردید تازه توی مفاهیم پایه با هم توافق نظر داریم.

خب از همینجا متوجه شدم که شما تخصص خاصی در علم رمزنگاری ندارید!
خیر باید بگم MD5 گرچه از ابتدا ضعف کوتاه بودن طول خروجی (128 بیت) رو داشت و در برابر Brute force مقداری آسیب پذیر مینمود، ولی بعدا ضعفهای به مراتب اساسی تری درش پیدا شد که چینی ها سوراخش رو تاجایی گشاد کردن که الان روی یک لپ تاپ معمولی هم ظرف مدت کوتاهی میشه Collision تولید کرد. در این حملات فقط از Brute Force خام استفاده نمیشه، بلکه به کمک ضعفهای اساسی تری که در این الگوریتم پیدا کردن، سرعت و کارایی حمله ها بسیار بسیار افزایش پیدا کرده.
این قضیهء Brute Force و دیتابیس های آنلاین هش ها هم مربوط به استفاده از md5 برای هش کردن پسورد میشه و ضعف در این زمینه از ضعف و کمبود آنتروپی پسوردها ناشی میشه. اصولا هم استفاده از md5 در این کاربرد از ابتدا اشتباه بوده و برای هش پسورد نیاز به الگوریتم های مخصوص هش پسورد مثل bcrypt و scrypt هست که عمدا کند شدن تا در برابر حمله های Brute Force مقاومت بیشتری داشته باشن. علتش هم همونطور که گفتم در درجهء اول ضعف پسوردهاست (نه ضعف خود md5) و اینکه پسوردها آنتروپی و تعداد حالتهای خیلی کمتری دارن به نسبت رشته های کاملا رندومی که مثلا توسط خود رایانه تولید بشن. فرضا شما یک رشتهء 128 بیتی رندوم تولید کن و هش md5 اون رو بگیر، بعد اون هش رو به تمام این سایتها و برنامه ها میخوای بده، به احتمال خیلی زیاد نمیتونن رشته ای پیدا کنن که همون هش رو تولید کنه، چون همچنان حتی همون 128 بیت خروجی md5 هم بازهء بسیار بزرگی است. البته عملا ما 64 بیت حساب میکنیم بخاطر birth day attack ولی همچنان 64 بیت هم خیلی بزرگه برای بیشتر رایانه های موجود. بعضی افراد قبلا این رو تست کردن و مثلا یک رشتهء رندوم تازه خیلی هم ضعیف تر از 128 بیت انتخاب کردن هش گرفتن و توی این سایتها و تشکیلات دادن که نتونستن کرکش کنن. اگر سایتی هم میتونه این کار رو بکنه و به این راحتی ها برای هر هشی Collision تولید کنه، پس حتما داره از همون ضعفهای اساسی تر و روش امثال چینی ها استفاده میکنه و نه صرف Brute Force.
A collision attack exists that can find collisions within seconds on a computer with a 2.6 GHz Pentium 4 processor (complexity of 224.1).[25] Further, there is also a chosen-prefix collision attack that can produce a collision for two inputs with specified prefixes within hours, using off-the-shelf computing hardware (complexity 239)
MD5 - WiKi
اگر کمی دقت کنید این متن هم شاهدی بر همین مدعاست!
از زمانهایی در حدود ثانیه و ساعت روی یک پنتیوم 4 معمولی صحبت میکنه! چنین سرعتی با صرف Brute Force غیرممکنه و شما نمیتونید حتی در عرض چند سال پردازش روی یک پنتیوم 4 چنین کاری بکنید. البته گفتم که بحث پسورد جداست و ضعف اصلی در اونجا بخاطر ضعف پسوردهاست، ولی کاربرد امنیتی الگوریتم های هش خیلی فراتر از هش کردن پسوردهاست.
ضمنا اون اعداد 2 به توان 24 و 2 به توان 39 که آورده (البته نمایش عددها توی کپی پیست بهم ریخته؛ منبع اصلی رو نگاه کنید) برای کسی که تخصصش رو داشته باشه معناش کاملا مشخصه! اگر این یک حملهء Brute Force عادی بود نمیتونست از 2 به توان 64 فراتر بره. تفاوت میان 2 به توان 24 و اینها هم با 2 به توان 64 از زمین تا آسمان است. موقعی یک الگوریتم رمزنگاری اساسا دارای ضعف تشخیص داده میشه که سرعت کرک کردن اون از سرعت Brute Force خام به میزان قابل توجهی فراتر بره. و این امر در مورد md5 به شدت رخ داده! بحث Brute Force عادی نیست، بحث ضعف های اساسی تری در درون خود الگوریتمه که با استفاده از اونا یک نوع Brute Force هوشمند صورت میگیره که سرعتش بسیار بسیار بیشتر از Brute Force عادی است! (نیاز هست تا تعداد حالتهای خیلی کمتری رو تست کنه).

و این متن رو دقت بفرمایید:

A 2013 attack by Xie Tao, Fanbao Liu, and Dengguo Feng breaks MD5 collision resistance in 218 time. This attack runs in less than a second on a regular computer

همونطور که مشاهده میکنید این چند نفر چینی بودن که وخامت این حمله ها رو تا این حد بالا بردن. درحد 2 به توان 18 عملیات که با 2 به توان 64 یا 63 اختلاف نجومی داره و همین باعث میشه که در کمتر از یک ثانیه روی یک رایانهء معمولی بشه اجراش کرد!

اون بحث Brute-force معمولی که شما میگی و از قدیم هم این سایتها و برنامه های کرک هش پسورد و بند و بساط بوده بحث جداگانه ای است و الان که md5 شکسته شده دیگه چندان اهمیتی هم نداره چون md5 خیلی وقته بخاطر حفره هایی که درش پیدا شد از استانداردها خارج شده و حتی برای کاربردهای غیر هش پسورد هم عمدتا دیگه کاربردی نداره. Brute-force به تنهایی به هیچ وجه اینقدر قدرت و وخامت نداشت و اگر این حفره ها کشف و این حمله ها ابداع نشده بودن در خیلی کاربردها همچنان میشد با اطمینان کافی از md5 استفاده کرد (مثلا در گواهینامه های دیجیتال و چک کردن Integrity فایل ها)، هرچند تاحدی ضعیف بود اما هنوزم کرک کردنش در این کاربردها به هیچ وجه کار ساده و در دسترس همگان نبود.

من حوصله بحث و کل کل سر اینکه به شما حالی کنم MD5 چی هست یا چی نیست رو ندارم! به جاش یک خواسته دارم :
شما با این همه دانش سرشارت در باره سوراخ Md5 و توانایی در دیکد کردن MD5 اون هم فقط با یک لپتاپ بفرمایید این رشته رو رمزگشایی کنید بی زحمت : a08cb3b5e62d6f2fd4a1ac8f20b4d436
باور کنید خیلی خوشحال میشم که بتونید در کسری از ثانیه یا ساعت یا روز این کار رو انجام بدید و نتیجه رو همینجا اعلام کنید.

کار RSA فقط درصورت ساخته شدن رایانه های کوانتمی قوی همه کاره ساخته میشه. در غیر این صورت، هرچی توان پردازشی رایانه ها زیاد بشه، میتونن طول کلید استفاده شده در رمزنگاری رو به نسبت افزایش بدن و امنیت بازم تامین میشه.
فرق زیادی هست میان الگوریتمی که بطور اساسی شکسته میشه با اینکه ضعف بخاطر ناکافی بودن طول کلید باشه. طول کلید اکثر الگوریتم های رمزگذاری مدرن قابل تنظیم و تغییره و با گذشت سالیان و افزایش قدرت رایانه ها میشه افزایشش داد و همچنان از اون الگوریتم استفاده کرد. این هم که مثلا یک رمزگذاری RSA رو بخاطر افزایش قدرت رایانه ها بعد از 20 سال بشکنن و به اطلاعات رمز شده دست پیدا کنن در اکثر کاربردها اهمیتی نداره و حفاظت از اطلاعات در مدت کوتاهتری هدف بوده، که اگر مدت طولانی تری هدف بوده طبیعتا باید از طول کلید بیشتری استفاده میکردن.
اینکه شما فکر میکنید شکسته نشدن این الگوریتم ها فقط بخاطر اینه که رایانه های با سرعت و حافظهء خیلی بیشتر ساخته نشدن فکر اشتباهی هست. شکسته نشدن این الگوریتم ها بخاطر اینه که سرعت رمزگذاری در حد قابل انجام است، اما سرعت رمزگشایی بدون کلید بصورت تصاعدی و نمایی رشد داره و فقط با Brute-force خام ممکنه. یعنی عدم تناسب پردازش میان کسی که کلید رو داره با کسی که کلید رو نداره در رمزگشایی هست که باعث امنیت میشه. پس اگر رایانهء خیلی سریعتر و قوی تری ساخته بشه، حتی بقول شما هگزابایتی، پس به همون نسبت میشه طول کلید رو در حد توان رایانه های اون موقع زیاد کرد و بازهم پردازش بقدر کافی سریعی داشت، اما از اون طرف با افزایش طول کلید پردازش مورد نیاز برای کرک کردن هم بصورت نمایی و غیرمتناسب زیاد میشه که بازهم در دسترس رایانه های اون موقع و تا سالها بعدش نخواهد بود!
اصلا یک مسئله ای هم که در تئوری و محاسبهء امنیت رمزنگاری و توان لازم برای کرک مطرح هست صرف توان رایانه ها نیست، بلکه میزان انرژی ای هست که این کار مصرف میکنه! توی یه محاسبه ای من دیدم حساب کرده بود که بر طبق فلان واقعیت ها و قوانین فیزیک، کوچکترین تغییر در وضعیت ماده که باید فرض کنیم برای تغییر وضعیت حداقل یک بیت لازمه و کمتر از اون نمیشه، فلان مقدار هست، و حساب کرده بود اگر بخوایم یک رمزگذاری 128 بیتی رو با Brute-force کرک کنیم فقط از صرف نظر انرژی مورد نیاز برای این کار نیاز هست که برای چند سال کل انرژی تولیدی توسط بشر در کرهء زمین رو صرفش کنیم! حالا عدد دقیقش یادم نیست ولی بهرحال انرژی عظیمی بود و زمان قابل توجهی در همین حدود.
حالا شما میخوای یه رایانه درست کن با حجم یک گوشی تلفن همراه و با قدرت صدهزار ابررایانه فعلی! موضوع فقط این نیست. موضوع اینه که انرژی لازم رو از کجا میاری!!

یک مستندی میدیدم در مورد توانایی پردازنده های امروزی توضیح میداد! میگفت قدیمها هر 13 ماه سرعت کامپیوترها دو برابر میشد! الان به طور متوسط هر یک ماه!
در حال حاضر سریع ترین پردازنده ها در واحدهای تکی یک صد هزارم مغز انسان سرعت دارند، طبق توضیحاتی که میداد توی 10 تا 20 سال آینده اگر همین روند با همین تمپو ادامه داشته باشه باید هر واحد پردازنده سرعتی 500 برابر مغز انسان داشته باشه!!!
یعنی اصلن چیز عجیبی نیست که دیر یا زود کار RSA ساخته بشه.
و بله میشه طول کلید رو بلند تر کرد تا سخت تر بشه پیدا کردنش! ولی تا چه میزان میخواید طول کلید رو زیاد کنید ؟! این الگوریتم همواره در برابر سخت افزارهای قویتر و جلوتر آسیب پذیره و هی مجبورید کلید رو بزرگتر و بزرگتر کنید! شاید ممکنه رشته شما چندین گیگابایت یا ترابایت بشه!
البته شاید هم یک فرمول ریاضی یک روزی یک ریاضی دانی براش پیدا کرد! کسی نمیداند.

دور از دسترس بودن که حرف خنده داریه! چیزی که قرار باشه دور از دسترس کسی بمونه که زیاد بحث امنیت درموردش اصلا مطرح نمیشه و نیاز نیست. موضوع اینه که در خیلی موارد تامین این شرط ممکن نیست، و در اکثر موارد فقط بصورت محدود و بدون تضمین 100% ممکن است. پس شما باید سیستمی داشته باشی که در عین اینکه ساختار و طرز کار و الگوریتمش در اختیار همگان هست، از امنیت معقولی برخوردار باشه.
اینکه میگی ناشناس باشه تا امنیت داشته باشه، اینم بهش میگن «امنیت از طریق تیرگی» که بنده قبلا درموردش تحقیق و مطالعه کردم و مقاله هم دادم: علم خوره
مقاله رو دقیق مطالعه کنید تا متوجه بشید که نظر متخصصان این رشته که خیلی شواهد و تجربیات هم اون رو تایید میکنن اینه که تکیه بر امنیت از طریق تیرگی اصولی نیست و این روش اونقدرها هم که تصور میشه امنیت زیاد و بدون ضعفی رو ایجاد نمیکنه. البته از امنیت از طریق تیرگی میشه بعنوان یک لایه و میزان امنیت افزوده استفاده کرد، به شرط اینکه قبلش از روشهای اصولی تر و استانداردتری استفاده شده باشه و بعنوان پایهء اصلی امنیت روش اتکا نشده باشه، که اینم در خیلی موارد اصلا نیازی نیست چون امنیتی که افزوده میکنه به نسبت پیچیدگی و هزینه و کاری که اضافه میکنه که خودشون به امنیت خلل وارد میکنن اونقدری زیاد نیست و اصولا مبهم و محل اختلاف هم هست.
بیشتر سازمانهای نظامی و اینها هستن که از الگوریتم های مخفی استفاده میکنن که اونم تاحدی بنظر بعضی متخصصان بخاطر بروکراسی و قوانین خاص اونهاست و یکسری مسائل که لزوما ریشهء علمی و فنی محکمی ندارن. بعدم اونا هم طبیعتا گفتم که زیر کار و قبل از امنیت از طریق تیرگی طبیعتا از اصول علمی و روشهای استاندارد این رشته باید پیروی کنن، وگرنه امنیت با توهم امنیت قابل تشخیص چندانی نخواهد بود!

اتفاقن دور از دسترس بودن یکی از پایه ای ترین و اساسی ترین مسایل امنیته!
به طور مثال برخی سرورهای نظامی به هیچ عنوان با دنیای بیرون در ارتباط نیستند! و فقط افراد معتمد حق دسترسی بهشون رو دارند. حالا شاید یکی از اینها خیانت کنه و بشه اسنودن! و به کشور خودش خیانت کنه و به بقه ملت دنیا خدمت این بحث ما نیست.

این سایتها و نرم افزارها بحثشون شاید مقداری تفاوت بکنه به عللی، ولی بهرحال همین امنیت هم بنظرتون خیلی زیادتر از حد انتظار نیست؟ چون اینطور که شما گفتی «از مهم ترین نکته های امنیتی»، که این رو رعایت نمیکنن، پس بنظر میرسه باید امنیتی خیلی کمتر از این حرفها میداشتن! ولی میبینیم که در حد قابل استفاده هستن، با اینکه خیلی وقتا توسط متخصصان امنیت و رمزنگاری طراحی نشدن.
بعدم درست بعکس در دنیای علم رمزنگاری میگن که از الگوریتم های شناخته شده و استاندارد استفاده کنید و تجربه و شواهد زیادی هم تاحالا نشون دادن که این معمولا عاقلانه ترین کاره و کسانی که الگوریتم های رمزنگاری خودشون رو درست کردن اکثرا مرتکب اشتباهات قابل توجهی شدن و امنیتشون از روشها و الگوریتم های شناخته شده موجود کمتر بوده. این واقعیت حتی به خود متخصصان و دانشمندان این رشته هم اعمال میشه (گرچه با جدیت کمتری). اصولا دانشمندان بزرگ این رشته این مسئله رو مطرح و تایید کردن. کسانی مثل کلود شانون که پدر نظریهء اطلاعات هم هست. در همون مقاله ای که دادم، نقل قولها و اطلاعات موثق روشنی در این موارد هست که میتونید مطالعه بفرمایید!

به نظر من نه نیست! من توی امنیت بین این همه سیستم فقط دروپال رو قبول دارم که همون هم کلی سوتی و مشکل داره و بارها و بارها هَک شده. با همه اینها امنیتش به قدری بوده که کاخ سفید آمریکا برای سایت خودش ازش استفاده بکنه.
این سیستمها به مرور زمان و یواش یواش تکمیل شدند! کلی هزینه!!! پاشون رفته تا شدند اینی که الان هستند منتها چون هزینه بین چندین میلیون نفر دولوپر تقسیم شده به چشم نمیاد! ولی یک سیستم غریبه شاید خیلی خیلی خیلی هزینه ساختش کمتر باشه و امنیتش بیشتر. چون کسی از اون پشت خبر نداره!
میدونید چی جالبه! این همه نرم افزارهای متن باز برای ایمیل سرور و ... وجود داره! ولی تقریبن همه ی دانشگاه های آلمان ازExchange سرور برای سرور و از Outlook Web app برای سیستم کلاینت ایمیلهاشون استفاده میکنند!
برای مثال پرتال دانشگاه RWTH آخن : Outlook Web App
چرا باید برند این همه پول بدند و مایکروسافت رو گنده تر کنند در شرایطی که خودشون مدام توی بوق میکنند که برید سراغ برنامه های آزاد و متن باز و ... ؟!
من با یکی از پروفسورهای دانشگاه که صحبت میکردم دو تا دلیل رو از اصلی ترین دلایل معرفی کرد :

1 - بسیار بسیار بسیار از هر برنامه متن باز و آزاد شناخته شده کاربر پسند تره!
2 - به خاطر ناشناخته بودن کد فرصت بیشتری برای دفاع در برابر حملات بهشون میده!

همین دو تا کافیه که دور این همه Web App مجانی و رایگان خط قرمز کشیده بشه. بعد حکومت اوسکول ما! به جای اینکه یک میل کلاینت رو از صفر پایه ریزی کنه و با میل سرور بومی ایمیل به قول خودش ملی راه بندازه! رفته با RoundCube و میل سرورهای مجانی و حتا کرک شده!!!! این سیستم رو راه اندازی کرده در صورتی که حتا یک دانشگاه کوچک هم چنین رسیکی رو نمیپذیره!! حالا میگیم میل سرور کار میبره!!! آخه میل کلاینت درست کردن اون هم از نوع Web Based که دیگه کاری نداره

دقیقا یک دلیلش بخاطر همینه که «امنیت از طریق تیرگی» اونقدرها هم امنیت اصولی که در وهلهء اول بنظر میرسه ایجاد نمیکنه!
اونی هم که کرک و نفوذ میکنه خیلی وقتا اصلا نیاز نیست کد و الگوریتم کامل رو داشته باشه چون میتونه با تست هایی این رو کم و بیش خودش با صرف زمان و هزینه و وقت شدنی ای پی ببره، و از اون طرف یکسری ابزارها و حمله ها هستن که اصولا به اینکه زیر کار دقیقا چه کدی چه الگوریتمی هست نیاز مبرم ندارن و بصورت کور ولی موثری عمل میکنن مثلا با Fuzzing و تست های از پیش آماده که بهرحال روی هر سیستم و نرم افزار و الگوریتمی ولو جدید و ناشناخته احتمال موفقیت قابل توجهی دارن. بهرحال برنامه برنامه هست و توسط انسان نوشته شده و در کل همون ساختارها همون روشها همون خطاهای انسانی و مسائل درش احتمال وجود زیادی دارن و خیلی موارد اصلا گریزناپذیر هستن. این نیست که فکر کنی چون نرم افزار و الگوریتم مخفی هست مثلا کسانی آدم فضایی های پیشرفته تر و با دانش غیر از دانش عادی ما اون رو نوشتن و همون باگها و ضعف های عادی توش پیدا نمیشه! مثلا buffer overflow و SQL injection و خیلی انواع حمله های دیگه که هست، اینها حتی توی نرم افزارهای نظامی و مخفی و محرمانه هم میتونه وجود داشته باشه و با روشهای معمولی و روشهایی که بعضا حتی نیاز به دونستن الگوریتم و نوع دقیق برنامه ندارن کشف بشن.
این همه تاحالا توی ویندوز توی IE و این همه نرم افزار انحصاری حفره کشف و سوء استفاده و اکسپلویت شده بخاطر همین که در دسترس نبودن کد و الگوریتم مانع چندان محکمی برای کشف ضعف ها و حفره ها و خطاهای انسانی نیست و میتونه توسط مهندسی معکوس و غیره بحد کافی روشن بشه و در بعضی موارد اصلا نیازی هم نیست!

یکی از پارامترهاست!
فرض کنید به کل این سیستمها با دنیای خارج ارتباطی نداشتند! اونوقت چینی ها نمیتونستند از توی چین هکشون کنند و باید تشریف مبارک رو میبردند آمریکا!!! که اون موقع احتمال لو رفتنشون قبل از دزدی اطلاعات چند برابر میشد.
SQL Injection هم شما ساختار دیتابیس و دستوراتش رو میشناسید! اگر نشناسید چی ؟!
Buffer Overflow هم باز اغلب نیاز به دسترسی فیزیکی و دسترسی به حافظه داره! + شما باید از شیوه رد و بدل شدن اطلاعات در سخت افزار میزبان خبر داشته باشید! به طور مثال اگر امروز آمریکا بیاد و برای سیستمهای امنیتیش یک ساختار سخت افزاری کاملن جدید و غریبه رو در نظر بگیره و به کسی نده! به فرض دسترسی پیدا کردن به اطلاعاتش چون با ساختار سخت افزاری که اون رو تولید کرده آشنایی ندارید باید جون بکنید تا بتونید بفهمید توش چی نوشته! پس میشه با صرف هزینه های معقول کار رو هر چه بیشتر برای طرف مقابل سخت تر کرد. ولی بعید میدونم بشه به امنیت دیجیتالی مطلق رسید. البته سونی ثابت کرده به مرزش میشه رسید :))) برای مثال 2 ساله که PS4 اومده و هنوز کسی راهی برای JailBreak کردنش پیدا نکرده و فقط یک سری کار بی ثمر و بی نتیجه! خود Ps3 هم کلی طول کشید تا JailBreak شد. (حدود 5 سال)
برای دستگاهی که 200-300 میلیونش اون بیرون دست مردمه و کلی آدم ریخته روش تا هکش کنه رکورد خیلی خیلی خوبیه.

فقط استعداد کافی نیست. تعداد و حجم نیروی انسانی و منابع مالی هم مهمه. اینکه شما بر مبنای لینوکس کار کنی باعث میشه بتونی از دستاوردها و کمک دیگران در سطح جهانی هم بهره مند بشی و استفاده کنی و این همه کد و برنامه هایی که هست و تولید میشه خیلی ارزش داره.
ما حتی اگر سیستم عاملی تولید کنیم از خودمون، آیا اینقدر نیروی انسانی اینقدر منابع مالی داریم که این همه نرم افزار و درایور و غیره که براش نیاز هست همیشه بروز تولید کنیم و قابل رقابت با دنیای عظیم سیستم عاملهای جهانی محبوب و جا افتاده ای مثل لینوکس باشیم؟ طبیعتا نیروی انسانی و منابع مالی که روی لینوکس صرف میشه و خواهد شد از ما به مراتب بیشتره.
موفقیت سیستم عامل فقط نوشتن یک کرنل نیست. نرم افزارها و اجزای جانبی اون و اینکه مستمر تولید و پشتیبانی کافی داشته باشه هم اساسیه در موفقیت و بقای یک سیستم عامل.

خود شما با اینکه یک مقداری زیادی فضایی فکر میکنی و واقع گرا نیستی! یک استعداد محسوب میشی توی اون خراب شده! ولی به جای اینکه مشغول بهبود امنیت مجازی کشور باشی نشستی داری با من بحث میکنی :))
من این ور ولی بیکار نیستم و دارم مشابه همون کار رو برای گمرک آلمان و چند تا شرکت دیگه انجام میدم! منتها من دنبال کمک کردن برای بهبود امنیتشون نیستم! من دارم کمکشون میکنم نظارتشون به مشاغل راحت تر بشه با طراحی یک نرم افزار جامع.
لازم نیست برای همه سخت افزارها درایور مربوط به سیستم عامل خودتون رو بسازید! کافیه تعداد محدود و مشخصی از سخت افزارها رو مادامی که به توانایی ساخت سخت افزار برسید دستچین کنید و روی همونها هم کار کنید. تازه کار کردن روی همه سخت افزارها هم کار سختی نیست! اپل این کار رو به تعداد محدودی کارمند کرده پس ما هم منطقن میتونیم! فقط کافیه اون پولهایی که میدیم به حزب الله لبنان رو خرج پیشرفت خودمون بکنیم!!!
به نظر من وجود یک سیستم عامل ملی و بومی با تکنولوژی ناشناخته از خیلی چزیهای دیگه واجب تره! یک زمانی آمریکا یونیکس رو طراحی کرد! بر پایه اون لینوکس ساخته شد که ادعا میشه از امن ترین سیستم عاملهای دنیاست!
واقعن فکر میکنید آمریکا الان بیکار نشسته و یک سیستم عامل جدید و محرمانه برای خودش درست نکرده ؟! به نظر من که حتمن این کار رو کرده. پس ما هم باید بکنیم.
توی آلمان شما خیلی سخت اداره ای پیدا میکنید که از لینوکس استفاده کنه! همشون روی ویندوز ول هستند!! و بله این خبر خیلی خوبیه برای هکرها!!!
زمانی که من به گمرک (Zollamt) پیشنهاد دادم که سرورهای نظارتی و حتا کلاینتهای کارمندهایی با سطح دسترسی بالا رو به لینوکس یا یونیکس لایکها تغییر بدیم داشتند سکته میکردند! چرا ؟! چون کار کردن باهاشون برای افراد عادی سخته :))))
برای من نیست! یک جایی هم گیر کنم یک سرچ میزنم پیدا میکنم! ولی برای کارمندی که یاد گرفته همه کارش رو با کلیک کردن و اتوماسیون انجام بده غیر ممکنه!
حالا فرض کنید همین اتوماسیونها، سادگیها در استفاده باب سلیقه آلمانیها و به شکلی آلمانی پسندانه در یک سیستم عامل بومی جمع آوری بشه!
نرم افزاری که من درست کردم هم درست همین حالت رو داره! یک اینترفیس آلمانی پسندانه داره با یک کرنل خودم پسندانه :دی (کراس پلتفرم - که بعدن اگر اینها تصمیم گرفتند یک اردنگی بزنند به ویندوز دهن من صاف نشه :دی)

منکه یادمه تلویزیون لامپی (vaccum tube) داشتیم زیاد خراب میشد.
منظورت از عمر هم نمیدونم چیه!! کدوم عمر؟! خب یه چیزی رو مدام قطعه عوض کنی تعمیر کنی به زور و با هزار مکافات و هزینه میتونی کلی سال استفاده کنی؛ به این میگن عمر بیشتر؟!
تلویزیون های الان رو هم مگه نمیشه این کار رو کرد؟ حداقلش هم 5 سال 10 سال بدون دردسر کار میکنن!

بله به این میگن عمر بیشتر!
تعمیر مدارهای یک تلویزیون قدیمی راحت تر و به صرفه تر از یک تلویزیون امروزیه!
یک چیپ عوض کردن روی برد خیلی از وسایل الکترونیکی امروزی تجهیزات خیلی گرون قیمت لازم داره! سوای اینکه خیلی از اونها بردهای چند لایه دارند که در صورتی که لایه های میانی آسیب ببینند خود کارخونه سازنده هم نمیتونه تعمیرشون کنه!!
پس پیچیدگی بیشتر = هزینه بیشتر جهت نگهداری و تعمیر
مگر اینکه هزینه تولید به قدری کم باشه که در صورت خرابی بندازی دور یه جدیدش رو بخری!

والا ما که یادمونه لامپ تصویر هم خراب میشد و نیاز به شارژ و تعمیر یا تعویض داشت. شارژ شدش هم کیفیتش دیگه مثل اولش نبود.
تازه اینکه الان طول عمر بعضی چیزا زیاد نیست بخاطر اینه که هزینه رو پایین بیارن، طول عمر بیشتر اصلا از نظر محاسبات فنی و اقتصادی و میزان پیشرفت فناوری و نیازهای آینده توی برنامشون نبوده و به صرف و معقول نبوده، وگرنه اگر میخواستن میتونستن طول عمر بیشتری هم درست کنن.

من یک تلویزیون لامپی رو برای بیشتر از 20 ساله که دارم! یک بار هم خراب نشده تا حالا! تولید هیتاچی.
کیفیت و طول عمر بالا هم یعنی اینکه مشتری بیشتری داری، خواستنی تره محصولاتت و البته با کلاس تر!
مثال خیلی خوب محصولات اپل! با افت قیمت خیلی کمی مواجه میشه (یک آیفون از روز عرضه تا عرضه نسخه جدید هیچ افت قیمتی نداره ولی مثلن همین سامسونگ اج تا حالا بیشتر از 300 یورو توی کمتر از 3-4 ماه افت قیمت داشته) - طول عمرش خیلی زیاده ولی وقتی جدید ترش میاد با اینکه قدیمیه 10 سال دیگه هم بدون مشکل کار میکنه همه میرند جدیدش رو میخرند! و به خاطر اینکه از متریال با کیفیت استفاده شده یک محصول شیک و باکلاس محسوب میشه در همه جای دنیا.

اینا که میگی خیلی هاش بخاطر همون مباحث هست که در جواب قبلی گفتم! چون قیمت ها پایین آمده و نرخ این حوادث اونقدری نیست که بخوان بیشتر خرج هر دونه وسیله از اون نوع بکنن. صرف نمیکنه. در چنین مواردی تعویض و خرید یدونه جدید در کل به صرفه تره تا اینکه بخوان همهء وسایل رو با صرف مواد و فناوری افزوده و هزینه ها و مصرف بیشتر بسازن.

خیلی جاها شما نمیتونی جایگزین پیدا کنی! یک محصول امروزه 10 سال دیگه از رده خارج محسوب میشه! اون موقع اگر به هر دلیلی نیاز به تعمیر پیدا کنی امکانش برات نیست!!
به عبارت ساده تر اجناس تکنولوژیک امروزی عتیقه و با ارزش نمیشند هرگز!!! خودمونی ترش میشه با اینکه تکنیک دارند ولی اصالت ندارند.

گفتم که، ساخت بمب اتمی شکافت اورانیوم از نوع gun type کار سختی نیست و شدنیه. فقط اورانیوم غنی شده با درصد و خلوص کافی میخواد. برای یک حکومت هم با منابع و انگیزه ای که داره کار شدنی هست.
ضمنا من توی فیلم ها دقت کردم مثلا نشون میده تروریسته بمب اتمی درست کرده، یه ساختار بمب رو نشون میدن که اصلا با منابع و اصول این قضیه جور درنمیاد و هرکس اطلاعات در این زمینه داشته باشه میدونه که تاحد زیادی مسخره و غیرواقعیه و کار کسی که اطلاعات درست و حسابی از ساختار بمب اتمی داشته باشه نیست، و من به فکرم رسید که عمدا میخوان افکار عمومی رو از این قضیه منحرف کنن لابد! البته نمیدونم شایدم فقط از روی بی اطلاعی کارگردان و اینهاست یا بخاطر اینه که جدی نمیگیرن و بنظرشون مهم نیست و فقط میخوان جلوه داشته باشه و تماشاگران رو تحت تاثیر قرار بده. بهرحال اینها معمولا روی زمینه های علمی فیلم هایی که میسازن قبلش تحقیق میکنن و بعیده ندونن قضیه چیه! البته ما یه بحث هم داریم بنام بمب کثیف، که اون بمبی هست که ضایعات رادیواکتیو رو در محیط پخش میکنه، و در اون انفجار اتمی رخ نمیده و قدرت تخریب مستقیم نداره. شاید در مواردی منظور اون هم بوده، چون به نسبت بمب اتمی مواد و ساختش خیلی در دسترس تر هست طبیعتا.
بهرصورت امروز ما میبینیم که طرف فقط با یک پرینتر سه بعدی اومده تفنگ جنگی درست کرده که نمیدونم تا 1000 تا تیر هم شلیک میکنه!

عزیز من تولید به مقدار لازم اورانیوم سخته!
بعد باز پاس دادید به فیلم! از روی فیلم استدلال نکنید جانم!!! ایران با بیش از 5 هزار تا سانتریفوژ نتونست میزان لازم برای تولید یک بمب اتمی اورانیوم غنی کنه! توی اون همه پایگاه و نیروگاه و ... که اگر میتونست دست کم یکی تولید کنه و وسط کویری جایی بترکونه الان دست بالا رو توی مذاکرات داشت و شاید اصلن نیاز به مذاکره رو حس نمیکرد!!!
به همین راحتی ها بود این همه کشور توی صف هستند! میرفتند درست میکردند!!!