RSS
 

A twitter account.. at last!

14 Jan

In spite of my long-lasted & time-honoured resistance..
I’m glad to announce that I, finally, have a twitter account: @warodhan.

I strongly hope that this will make it easier to share news and discuss related maters to Information Security.

 
 

لقاء تلفزيوني الليلة

23 Nov

سأحل ضيفاً الليلة الجمعة – بإذن الله – على القناة الثقافة السعودية عبر برنامج (الثقافة اليوم) للحديث عن المحتوى العربي في الإنترنت.

سيبث البرنامج على الهواء مباشرة في تمام الساعة 11:30 مساءً ان شاء الله.

 
 

الإعلام الجديد وتداعياته : لقاء تلفزيوني

07 Oct

كنت ضيف برنامج (الثقافة اليوم) على القناة الثقافية السعودية، و الذي بث مباشرة يوم الأربعاء الموافق للسادس عشر من شهر سبتمبر الماضي.

أود أن أتقدم بجزيل الشكر لجميع طاقم البرنامج على رأسهم رئيس التحرير الأستاذ (عبدالله مغرم) والاعلامي المتألق الأستاذ (ماجد العمري) على ما لقيته منهم من حفاوة و احترافية عالية.

 
 

محاربة الاستغلال الجنسي للاطفال في الانترنت.. التجربة البريطانية *

09 May

في آخر يوم من أيام المؤتمر الثالث لأمن الحاسبات و التحري الرقمي، و الذي عقد في أواخر عام 2009م في مدينة ليدز البريطانية. دخل آخر المتحدثين في المؤتمر، رجل ضخم مهاب يرتدي بزَّةً عسكرية، وبعد أن عرّف بنفسه (السيد/ Jim Gamble)، قال فورا و هو يشير الى الحضور من أساتذة أكاديميين و باحثين:
- ” بحسب الاحصائيات فإن ما يقارب الـ 15% منكم سبق و أن بحثوا أو شاهدوا موادا جنسية تتضمن أطفالا غير بالغين، و مهمتي هي أن أقبض على هؤلاء و اسلمهم للعدالة! “

و في خضم دهشة الجميع و صدمتهم من جرأة حديثه، أردف:
- ” لا تتوقعوا مني أن أخجل منكم، لقد وجّهت الكلام نفسه لبابا الفاتيكان و كبار قساوسته قبل أيام على مائدة العشاء التي أقامها على شرفي في الفاتيكان! “

ثم أضاف بنبرة حزينة:
- ” بعد أن ترى مشاهدا لأطفال لم يسقط حبلهم السري بعد، يتم التحرش بهم جنسيا بطريقة وحشية، اعتقد انك لن تقف أمام أمور تافهة مثل مراعاة شعور الأكاديميين! “

اسلوبه غير المألوف في مثل هذه المؤتمرات، كان يحمل دلالة واضحه على كم الحماس الذي يسكنه لأداء مهامه الموكلة إليه. تحدث السيد Gamble قرابة الساعتين، ليكشف حقائق مهمه و مثيرة عن التجربة البريطانية في هذا المجال.

Jim Gamble هو ضابط رفيع المستوى في المملكة المتحدة و يشغل منصب رئيس مركز حماية الأطفال من الإستغلال الجنسي في الانترنت أو ما يعرف بـ Child Exploitation and Online Protection Centre (CEOP)، و كان قد تلقى في بداية العام الحالي ‘ميدالية المَلِكَة للشرطة’، نظير شجاعته و تفانيه في عمله. و يكفي أن نعرف أنه كان يشغل منصب رئيس مركز استخبارات مكافحة الارهاب في إيرلندا الشمالية، لنعرف مدى جدية بريطانيا في الحد من ظاهرة الاستغلال الجنسي للإطفال في الانترنت.

yourfile
Jim Gamble

بداية، يجب أن نُقر بأن استخدام الانترنت كوسيلة من وسائل نشر المواد الاباحية و التي تتضمن تحرشا جنسيا بأطفال قُصَّر هي ظاهرة منتشرة في كل انحاء العالم و يجب محاربتها و الحد منها. لكن اذا ما أخذنا بعين الاعتبار الحجم الهائل للفضاء السايبيري و الكم الضخم من المعلومات التي تتنقل بين أجهزة المستخدمين، بالإضافة الى سهولة التخفي و صعوبة فرض قوانين صارمة في الانترنت، فإننا سرعان ما ندرك أن هذه الحرب لن تكون سهلة على الإطلاق، و تتطلب إمكانات هائلة جدا.

نحن هنا لسنا بصدد بحث أسباب ظاهرة الاستغلال الجنسي للإطفال، بل بصدد تسليط الضوء على التجربة البريطانية في محاربة هذه الظاهرة.

الـ CEOP يُعرِّف المُستغِل جنسيا للأطفال، بأنه أي شخص يحمل رغبة كامنة في ممارسة الجنس مع الأطفال و يتصرف تصرفات مرتبطه بتلك الرغبة. و هذا يشمل كل من يبحث عن أو يشاهد أو ينشر أية مواد جنسية لأطفال قُصَّر. أيضا يشمل كل من يدعم الاستغلال الجنسي للأطفال ماديا أو معنويا كتشجيع هذه الظاهرة من خلال الكتابة عنها في الانترنت.

شخصيا، أصنف المستغلين جنسيا للأطفال في الانترنت إلى ثلاثة أصناف:
1- الأشخاص الذين يقومون بتصوير أو تسجيل مواد إباحية مع أطفال و نشرها أو الإحتفاظ بها. و من المؤسف ان نعرف أن النسبة الأكبر من هؤلاء هم أشخاص من ضمن عائلة الطفل المُستغَل جنسيا!
و بحسب السيد Gamble فإن معظم الدراسات التي شملت مناطقا مختلفة من العالم تؤكد هذه الحقيقة الصادمة!

2- الأشخاص الذين يحاولون استدراج الاطفال من خلال الانترنت للممارسة الجنس سواءا جسديا، صوريا، صوتيا، كتابيا، أو حتى القيام ببعض الأعمال ذات الإيحاء الجنسي.
و بحسب دراسة أعدها الـ CEOP مؤخرا، فإن 56% من محاولات استدراج الاطفال عبر الانترنت تتم عبر برامج التخاطب المباشر (كمواقع الدردشة أو برامج الماسنجر).

3- الأشخاص الذين يبحثون عن مواد إباحية أو يشاهدونها، أو حتى يدعمون التحرش الجنسي بالإطفال، و هم يشكلون السواد الأعظم. و في الغالب فإن هذه الفئة من الأشخاص تستخدم برامج تبادل الملفات أو ما يعرف ببرامج الـ P2P مثل برنامج Limeware.

تم انشاء الـ CEOP قبل ما يربو عن السنتين لملاحقة جميع الأصناف أعلاه و تسليمهم للعدالة، بالإضافة إلى توعية المجتمع بخطورة ظاهر الاستغلال الجنسي للأطفال في الانترنت.
و هذا المركز هو مركز حكومي ضخم يضم نخبة من أفضل المتخصصين في الحاسب الآلي بخبرات متميزة، و مجموعة من التحريين الجنائيين البريطانيين، كما يحتوي على أجهزة و معدات ذات طاقة حوسبية هائلة. كما أن المركز يشمل قوات دهم عسكرية خاصة (تماما كقوات مكافحة الإرهاب)، لمداهمة المُستغلين جنسيا للأطفال في مواقعهم. و المركز مرتبط بشبكة خاصة بمراكز مماثلة في أنحاء مختلفة من العالم (أمريكا – كندا – ايطاليا – استراليا) لتبادل المعلومات بشكل فوري.
و للمركز موقع على الانترنت يقدم خدمات و معلومات في غاية الأهمية، كقائمة بأسماء المطلوبين الهاربين عن العدالة و صورهم، و نماذج مبسطه للتبليغ عن حوادث الاستغلال الجنسي، و العديد من المواد التوعوية.

و لأقرّب لأذهانكم مدى قوة المركز المؤسساتيه و التقنية، أذكر لكم حادثة تكلم عنها السيد Gamble في معرض حديثه:
في إحدى مشاهد التحرش الجنسي التي تحصَّل عليها المركز، كان المتحرش جنسيا بالطفل يجلس على اريكة ذات لون مميز. و تبين للمركز أن هذا النوع من الأثاث و بهذا اللون تحديدا دخل منه إلى بريطانيا ما يقارب الـ 460 قطعه فقط من خلال متجر أثاث مشهور. و في غضون ايام تحصَّل المركز على قائمة بأسماء جميع من قاموا بشراء أريكة مطابقة للتي بالمشهد، و بعد أسابيع قليلة من التحري و التقصي، تم القبض على الشخص المطلوب، و الذي تبين للأسف أنه والد الطفل الذي كان يتحرش به جنسيا في المشهد!

من انجازات المركز المذكورة في التقرير السنوي للعام 2007/2008م:
- تم انقاذ 131 طفل من الاستغلال الجنسي، 18 منهم تم التوصل اليهم عن طريق صور اباحية تحصّل عليها المركز.
- تم القبض على 297 مستغل جنسي للأطفال و تسليمهم للعدالة.
- تم تفكيك 6 شبكات متخصصة لتبادل مواد اباحية لأطفال أو لاستدراج الأطفال.
- تمت معالجة أكثر من مليون صورة إباحية لأطفال عثر عليها في الانترنت، و مواد أخرى يبلغ حجمها 400 جيجابايت.
- تم تدريب أكثر من 2600 ضابط لمحاربة الاستغلال الجنسي للأطفال في الانترنت.
- تم تلقي و معالجة أكثر من 5812 بلاغ من خلال موقع المركز.
- تم تدريب أكثر من 11000 مدرس على برامج التوعية ضد الاستغلال الجنسي للأطفال في الانترنت.
- تمت توعية أكثر من 1.7 مليون طفل (ما بين أعمار الـ 8 و الـ 16) بخطورة الاستغلال الجنسي للأطفال في الانترنت و كيفية اكتشافه و التبليغ عنه.

بقي أن أذكر، أن جميع العاملين في المركز يخضعون لجلسات علاج نفسي “إجبارية” لأكثر من مره في الأسبوع، فبعض حالات الاستغلال الجنسي للأطفال قد تسبب انهيارا عصبيا لمنسوبي المركز العاملين عليها.

ختاما، أعتقد أن الجميع مدرك لحجم المخاطر التي استجدت مع ظهور الثورات التقنية في العقدين الماضيين، ففي هذه الايام لا يعني وجود الأطفال في المنزل أنهم بمعزل عن العالم الخارجي و الذي يضم أناسا قد لا نرضى أبدا أن يكونوا قريبين منهم.
أتمنى أن تؤخذ التجربة البريطانية في هذا المجال بعين الاعتبار، و هي تجربة جبارة دون شك. كما أتمنى أن نشاهد مراكز متخصصة في المملكة العربية السعودية شبيهة بمركز الـ CEOP، فالحاجة لمثل هذه المراكز هي برأيي ملحة، من أجل حماية أطفالنا من الوجه القبيح للتقنية الحديثة.

د.وليد الروضان
* مقالة كنت قد كتبتها في العام 2009م باللغة الانجليزية لتنشر في مجلة المؤتمر الإعلامية.
_________________________
للمزيد حول الموضوع:

- http://www.ceop.gov.uk
- http://www.virtualglobaltaskforce.com
- http://www.youtube.com/user/ceop
- http://en.wikipedia.org/wiki/Jim_Gamble
- http://en.wikipedia.org/wiki/Child_Exploitation_and_Online_Protection_Centre

 
 

The Information Security Group of Royal Holloway, University of London is coming to Saudi Arabia!

11 Apr

The Information Security Group (or ISG) will be present in the International Exhibition & Conference on Higher Education to be held in Riyadh 17 to 20 of April, 2012!

Founders

For those who do not know the ISG, it is one of the most recognised Information Security academic centres in the world. It has been awarded with the Queen’s Anniversary Prize for Higher and Further Education in 1998 (the most prestigious award in the UK); and recently it has also been awarded “Academic Centre of Excellence in Cyber Security” by CESG. The ISG was mentioned in the best-seller novel The Davinci Code by Dan Brown as an outstanding research group in Information Security and Cryptography.

download
The Principal of Royal Holloway (Professor Norman Gowar) and Professor Fred Piper (Director of the ISG) receive the award from the Queen in a ceremony at Buckingham Palace in 1999.

If you want to know more about the ISG, I strongly suggest that you visit RHUL’s section in the exhibition. And for us, ISG Saudi alumni, it is utterly a great opportunity to re-gather and meet up with our beloved: Dr. Chez!

Finally, I want to mention that Dr. Chez Ciechanowicz (Course Director of ISG at Royal Holloway, University of London) will give a scientific seminar in the College of Computer and Information Sciences at Al-Imam Muhammad ibn Saud Universitynext Wednesday (18th of April, 2012). The seminar’s title is: Smartcards, Mifare, and Access Control. All those who are interested in Information Security are very welcome to attend!

banner4

_____________________

Aleqtisadia newspaper covers Dr. Chez’s visit to ImamU:
Please press here and here.

 

 
 

صدور كتاب مرجعي متخصص في إدارة الهوية الرقمية

31 Jan

تم مؤخرا صدور كتاب Digital Identity and Access Management: Technologies and Framework عن دار النشر الأمريكية الشهيرة IGI Global و الذي أشرف على إصداره طاقم علمي من أساتذة جامعة State University of New York الأمريكية حيث تم اختيار مجموعة من الباحثين المتخصصين حول العالم بعد تحكيم أكاديمي دقيق للمساهمة في  تأليف هذا الكتاب.

هذا الكتاب قد يكون أكبر و أشمل الكتب المرجعية المتخصصة في مجال إدارة الهوية الرقمية، و ساهم في تأليفه أكاديميون و خبراء يعملون في جامعات و مؤسسات من مختلف دول العالم كالولايات المتحدة الأمريكية و اليابان و بريطانيا و بلجيكا و هولندا و ألمانيا و غيرها. و كان لي شرف المساهمة في تأليف الكتاب حيث كنت الباحث الوحيد الذي رشح لكتابة أكثر من فصل فيه.

- الفصل الأول الذي قمت بكتابته هو بعنوان: Identity Management Systems، و تناول شرحا مفصلا لأكثر خمسة أنظمة إدارة هوية رقمية مستخدمة في الويب و هي MS CardSpace و Higgins وLiberty Alliance وShibboleth و OpenID، قبل أن يركز على قضايا أمن المعلومات و بعض جوانب القصور الأمني فيها، بالإضافة إلى دراسة مستفيضة لبعض الأبحاث و الحلول المختصة بتطوير مستوى الخصوصية و قابلية التشغيل فيها.

- أما الفصل الثاني فهو بعنوان: Identity Management، و تناول شرحا علميا لمفاهيم الهوية، الهوية الرقمية، و إدارة الهوية الرقمية مركزا على أنظمة إدارة الهوية الرقمية المعتمدة على تقنية الويب، قبل أن يقدم دراسة لبعض المفاهيم الأخرى ذات العلاقة كأنظمة تسجيل الدخول المفرد و نظريات مستوى التحقق و غيرها. و أخيرا يقدم الفصل تصنيفا رائدا لأنظمة إدارة الهوية الرقمية بحسب معايير علمية محددة قبل أن يسهب في شرح هذه التصنيفات و خصائصها و الفروقات فيما بينها.

51lCv4a-PNL._SS500_

يمكن الحصول على الكتاب من خلال موقع أمازون (إضغط هـنـا أو هـنـا)، أو مواقع بعض المكتبات المعروفة كمكتبة Waterstones (إضغط هـنـا)، أو من خلال موقع دار النشر نفسها IGI Global (إضغط هـنـا).

و بهذة المناسبة أتوجه بالشكر الجزيل للصحف و المواقع التي قامت بتخطية خبر صدور الكتاب:
- صحيفة الإقتصادية (إضغط هـنـا).
- صحيفة الرياض (إضغط هـنـا).
- مرآة جامعة الإمام محمد بن سعود (إضغط هـنـا).
- موقع كلية علوم الحاسب الآلي و المعلومات في جامعة الامام محمد بن سعود (إضغط هـنـا).

 
 

الحرب الإلكترونية و حتميتها

28 Jan

أحسب أننا جميعا سنتفق أن التقنية الحوسبية أضحت جزءا هاما في حياتنا اليومية و وسيلة حيوية يصعب – أو ربما يستحيل – الاستغناء عنها. نكاد لا نتخيل طبا ولا هندسة ولا اقتصاد ولا تعليم، بل و لا حتى ترفيه، بدون هذه التقنية.

إلا أن هذا الاعتماد المتزايد على التقنية الحوسبية بخدماتها و تطبيقتها يبعث على القلق حول ما اذا كانت خصوصيتنا و معلوماتنا الشخصية و بياناتنا المستخدمة في أنظمة الحاسب الآلي محفوظة بالشكل المطلوب، مما يحتّم اهتماما أكبر بحماية هذه التقنية من العبث و الإستغلال الاجرامي من قبل المخترقين. و على الرغم من أن اختراق الأنظمة الكبيرة و المعقدة غالبا ما تقوم به عصابات منظمة خبيرة بالتفاصيل التقنية لهذه الأنظمة، إلا أن مراهقا قليل الخبرة قد يقوم بمثل هذه الاختراقات أيضا اذا ما توفرت له بعض أداوت الإختراق سهلة التشغيل و المنتشرة في شبكة الانترنت.

دوافع الاختراق تتطابق مع دوافع الجريمة في الحياة الواقعية من سعي وراء المال أو الإنتقام أو الابتزاز أو غيرها من الدوافع المعروفة، إلا أنها قد تزيد عليها أيضا بدافع آخر و هو المباهاة!

في السنوات الأخيرة ظهرت بعض الأبحاث و الدراسات التي تحذر من خطورة مثل هذه الاختراقات ليس على مستوى الأفراد و الشركات فحسب، بل على مستوى الحكومات و الدول!

هذه الأبحاث أثبتت مصداقيتها الكبيرة بعد أحداث الحرب الإلكترونية الروسية/الإستونية المقتضبه في العام 2007م. حيث قامت روسيا بشل قطاعات البنوك و الوزارات و شبكات الاتصالات من خلال هجمات اختراقية سريعة و مدروسة أدت إلى دمار لوجستي كبير مما دفع إستونيا الى إعلان الاستسلام رغم الدعم العسكري الذي كانت تتلقاه من قوات حلف الأطلسي. الأمر نفسه كررته روسيا مع جورجيا في العام التالي (2008م) حيث شنت هجمات إلكترونية مكثفة بعد حرب عسكرية هذه المره، مما أدى أيضا إلى استسلام جورجيا في وقت قصير.

هذه النوع من الحرب ليس من الضرورة أن يكون بين دولتين متقابلتين – كما في الأمثلة المشار إليها – بل قد تشنها عصابات أو أفراد هواة على دولة أو دول معينة لأغراض مختلفة. و لعل أقرب مثال على ذلك هو ما حدث من هجمات متتالية على شركات و منظمات في اسرائيل مؤخرا، حيث ادعى المسؤلية عن تلك الهجمات مخترق مجهول الهوية رمز لنفسه باللقب 0Xomar. و لكي نفهم أكثر طبيعة مثل هذه الحروب الإلكترونية و نقف على مدى خطورتها، لنقلي نظرة أكثر تفصيلا على هذه الهجمات.

قبل نحو ثلاثة أسابيع، تم اختراق الموقع الرياضي الاسرائيلي الشهير جدا One.co.il بواسطة مخترق مجهول الهوية، و حسب استقرائي الشخصي أعتقد ان هذه الاختراق تم بواسطة هجمات بسيطة جدا كحقن دوال الإس كيو إل (SQL Injection). استطاع المخترق الوصول إلى جميع قواعد البيانات المرتبطة بالموقع و منها قاعدة بيانات تحوي بيانات بطاقات الإئتمان التي تم استخدامها لشراء بعض الخدمات و المنتجات من خلال الموقع. ليقوم المخترق بعد ذلك بنشر بيانات بطاقات الائتمان التي تحصل عليها بالإضافة إلى بيانات الدخول للموقع الخاصة بكل المستخدمين على الانترنت (زعم المخترق أنه تحصّل على بيانات مليون بطاقة إئتمان، إلا أن الحكومة الاسرائيلية نفت الرقم و قالت أن مجموع البطاقات التي تمت سرقة بياناتها لا تتعدى الـ 14,000 بطاقة قبل أن ترفع الرقم إلى 15,000 و أخير إلى 20,000 بطاقة ائتمان).

و بعد استنفار أمني إلكتروني كبير في اسرائيل، حدث هجوم آخر قبل ما يقارب الإسبوع عطَّل تماما موقع الخطوط الجوية الإسرائيلية و موقع بورصة أسهم تل أبيب من خلال ما يعرف بالهجمات الإغراقية (Flood Attacks).

هذه الهجمات ادعى المسؤلية عنها مجموعة من المخترقين – بالإضافة إلى 0Xomar الذي أشرنا إليه مسبقا – كـ Group-XP و Nightmare بالإضافة إلى الإشتباه في شاب إماراتي لا يتعدى عمره الـ 19 ربيعا!

الأمر المشترك بين جميع من ادعوا انهم قاموا بهذه الهجمات هو أنهم أفراد هواة و ربما أيضا صغار في السن، و على الرغم من ذلك فإن دولة مثل إسرائيل و التي تعتبر من أفضل الدول في العالم في مجال أمن المعلومات عجزت عن ردعهم و حماية أنظمتها من اختراقاتهم!

اسرائيل بدورها ادعت أنها سترد على هذه الهجمات بهجمات إختراقية أكبر على بعض الدول، خصوصا و أن الهجمات السابقة قد أصابتها في مقتل و طعنتها في قلب كبريائها الذي تباهي به دائما و هو تفوقها التقني في المنطقة و العالم. مؤخرا، زعم بعض المخترقين الاسرائيليين أنهم اخترقوا بيانات عملاء أحد البنوك السعودية، الأمر الذي ثبت أنه غير صحيح لاحقا. لكن هذا لا ينفي احتمال قيام اسرائيل بدعم و شن مثل هذه الهجمات مستقبلا على منشآت خدمية سواءً في المملكة العربية السعودية أو غيرها من الدول العربية.

ما سبق يؤكد على حتمية البحث عن حلول أكثر فعالية لهذه المعضلة من خلال وسائل حماية قادرة على حماية الدول من هجمات اختراقية على انظمة الحاسب مما قد يشل الخدمات و يعطل الحياة العامة. في أغلب دول العالم الآن توجد إدارات متخصصة تُعنى بإدارة الحرب الإلكترونية و التخطيط لردعها – فيما لا سمح الله و حدثت – و الرد عليها. أيضا يوجد ما يعرف بـ CERT أو فريق التعامل مع طوارئ الحاسب الآلي (يقوم بهذه المهمة في المملكة العربية السعودية المركز الوطني الإرشادي لأمن المعلومات الذي تشرف عليه هيئة الاتصالات و تقنية المعلومات http://www.cert.gov.sa). إلا أن حلولا أخرى – قانونية أو/و سياسية ربما -باتت ملحّة، كتوقيع اتفاقيات حماية متبادلة للمعلومات بين الدول و فرض عقوبات صارمة على الدول التي تنتهك ذلك.

د. وليد الروضان.

* مقالة منشورة في مجلة أحوال المعرفة التابعة لمكتبة الملك عبدالعزيز العامة.

 
 

الأمن الإلكتروني : لقاء تلفزيوني

24 Jan

كنت ضيف برنامج (الثقافة اليوم) على القناة الثقافية السعودية، و الذي بث مباشرة يوم الأربعاء الموافق للثامن عشر من شهر يناير الحالي.

أود أن أتقدم بجزيل الشكر لجميع طاقم البرنامج على رأسهم الإعلامي المتألق (ماجد العمري) و الأستاذ (حسام الزهراني) و الأستاذ (عبدالرحمن البكري) على ما لقيته منهم من حفاوة و احترافية عالية.

 
 

كتابي في إدارة الهوية الرقمية

18 Aug

صدر لي كتاب جديد في إدارة الهوية الرقمية بعنوان: Privacy and Practicality of Identity Management Systems: Academic Overview عن دار النشر الألمانية المعروفة (VDM (Verlag Dr. Müller GmbH .

myBook
غلاف الكتاب

يمكنكم الحصول على الكتاب من خلال موقع أمازون (إضغط هنا أو هنا)، أو من خلال موقع بوكس أون دماند (إضغط هنا).

أرجو من الله تعالى أن يسهم هذا الكتاب مساهمة فعالة في إثراء هذا المجال الحيوي و أن يكون محفزا لبحوثٍ جديدة و نافعة.

 
 

محاضرة عن الهوية الإلكترونية

12 Jun

سأقوم الليلة – بإذن الله – بإلقاء محاضرة بعنوان: Concept of Digital Identity and Identity Management ضمن فعاليات اللقاءات الدورية لمجموعة (Riyadh Geeks).

اللقاء سيكون عند الساعة الثامنة و النصف مساءً، في مبنى مجموعة بادر في حي النخيل بالرياض.
الحضور مجاني لكل المهتمين.

 
 

لقاء مطوَّل مع القناة السعودية الثقافية

27 May

سأكون ضيفا على برنامج (خارج الحدود) على القناة السعودية الثقافية غدا السبت (28-05-2011م) في حوار مطوَّل للحديث عن تجربتي الأكاديمية..

 

اللقاء سيبث عند الساعة التاسعة مساءً و لمدة ساعة كاملة.. و سبق أن تم تصويره في منزلي مع الإعلامي نايف المالكي..
أرجو أن ينال استحسانكم و تجدون فيه ما يفيد.

 
 

جامعة بوردو الأمريكية تُدَرِّس بحثين من أبحاثي السابقة

15 May

اختارت جامعة بورود الأمريكية (Purdue University) بحثين من أبحاثي السابقة  في مجال أمن المعلومات ليتم تدريسهما كجزء أساسي ضمن منهج إحدى المواد المتخصصة لطلاب الماجستير هناك للسنة الدراسية المنصرمة 2010م.
البحثان اللذان وقع الاختيار عليهما سبق و ان نشرا في مؤتمر دولي و مجلة علمية محكمة و هما:

• Improving the Security of CardSpace, EURASIP Journal on Information Security, Volume 2009 (2009), Article ID 167216, 8 pages, oi:10.1155/2009/167216.
• Addressing privacy issues in CardSpace, in: Proceedings of IAS’07, Third International Symposium on Information Assurance and Security, Manchester, UK, August 2007, IEEE Computer Society (2007), pp.285-291.

و قد تم تدريسهما ضمن منهج مادة CS 590: Cloud Systems for Blind and Hearing Impaired إحدى مواد برنامج الماجستير التي تقدمها كلية علوم الحاسب في الجامعة.

سبق أيضا أن تمت الاشارة الى جوانب من أبحاثي السابقة في جامعة لندن (Royal Holloway, University of London) في منهج مادة IY5601: Application and Business Security Developments التي تدرس ضمن برنامج ماجستير أمن المعلومات في الجامعة.

أشكر جامعة Purdue و جامعة Royal Holloway, University of London و الصحف المحلية التي قامت بتغطية الخبر:

- صحيفة الاقتصادية، إضغط هنا.
- صحيفة الحياة، إضغط هنا.

- صحيفة الجزيرة، إضغط هنا.

 
 

!Myemail.. العالم يتغير

12 May

[ مقال في جريدة الرياض: إضغط هنا. ]

قبل أيام قليلة دشنت الحكومة الماليزية النسخة التجريبية النهائية من مشروعها الجديد (Myemail (myemail.my. هذا المشروع، في حال نجاحه، سيغير حتما مفاهيم التواصل في المنطقة بل ربما حتى في العالم!

فكرة المشروع بإختصار شديد تتمحور حول بناء نظام بريد إلكتروني خاص للتواصل مع الحكومة الماليزية فقط. بحيث يمكن لكل مواطن ماليزي جاوز الثمانية عشر عاما، بعد التحقق من هويته بشكل دقيق (بإستخدام بصمة الإصبع)، أن ينشئ حسابا فيه ليكون وسيلة آمنة و رسمية للتواصل مع الحكومة و الاستفادة من تطبيقات الحكومة الإلكترونية هناك.

قامت بتنفيذ المشروع الشركة الماليزية Tricube Berhad بالتعاون مع شركة Microsoft بإشراف و رقابة من الحكومة الماليزية من خلال منظماتها ذات العلاقة، و يتوقع أن تتجاوز تكلفته الإجمالية الخمسين مليون رينجت ماليزي (63.5 مليون ريال تقريبا) تكفلت بها كاملة الشركة الماليزية المنفذة.

أهمية المشروع – كما آراها – تتلخص في 4 نقاط هامة جدا:

1- السرية و الأمن:

جميع الرسائل داخل نظام البريد الإلكتروني ستكون مشفرة أثناء التراسل و الحفظ مما سيحفظ سرية المعلومات و البيانات المتراسلة.

2- التحقق:

على عكس البريد الإلكتروني العادي، يتم التحقق من هوية مالك الحساب بشكل شخصي و دقيق، مما سيضمن للحكومة إلى درجة كبيرة أن متلقي البريد هو فعلا الشخص المطلوب. أيضا على مستوى إدارة الهوية، ربما سيتم التعامل مع عنوان البريد الإلكتروني للمواطن الماليزي مستقبلا تماما كما يتم التعامل حاليا مع رقم بطاقة الأحوال في المملكة العربية السعودية، مثلا، كمعرِّف رسمي معتمد.

3- خدمات تقنية إضافية:

ستتم الإستفادة من هذا المشروع في تطوير خدمات تقنية خصوصا فيما يتعلق بتطبيق الحكومة الإلكترونية. على سبيل المثال، سيتم توفير خدمة تسجيل الدخول المفرد (Single Sign-On) لمستخدمي النظام، فبمجرد تسجيلك الدخول بنجاح لحسابك في نظام البريد الإلكتروني، سيمكنك أثناء نفس الـ session أن تزور مواقع حكومية مختلفة و تستفيد من تطبيقاتها دون الحاجة إلى أن يتم التحقق من هويتك لتسجيل الدخول مرة أخرى في كل موقع حكومي تقوم بزيارته.

4- فوائد إقتصادية:

بحسب الشركة التي أدارت المشروع، ستوفر الحكومة الماليزية ما يقارب الـ 50% من قيمة ما تنفقه على الورق و خدمات البريد العادي التي تستخدمها حاليا في التواصل مع المواطنين. على الرغم من أن الحكومة ملتزمة بدفع مبلغ 50 سنتا (63.5 هللة تقريبا) ماليزيا للشركة المنفذة عن “كل” رسالة تقوم بإرسالها لكل مواطن.

.

من المهم أن أشير هنا إلى أن هذا النظام يجب أن لا يستخدم و بأي حال من الأحوال في أي مراسلات شخصية بين المواطنين حفاظا على خصوصيتهم حتى و إن كانت الرسائل مشفرة. إلا أن المواصفات المنشورة للمشروع لم توضح فيما إذا كان سيسمح للمواطنين للتواصل فيما بينهم بإستخدام نظام البريد الإلكتروني الخاص بالتواصل مع الحكومة. أيضا فيما يتعلق بجمع و تدقيق بصمات الأصابع، يجب أن يتم ذلك حصرا عبر جهات حكومية موثوقة، فهذه البيانات الحيوية هي أكثر البيانات خصوصية لأي مواطن و يجب الحرص و بشده على سريتها و الحفاظ عليها.

المشروع الذي بدأ العمل فيه منذ يونيو 2010م يهدف إلى أن تصل نسبة الماليزيين الذين تجاوزا الثمانية عشر عاما و يملكون حسابا في نظام البريد الإلكتروني الخاص بالتراسل مع الحكومة إلى 100% في العالم 2015م!

قد تبدو نسبة طموحة بشكل فيه بعض المبالغة للبعض، إلا أني و بحكم اهتمامي بمجال الهوية الإلكترونية و اطلاعي على تجربتهم الرائدة في مجال الهوية الوطنية “الذكية” (حيث عملت هناك و في الشركة المنفذة لمشروع الهوية الإلكترونية الذكية لعدة أشهر) أعرف تماما أن الماليزيين قادرون على تحقيق هذه النسبة خلال الأربعة أعوام المقبلة!

ختاما، يبدو أن فكرة أن تدفع الحكومة 50 سنتا ماليزيا عن كل رسالة تقوم بإرسالها لكل مواطن عبر النظام أثارت عدد كبير من الماليزيين الذي يرون في ذلك هدرا للمال العام، فقاموا بإنشاء صفحة الكترونية (ohmy.my) بنفس تصميم صفحة المشروع تماما، لكن بمحتوى يحذر من المشروع و الجهة المنفذه له. لكن مدير المشروع رد على هذه الانتقادات بتذكيره بحجم التوفير الحكومي المتوقع بعد تفعيل المشروع خصوصا و أن الحكومة الماليزية لم تدفع سنتا واحدا في تنفيذ المشروع.

 

الموقع الأصلي للمشروعmyemail.my  (يمين)، و موقع myoh.my (يسار)

 
 

هل تم احتكار ‘علم’ أمن المعلومات في السعودية؟

21 Jan

أعرف مسبقا أن التطرق لمثل هذا الموضوع ربما يشوبه بعض الاستعجال؛ سيما و أن علم أمن المعلومات لا يزال يحبو في مراحله الأولى، و تطوره في المملكة العربية السعودية بحاجة الى وقت طويل و تراكم مدروس للخبرات..

إلا أن ما دفعني لكتابة مثل هذا الموضوع هو ما لمسته من ممارسات هي أقرب للاحتكار لهذا العلم و من قبل جهات و أشخاص هم في غالبيتهم غير متخصصين تخصصا أكاديميا في هذا المجال. و بات غير واحد (في السعودية بالتحديد) يدعي وصايته على هذا العلم و بل ربما حتى على المتخصصين فيه، بشكل يدعو للسخرية تارة و يدعو للحزن تارة أخرى على ما آلت إليه الأوضاع في مجتمع كان قدره أن لا ينعم بشئ من صور الانفتاح الاقتصادي إلا ان يمارس الاحتكار عليه في كل شئ.. بدءا من العرض التلفزيوني لمباريات منتخبه الوطني و وصولا إلى مصادر العلوم الأكاديمية النادرة..

علم أمن المعلومات، كباقي أفرع العلم الأخرى، يجب أن يقود السعي في تطويره أكاديميون و خبراء متخصصون.. من خلال البحث الأكاديمي، و الإشراف على التعليم و التدريب المنهجي، و الظهور الإعلامي المقنن، و نشر الوعي المعرفي بالطرق الأكاديمية السليمة، و كتابة المقالات المتخصصة.. الخ.
المتخصص الأكاديمي في أمن المعلومات.. هو كالمتخصص الأكاديمي في أي علم دقيق آخر.. يجب أن يكون حاملا لشهادة أكاديمية متخصصة في هذا المجال (بكالوريوس – ماجستير – دكتوراة).. أو على الأقل أن يكون باحثا أكاديميا خبيرا فيه.. لا يكفي أن يحمل شهادة في علوم الحاسابات أو نظم المعلومات أو الشبكات مثلا.. أو أن يكون درس مادة أو اثنتين في هذا المجال ليطرح نفسه كأب روحي لهذا التخصص!

فمن يحمل شهادة في (الطب البشري).. لا يطرح نفسه كمتخصص في جراحة الأعصاب! ..
عليه أولا أن يدرس و يمارس هذا المجال (أي جراحة الأعصاب) قبل أن يسمي نفسه كذلك!

و أنا هنا أتحدث عن أمن المعلومات كعلم أكاديمي صرف.. و لا أقصد الممارسات التجارية أو الأطروحات الإعلامية العائمة، ولا حتى المهارات التطبيقية في هذا المجال.. فهذه من الوارد بطبيعة الحال أن يتميز فيها مهمتون و ممارسون (غير أكاديميين).

و من المثير للدهشة أن تشاهد القدرة الفائقة لغير المتخصصين الأكاديميين على إبراز اسمائهم كخبراء أكاديميين في أمن المعلومات و بشكل مبتكر.. فمنهم من يسمي نفسه “إستشاري” أمن معلومات (على وزن إستشاري أنف و أذن و حنجرة).. و منهم من يسمي نفسه “أخصائي” أمن معلومات (على وزن أخصائي عيون).. إلى غيرها من أساليب ليست بالسهلة حقيقة.. كمحاولة جمع أكبر قدر ممكن من الشهادات التجارية أو التي تمنح من منظمات غير أكاديمية ليتم “صفها” أسفل كل رسالة إلكترونية يقوم بإرسالها.. الخ.

و سأختم بهذه القصه التي ربما تعطيكم تصورا عما يحدث..
تلقيت دعوة شخصية في الأسبوع الماضي من البروفيسور الأمريكي (راج شارمان).. أشار فيها إلى انه تم الإطلاع من قبل لجنة علمية في أمريكا على بعض أوراقي البحثية (و التي حددها بعناوينها و سنوات نشرها).. و أنهم – بناءا على ذلك – قرروا اختياري من ضمن مجموعة قليلة من المتخصصين في مجال (الهوية الإلكترونية) للمساهمة في كتابة كتاب سيكون عنوانه (Digital Identity and Access Management: Technologies and Frameworks)، و ذلك كجزء من خطة الرئيس الأمريكي (باراك أوباما) لمراجعة سياسة الفضاء السايبيري (Cyberspace Policy Review)..

و قبل أن أشرع بالرد على رسالة البروفيسور شارمان لأشكره و لجنته على حسن ظنهم بي، و احترافيتهم في مجال البحث الأكاديمي.. تذكرت أمرا أطرقت معه متعجبا لوهلة..

كنت قد قمت قبل عامين تقريبا بمراسلة واحدة من كبريات الصحف الملحية في السعودية.. لأطلب نشر مقالة أحسست أنه من واجبي أن أسعى في نشرها للتحذير من خطر (مدقق الأخطاء الإملائية في شريط جوجل) و الذي سبق أن تحدثت عنه في هذه المدونة..
ليأتيني الرد بعد ثلاثة أشهر (نعم.. ثلاثة أشهر!).. من المشرف على الصفحة التقنية في تلك الجريدة.. بالرفض.. و ذلك بدعوى أنه يجب أن يكون لي رصيد كبير من المقالات المنشورة كي يتم نشر مقالتي.. علما بأن تلك الجريدة كانت تنشر مقالات لطلاب في المرحلة الثانوية!
و بالمناسبة.. هذا الصحافي الذي رفض مقالتي.. كان في وقتها.. يحمل شهادة الدبلوم في تطبيقات الحاسب.. لكني لن أتفجأ كثيرا لو عرفت أنه أصبح الآن – و بعد سنتين فقط – يحمل شهادة الدكتوراة عن طريق المراسلة.. لأن هذه - و الشيء بالشيء يذكر - من الوسائل الجديدة للظهور بهيئة المتخصص الأكاديمي..!

 

شكرا..

 

I have passed my viva!

18 Oct

I’m pleased to say that I have passed the Ph.D. oral examination subject to corrections. :)

Many thanks to the examiners: Professor David W. Chadwick and Professor Keith Martin; and of course to my supervisor Professor Chris J. Mitchell.

I’m determined to finish rectifying my thesis in few months, so I’m afraid that my absence of Blogging will continue a bit more.