Waleed Alrodhan’s Information Security Blog مدونة وليد الروضان لأمن المعلومات

Posted: InfoSec News

تم مؤخرا تدشين (مركز التميز لأمن المعلومات) بإشراف من جامعة الملك سعود، و دعم من قبل منظمات خدمية متخصصة و مؤسسات تعليمية ضخمة كجامعات بوردو و جورج ميسون في الولايات المتحدة الأمريكية و العديد من الجامعات السعودية كجامعات الامام و الملك عبدالعزيز و الأمير سلطان و غيرها.
هذا المركز يمثل برأيي نقلةً نوعية في مجال أمن المعلومات في المملكة العربية السعودية، و هو بمثابة اللبنة الأولى في صرح التفوق البحثي في هذا المجال بإذن الله.

يقدم المركز خدمات متعددة، ابتداءا بدعم متخصصي أمن المعلومات و تحفيزهم و المساعدة في توظيفهم و تهيئة مجتمع معرفي خاص بهم، و مرورا بانشاء مركز بحثي متخصص يضم نخبة من الخبراء و الأكاديميين، و ليس انتهاءا بتقديم خدمات استشارية للجهات الحكومية و غيرها. و يرأس المركز الدكتور خالد بن سليمان الغثبر، عضو هيئة التدريس في جامعة الملك سعود و الخبير المعروف في مجال أمن المعلومات.

أنصح و بإلحاح جميع متخصصي أمن المعلومات في المملكة العربية السعودية و باقي دول المنطقة، أن يبادروا بتسجيل عضوياتهم في المركز، لما يوفره المركز من خدمات متميزة لأعضائه تجدون تفصيلا وافيا لها في موقع المركز. و أن يسهموا بنشر موقع المركز و ابلاغ من يعرفوا من متخصصي أمن المعلومات عنه.

ولا أخفيكم ان وجود مركز مماثل في المملكة العربية السعودية كان بمثابة (أمنية) شخصية لم أكن أتوقع أن أراها تتجسد واقعا ملموسا و بهذه الاحترافية و التنظيم قبل سنوات من الآن، فالشكر الجزيل للقائمين على المركز و الداعمين له.

نشرة تعريفية عن المركز: إضغط هـنـا.
موقع المركز: إضغط هـنـا.
للتسجيل: إضغط هـنـا.

Posted: InfoSec News

 أطلعني الأخ العزيز (منصور البصيلي) منذ أيام على قصة طريفة لا تخلو من تجاوزات مزعجة حدثت في بريطانيا قبل ما يقارب الأسبوعين..
فقد قام عميل مستاء من بنك Lloyds الشهير في بريطانيا و يدعى (ستيف جيتلي) ، قام بإختيار هذه الجملة ككلمة مرور للهاتف المصرفي:

 Lloyds is pants

و هذا تعبير بريطاني و يعني أن بنك Lloyds لا يعدو كونه قمامة (أكرمكم لله)!
ستيف اختار كلمة المرور هذه عن تعبئة نموذج فتح الحساب بعد أن خلاف نشب بينه و بين البنك حول بوليصة تأمين اشتراها من البنك.
لكن ما حدث بعد ذلك كان أمرا غير متوقع، فعندما حاول ستيف الاتصال بالبنك لاجراء بعض العمليات المصرفية، تفاجأ بأن كلمة المرور الخاصة به قد تم تغييرها إلى:

 no it’s not

فحاول (ستيف) الاتصال بأحد موظفي خدمة العملاء ليخبره بذلك، ليفاجأ بالموظف يبلغه بأن كلمة المرور التي كان قد اختارها سابقا “لا تبدو مناسبة” و أن أحد موظفي البنك قد قام بتغييرها، و ان كانت كلمة المرور الحالية لا تعجبه، فعليه اختيار كلمة مرور جديده!
تعجب (ستيف) كيف يمكن للبنك تغيير كلمة المرور الخاصة به دون إخطاره، لكنه سأل موظف البنك فيما اذا كان بإمكانه إعادة كلمة المرور السابقة، و كانت الاجابة انه لا يمكنه ذلك، ثم سأل (ستيف) فيما اذا كانت كلمة pants هي المشكلة؟ حيث يمكنه تغييرها إلى rubbish!
و بالطبع تم رفض ذلك، و طلب منه اختيار كلمة مرور بعيدة عن هذا المعنى، فقرر (ستيف) اختيار كلمة المرور التالية:

 Barclays is better

و Barclays هو بنك شهير منافس لـ Lloyds!
ايضا تم رفض ذلك، بحجة ان هناك نظاما جديدا ينص على أن كلمة المرور يجب ان تتكون من كلمة واحدة فقط!
فأجاب (ستيف) بإنه يود إذاً أن يجعل كلمة المرور الخاصة به كلمة “censorship” و تعني “رقابة”!
إلا أن حتى هذه الكلمة تم رفضها، بحجة أن كلمة المرور يجب أن لا تتعدى 6 أحرف!!
الأمر الذي أدى إلى شكوى تقدم بها (ستيف) إلى السلطات المسؤوله في بريطانيا.

البنك أصدر بيانا صحافيا بعد ذلك، اعتذر فيه من السيد ستيف و أكد على أن سياسة البنك ترفض تعديل كلمات مرور العملاء أو حتى الإطلاع عليها دون حاجه ملحة، و أن للعملاء مطلق الحرية في إختيار كلمات المرور الخاصة بهم. كما أكد البنك على أن الموظف الذي قام بتغيير كلمة المرور الخاصة بالسيد ستيف تم فصله من عمله في البنك.
للمزيد حول القصة، إضغط هـنـا.

Posted: InfoSec News

دخلت جوجل في حرب تصريحات و جدالات كبيرة الأسبوع الماضي مع مجموعة من المهتمين بأمن المعلومات بسبب المتصفح الجديد لجوجل Google Chrome..
و السبب كان شروط الاستخدام التي وضعتها جوجل، و التي يلتزم بها كل مستخدم لمتصفحها الجديد. ففي إحدى الفقرات نجد نصا “مخيفا”:

11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services. By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services. This license is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

الكلام أعلاه يعني أن لجوجل حق التصرف الكامل بـ “كل” ما يمر عبر متصفحك..
و ذلك بإعتبار Chrome يمثل خدمه من خدمات جوجل!
و هذا يشمل بالطبع معلوماتك الشخصية و الخاصة و السرية، بالإضافة إلى نتاجك الفكري من نصوص و رسوم و صور.. الخ
و هذا النص، أبسط ما يقال عنه أنه “كارثة”!

طبعا جوجل قامت بإلغاء هذه الفقرة في الاسبوع الماضي (اضغط هـنـا)، و برر المسؤولون في جوجل وجود هذه الفقرة ابتداءا بأنه كان من باب “السهو”!!
فشروط الاستخدام لجميع خدمات و منتجات جوجل هي شروط موحدة، لذا يبدو أنه تم “نسيان” الغاء هذه الفقرة!
و أنا هنا أطرح تساؤلا بسيطا على المسؤولين في جوجل..
هل يمكنني أن أستغل شعارهم تجاريا، و من ثم أبرر ذلك بأني “نسيت” الفقرة التي تؤكد على أن شعار جوجل هو ماركة تجارية مسجلة؟
خصوصية مستخدمي الانترنت بدأت “تتلاشى” في ظل وجود خدمات مثل خدمات جوجل “المغرية”، و التي تخفي وراءها مؤسسة ضخمه “متعطشة” لأي معلومة عن أي شي!

Information is power.. power is money!

Posted: InfoSec News

Apologies for the long absence, I suffered some busy and hard-going days!
I’ll be Blogging as frequent as before if not more!

………………………….

Good news for the Blog members, now you can use CardSpace to log-in!
CardSpace is one of the most prominent claim-based identity management solutions, and it mitigates the reliance on “passwords” to far extent!
Yeah it belongs to Microsoft.. but it is a quite good solution!

To use CardSpace, you have to click on the CardSpace logo shown below in the log-in page.
And of course you must possess a CardSpace agent component on your machine (it comes with Vista). If you don’t have it, you can get one freely from Microsoft’s website.

The Blog accepts self-issued cards with email verification.

I believe this Blog is the first Arabic website that adopts CardSpace!

Posted: InfoSec News

قبل اسبوع تقريبا، حظيت بشرف اللقاء مع أحد أشهر و أكبر الايقونات في عالم أمن المعلومات بشكل عام، و التشفير بشكل خاص.
ففي ردهات المؤتمر الأول لخريجي مجموعة أمن المعلومات في كلية هولوي الملكية، دار بيني و بين Whitfield Diffie حوار مطوّل حول بعض جوانب أمن المعلومات و أسعدني كثيرا أن أعرف تصوارته حول بعض الجوانب في هذا المجال.

Whitfield Diffie كان أول من تحدث - مع زميله Martin Hellmann - عن إمكانية التشفير و فك التشفير بمفتاحين مختلفين في ورقته الشهيرة جدا في العام 1977م و التي تحدثت عنها غير مره في هذه المدونة. مؤسسا بهذا الاكتشاف لعهد جديد من التشفير و أساليبه (كالـ PKI)، التي فتحت الباب على مصراعيه لعالم ضخم من التطبيقات الآمنة في العالم.
و أيضا، هو من طور العديد من برتوكلات التشفير المهمة جدا (كالـ DHKE) و التي تعتمد عليها بشكل حيوي معظم تطبيقات التشفير في الانترنت (كالـ SSL)..
و هو يشغل حاليا منصب نائب رئيس شركة Sun المعروفة.

تحدثنا عن أمور مختلفة، فهو مثلا يرى أن الثورة الهائلة في مجال تطوير مواقع الـ Web 2 ستنتهي قريبا!
و أن عهد التكسب من مواقع الانترنت التي تبدأ بدعم بسيط أو ما يعرف بالـ web startups، سيزول في أقل من عشر سنوات!

تحدثنا أيضا عن الـ Quantum Cryptography، و بحسب رأيه فإنها ليست من أساليب التشفير ولا يجب ان تسمى كذلك!
فالتشفير برأيه يجب أن يكون عملا مستقلا و أن لا يعتمد على وسيلة نقل الرسالة، الأمر المنتفي في حالة الـ Quantum Cryptography حيث يتم الاعتماد على خصائص الضوء في نقل الرسائل.
و بالمناسبة ضحك كثيرا حينما سألني ان كنت أعرف أول من أسس للـ Quantum Cryptography و أجبته بالنفي، حيث أخبرني أن أول من أسس لها كان Stephen Wiesner، لكن نجمه لم يسطع لأن شهرة والده Jerome Wiesner الذي كان رئيسا لـ MIT كانت تشتت هالته الاعلاميه عندما يذكر اسمه. و أخبرني أن Stephen هو من أخبره ذلك بنفسه و بإمتعاض!

و الحديث عن الـ Quantum Cryptography قادنا إلى الحديث عن الـ Quantum Computing، و كان رأيه (و الذي أوافقه عليه بالمناسبة) أن مثل هذه التطبيقات لن ترى النور بشكل حقيقي قبل نهاية القرن الحالي!

و في موقف طريف، انضم للحديث أحد الأشخاص الذي بادر Diffie بالقول:
هل تعتبرون في Sun أن نظام التشغيل الخاص بكم Sun Solaris منتج ناجح؟.. فأنا لم أستخدمه في حياتي لأغراض شخصيه و لا أعرف أحدا من زملائي سبق له استخدامه لنفس الأغراض!
فأجابه Diffie:
اسمح لي بسؤالك.. هل تستخدم خدمات الموقع Google؟
أجابه:
بالطبع، يوميا!
فرد Diffie:
اذاً انت تستخدم Sun Solaris يوميا!
فكل خوادم Google تعتمد Sun Solaris كنظام تشغيل أساسي!
و أردف: في عالم اليوم، لا يجب أن تمتلك المنتج لتستخدمه… و في عالم الغد ربما حتى لن تملك جهاز حاسب لتستخدمه!! (في إشارة منه لتطبيقات الـ Grid Computing)

———

ختاما، أود أن أعتذر من كل زوار المدونة الكرام عن هذا الانقطاع الطويل عن الكتابة. سأحاول جاهدا أن أعاود الكتابة في المدونة و بشكل مستمر في القريب العاجل.

Posted: InfoSec Articles

تلقيت قبل أيام رسالة كريمة تضمنت شهادة أعتز بها من سعادة المستشار (محمد محمد الألفي)، رئيس المحكمة بالقضاء المصري، جاء فيها:
سيادة الاستاذ الفاضل وليد الروضان،
السلام عليكم ورحمة الله وبركاته،
اشكر سيادتكم على الدور العظيم الذي تقوم به في التثقيف المجتمعي من خلال موقعكم العظيم…

و أنا بدوري أشكر سعادة المستشار على ثنائه الكريم و تواصله الجميل، و أرجو من الله أن أكون عند حسن ظنه و ظن الجميع..

في رسالته، أشار سعادة المستشار إلى مؤتمر عالمي سيعقد في القاهرة في الفترة ما بين الثاني إلى الرابع من شهر يونيو القادم.
و للأسف لم أكن أعرف بأمر هذا المؤتمر من قبل، لاسيما أنه يُعنى بجانب مهم من جوانب أمن المعلومات قد يكون الأبرز حاليا، و هو الخصوصية و السرية في الفضاء السايبيري و كيفية حمايتهما قانونيا. و بزيارة سريعة لموقع المؤتمر الإلكتروني، يبدو المؤتمر جيدا حيث أن لجنة المؤتمر تضم نخبة من الأساتذة المعروفين في المملكة المتحدة و غيرها من الدول، و الأوراق البحثية المعلن عنها شملت عناوين تبدو مثيرة للاهتمام.

 للمزيد حول المؤتمر (SPCI2008)، إضغط هـنـا.

الاهتمام المتزايد في العالم العربي بقضايا أمن المعلومات و الخصوصية هو أمر يدعو للتفاؤل بلا شك. لكن هل ستستوعب الأنظمة الجنائية و القانونية العربية و بشكل فعّال قوانين و تشريعات كفيلة بحماية خصوصيتنا و سرية معلوماتنا في الفضاء السايبيري؟ .. ما رأيكم؟

Posted: InfoSec Articles

طابعات الليزر الملونة تخرق خصوصيتنا.. هذه حقيقه قد لا يعرفها الكثير!

فمعظم طابعات الليزر الملونة صممت بحيث تُضمِّن في كل ورقة تقوم بطباعتها بيانات تجسسيه عن هذه الورقة.. أغلب الطابعات التي تعرفها تفعل ذلك.. هذا يشمل على سبيل المثال Canon و Xerox و HP و غيرها (اضغط هـنـا).

ما يحدث هو ان طابعة الليزر الملونة تقوم بوضع مصفوفة من النقاط الصفراء غير المرئية (يمكن رؤيتها في حال تم تعريض الورقة لضوء أزرق) على كل ورقة تقوم بطباعتها.. و هذه النقاط هي بمثابة معلومات يمكن اعادة استقرائها بسهولة و تتضمن رقم الصناعة التسلسلي للطابعة و تاريخ الطباعه و وقت الطباعه!

الهدف من وضع مثل هذه المعلومات على الأوراق.. هو بحسب المصنعين بغرض تسهيل التحقيق في جرائم التزوير.. خصوصا و ان هذه الطابعات تملك قدرة على طباعة أوراق ملونة بجودة عالية جدا.. كما يمكن استخدام هذه المعلومات في بعض عمليات الـ Forensics..

مؤخرا تمت اثارة هذا الموضوع في أوروبا، فتضمين مثل هذه المعلومات في الأوراق المطبوعة يعتبر خرقا لخصوصية المستخدمين بحسب بعض المهتمين في مجال الخصوصية، كما ان هذا العمل يعتبر خرقا للبند الثامن من اتفاقية حقوق الانسان، و ايضا خرقا للبند السابع من ميثاق الحريات و الحقوق الأوروبي.. و يبدو ان قضية قانونية سيتم رفعها قريبا ضد الشركات التي تقوم بذلك و تسوق طابعاتها في أوروبا..

 اذا أخذنا بالاعتبار ان هناك بعض جرائم التزوير التي قد تكشف فعلا باستخدام مثل هذه الأساليب..
قد يكون الحكم على الأمر محير هنا.. لذا اسأل.. هل انت مع أم ضد تضمين معلومات عن الورقة المطبوعه عليها و دون موافقة صاحب الطابعة؟
شخصيا.. انا ضد أي خرق لخصوصية المستخدم و تحت أي تبرير..!

للمزيد من المعلومات حول الموضوع: اضغط هـنـا و هـنـا.

Posted: InfoSec Articles, InfoSec News

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

- Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

- Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

- Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

- OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

- OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

Posted: InfoSec Articles

Last week I presented a paper at NIST’s IDTrust symposium, Gaithersburg, USA.
I have to say that I have got impressed by the good organisation of the conference and the excellent quality of the refereed papers!
Even the attendees list was impressive!

It was a shame that I had to take off so quickly for some ”parenting” reasons!
However, it was a very good opportunity to hook up with researchers and experts in the field of identity management.

N.B. : I’m not that short!
It’s the stand that was quite high!

I want to express my gratitude to the Chair (Kent Seamons) from Brigham Young University, for his support and for the lovely photos he took for me personally!
I also want to thank the Local Arrangements Chair (Sara Caswell) from NIST. And last but no least, many thanks to (Neal McBurnett) from Internet2 and (Carl Ellison) from Microsoft for their kind words and precious contribution.

BTW, refereed papers and presentations slides can be found here.

Posted: InfoSec News

As I used to remind you every year since 2006 –> the ISC2 has published the Information Security Resource Guide for this year. GET A COPY!

To get a copy, click here.

Posted: InfoSec Articles

وصلني عبر البريد الإلكتروني منذ مده مقطع صوتي يبدو أنه تم تداوله كثيرا بين مستخدمي الانترنت، و في المقطع الصوتي يبدو أحد أصحاب الثروات الضخمه مزهوا بثروته و هو يقوم بتسجيل مكالمته مع الهاتف المصرفي لأحد البنوك السعودية ليستعلم عن رصيده…
و انا هنا أستغرب كثيرا من هذا التصرف غير المسئول من هذا العميل!
فبإمكان أي شخص الآن استخدام أي برنامج مما يعرف بالـ Dial tone decoder و هي منتشره بكثره ليعرف رقم الحساب و الرقم السري و ببساطة شديدة!
في الوقت الذي اعرف ان الكثير من مستخدمي الهاتف المصرفي في أمريكا و بريطانيا مثلا يحرصون على ان لا يستخدموا الهواتف العادية ذات النغمة المعروفة خشية أن يكون هناك من يتنصت على المكالمة و يستعيد بعد الأرقام المهمه التي يدخلونها كالأرقام السرية..

و السؤال هو على من تقع المسئولية؟!
على البنك الذي يبدو جليا أنه لم يقم بتوعية عملائه بالمخاطر المتعلقة بالهاتف المصرفي بشكل جيد؟
أم على العميل الذي تصرف بسذاجه كبيرة؟
برأيي أن المسئولية مشتركة هنا، و ان كنت متأكدا انه في حال تم سرقة مبالغ من حساب هذا العميل فسيلقي باللوم كاملا على البنك..

نحتاج كثيرا لتنمية الحس الأمني لدى مستخدمي التقنية في الدول العربية..
للإستماع إلى المقطع الصوتي، إضغط هـنـا.

و أرجو ممن يعرف صاحب هذا المقطع الصوتي، أن يهديه هذا الموقع.
و لمعرفة المزيد حول الـ Dial tone decoder، إضغط هـنـا.

Posted: InfoSec Articles

لاحظت مؤخرا أن أغلب (أو ربما كل) التدوينات هنا جاده، و لا أود أن أقول جافه!
لذلك سأكسر القاعده هذه المره بخبر طريف أضحكني كثيرا في الأسبوع الماضي، حتى لا يتبادر إلى أذهان الزوار الكرام اني لا سمح الله “ثقيل طينه”!

قد شاء الله تعالى أن يكون تخصصي الدقيق، في مرحلة الدكتوراة، في إدارة الهوية الإلكترونية أو ما يعرف بالـ Identity Management.
و هذا المجال بقدر ما يحوي من تعقيدات في مفاهيمه و أنظمته، إلا أني لاحظت أن أغلب متخصصيه يملكون حسا فكاهيا ملفتا، ولا أعرف حقيقة سبب ذلك، لكن يندر أن أحضر مؤتمر أو ورشة عمل لمتخصص في هذا المجال دون أن أضحك مرارا خلال حديثه!
و ما حدث في الأسابيع القليلة الماضية من “حرب إعلامية” بين شركتي Sun و Ping ربما يكون خير شاهد على ذلك!

القصه بإختصار تتمثل في وجود شركتين متنافستين في مجال إدارة الهوية و توحيد الهوية (Identity management and federation)، هما شركتي Sun و Ping..

فـ Sun بموظفيها الـ 35 ألفا، لطالما فاخرت بنظامها الشهير لإدارة الهوية و المسمى Sun Access Manager، و اعتبرته الأفضل في السوق، و هو في الحقيقة من أفضل أنظمة إدارة الهوية.

إلا أن Ping الشركة الصغيرة التي تضم 72 موظفا فقط، أصبحت من أشهر الشركات في مجال إدارة الهوية، بل و اكتسبت زخما هائلا منذ سنتين تقريبا بعد دخولها بمشاريع دمج مع عدة أنظمة لإدارة الهوية مثل Liberty و CardSpace و Shibboleth و OpenID و غيرها، و أثبتت جدارة كبيرة في ذلك.

و يبدو أن Sun بدأت تخشى منافستها الصغيرة جدا Ping، فقد “مَللت” أنا شخصيا من كثرة ما أقرأ من اتهامات يوجهها منسوبي Sun إلى Ping في كل مناسبة، بأن Ping سرقت بعض الأفكار من منتجاتهم.

لكن الوضع تطور دراماتيكيا قبل أسبوعين تقريبا حينما قام Daniel Raskin مدير الإنتاج الشهير في Sun بوضع مقطع فيديو ساخر في مدونته يتهكم فيه من شركة Ping.. في المقطع يظهر موظف شرق آسيوي يحمل اسم Ping و يبدو “أبلها” و مهزوزا، و يقوم دانيال بسؤاله اسئلة متعدده فيها الكثير من التهكم:

Ping بدورها لم تسكت!
فبعد 5 أيام فقط، قام المدير التنفيذي لـ Ping السيد Andre Durand شخصيا بوضع مقطع فيديو في مدونته للرد على Sun، و كان ردا قويا مقتبسا من الفيلم الشهير (300)!

و كان آخر أحداث هذه “المعركة الملحمية” كما يسمونها، قبل أسبوع، حيث قام دانيال مرة أخرى بوضع مقطع فيديو جديد في مدونته، و يبدو فيه يبحث عن السلام مع Ping!

أعرف جيدا أن المتحاربين تجمعهم علاقة ود و احترام متبادل.. فكثير من موظفي Ping سبق لهم العمل في Sun.. و مثل هذه المواجهات الإعلامية هي بالتأكيد من باب الترفيه و المزاح.. لكن لا تخلو بالطبع من رسائل مبطنه!

أنا أيضا أحمل رسالة مبطنه داخل هذه التدوينه، و مفادها: لا تستفزونا نحن - متخصصي إدارة الهوية - فنحن ملوسنين!

Posted: InfoSec News

Microsoft has added a random number generator to the deployed service-pack for Windows Vista. This generator is called Dual_EC-DRBG, which is one of three types of random number generators standardised by NIST last year (click here). The generator is not enabled by default, and it’s not clear whether or not the user can enable it!

Adding this specific generator to Vista is somewhat fishy!
Not only because that this elliptic curve based generator is much slower than the other two types, but because it may has a backdoor for the NSA which designed it at the first place!
And I think it’s needless to say what the NSA is and what authority it has..

Bruce Schneier, the Information Security expert, talked about his concerns regarding this issue months ago!

Some of you may ask, how important these generators are anyway?
Well, to answer that, let me borrow Bruce’s words on this:
“Random numbers are critical for cryptography:
for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency. ”

To read Bruce’s article, click here.
For more about the SP1, click here.

Posted: InfoSec News

Now, you can get an e-copy of one of the best Cryptography handbooks legally and absolutely free!

The (Handbook of Applied Cryptography) is available here.

Posted: InfoSec News

صدر اليوم و بشكل رسمي تفصيل لنظام مكافحة جرائم المعلوماتية كما كنت قد طالبت قبل عشرة أشهر تقريبا..
(اضغط هـنـا)..

و تفصيل النظام هو فيه مجمله جيد جدا، و يحمل أمورا مهمة تعكس اهتماما ملحوظا بهذا الجانب المهم في أي مجتمع متحضر في عالمنا اليوم…
و ان كنت أرى أن هناك أمورا في النظام كان ينبغي أن تصاغ بطريقة اخرى، لكن لا أود أن أكون over-critiquing خصوصا و ان النظام يعتبر وليدا..
و أعتقد أني هنا أتحدث بلسان شريحة كبيرة من المهتمين حين أطالب بأن تتم توعية المحققين و القضاة بشكل جيد في كل ما يتعلق بالأنظمة المعلوماتية المتوفرة.
و على الرغم من أن النظام ينص على أن تساعد هيئة الإتصالات بمتخصصيها في بعض جوانب التحقيق و التحليل و هذا بالطبع أمر جيد، لكن كنت أود أن يتم انشاء جهة جديدة و مستقلة، تكون متخصصه في التحقيق في جرائم المعلوماتية و الـ forensics كما هو الحال في معظم الدول المتقدمه.

و بمناسبة حديثنا عن نظام مكافحة جرائم المعلوماتية، أود أن أكرر مطالبتي بإصدار نظام يهتم بخصوصية المواطنين و يعامل كمرجعية وطنية في كل التعاملات التي تشمل حفظ او معالجة معلومات خاصة بالمواطنين أو المقيمين و في كل الجهات الخاصة و العامة.

للإطلاع على ما صدر اليوم، إضغط هـنـا.