RSS
 

Archive for the ‘InfoSec News’ Category

Lloyds is pants!

16 Sep

 أطلعني أحد الأصدقاء منذ أيام على قصة طريفة لا تخلو من تجاوزات مزعجة حدثت في بريطانيا قبل ما يقارب الأسبوعين..
فقد قام عميل مستاء من بنك Lloyds الشهير في بريطانيا و يدعى (ستيف جيتلي) ، قام بإختيار هذه الجملة ككلمة مرور للهاتف المصرفي:

 Lloyds is pants

و هذا تعبير بريطاني و يعني أن بنك Lloyds لا يعدو كونه قمامة (أكرمكم لله)! :mrgreen:
ستيف اختار كلمة المرور هذه عن تعبئة نموذج فتح الحساب بعد أن خلاف نشب بينه و بين البنك حول بوليصة تأمين اشتراها من البنك.
لكن ما حدث بعد ذلك كان أمرا غير متوقع، فعندما حاول ستيف الاتصال بالبنك لاجراء بعض العمليات المصرفية، تفاجأ بأن كلمة المرور الخاصة به قد تم تغييرها إلى:

 no it’s not

فحاول (ستيف) الاتصال بأحد موظفي خدمة العملاء ليخبره بذلك، ليفاجأ بالموظف يبلغه بأن كلمة المرور التي كان قد اختارها سابقا “لا تبدو مناسبة” و أن أحد موظفي البنك قد قام بتغييرها، و ان كانت كلمة المرور الحالية لا تعجبه، فعليه اختيار كلمة مرور جديده!
تعجب (ستيف) كيف يمكن للبنك تغيير كلمة المرور الخاصة به دون إخطاره، لكنه سأل موظف البنك فيما اذا كان بإمكانه إعادة كلمة المرور السابقة، و كانت الاجابة انه لا يمكنه ذلك، ثم سأل (ستيف) فيما اذا كانت كلمة pants هي المشكلة؟ حيث يمكنه تغييرها إلى rubbish! :mrgreen:
و بالطبع تم رفض ذلك، و طلب منه اختيار كلمة مرور بعيدة عن هذا المعنى، فقرر (ستيف) اختيار كلمة المرور التالية:

 Barclays is better

و Barclays هو بنك شهير منافس لـ Lloyds! :mrgreen:
ايضا تم رفض ذلك، بحجة ان هناك نظاما جديدا ينص على أن كلمة المرور يجب ان تتكون من كلمة واحدة فقط!
فأجاب (ستيف) بإنه يود إذاً أن يجعل كلمة المرور الخاصة به كلمة “censorship” و تعني “رقابة”! :mrgreen:
إلا أن حتى هذه الكلمة تم رفضها، بحجة أن كلمة المرور يجب أن لا تتعدى 6 أحرف!!
الأمر الذي أدى إلى شكوى تقدم بها (ستيف) إلى السلطات المسؤوله في بريطانيا.

البنك أصدر بيانا صحافيا بعد ذلك، اعتذر فيه من السيد ستيف و أكد على أن سياسة البنك ترفض تعديل كلمات مرور العملاء أو حتى الإطلاع عليها دون حاجه ملحة، و أن للعملاء مطلق الحرية في إختيار كلمات المرور الخاصة بهم. كما أكد البنك على أن الموظف الذي قام بتغيير كلمة المرور الخاصة بالسيد ستيف تم فصله من عمله في البنك.
للمزيد حول القصة، إضغط
هـنـا.

 
 

!Chrome جوجل من جديد.. هذه المره

13 Sep

دخلت جوجل في حرب تصريحات و جدالات كبيرة الأسبوع الماضي مع مجموعة من المهتمين بأمن المعلومات بسبب المتصفح الجديد لجوجل Google Chrome..
و السبب كان شروط الاستخدام التي وضعتها جوجل، و التي يلتزم بها كل مستخدم لمتصفحها الجديد. ففي إحدى الفقرات نجد نصا “مخيفا”:

11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services. By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services. This license is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

الكلام أعلاه يعني أن لجوجل حق التصرف الكامل بـ “كل” ما يمر عبر متصفحك..
و ذلك بإعتبار Chrome يمثل خدمه من خدمات جوجل!
و هذا يشمل بالطبع معلوماتك الشخصية و الخاصة و السرية، بالإضافة إلى نتاجك الفكري من نصوص و رسوم و صور.. الخ
و هذا النص، أبسط ما يقال عنه أنه “كارثة”!

طبعا جوجل قامت بإلغاء هذه الفقرة في الاسبوع الماضي (اضغط هـنـا)، و برر المسؤولون في جوجل وجود هذه الفقرة ابتداءا بأنه كان من باب “السهو”!!
فشروط الاستخدام لجميع خدمات و منتجات جوجل هي شروط موحدة، لذا يبدو أنه تم “نسيان” الغاء هذه الفقرة!
و أنا هنا أطرح تساؤلا بسيطا على المسؤولين في جوجل..
هل يمكنني أن أستغل شعارهم تجاريا، و من ثم أبرر ذلك بأني “نسيت” الفقرة التي تؤكد على أن شعار جوجل هو ماركة تجارية مسجلة؟
خصوصية مستخدمي الانترنت بدأت “تتلاشى” في ظل وجود خدمات مثل خدمات جوجل “المغرية”، و التي تخفي وراءها مؤسسة ضخمه “متعطشة” لأي معلومة عن أي شي!

Information is power.. power is money!

 
 

Now you can use CardSpace to log-in!

11 Sep

Apologies for the long absence, I suffered some busy and hard-going days!
I’ll be Blogging as frequent as before if not more! ًں™‚

………………………….

Good news for the Blog members, now you can use CardSpace to log-in!
CardSpace is one of the most prominent claim-based identity management solutions, and it mitigates the reliance on “passwords” to far extent!
Yeah it belongs to Microsoft.. but it is a quite good solution! :mrgreen:

To use CardSpace, you have to click on the CardSpace logo shown below in the log-in page.
And of course you must possess a CardSpace agent component on your machine (it comes with Vista). If you don’t have it, you can get one freely from Microsoft’s website.

 

The Blog accepts self-issued cards with email verification.

I believe this Blog is the first Arabic website that adopts CardSpace! 8)

 
 

Whitfield Diffie لقاء جميل مع

31 Jul

قبل اسبوع تقريبا، حظيت بشرف اللقاء مع أحد أشهر و أكبر الايقونات في عالم أمن المعلومات بشكل عام، و التشفير بشكل خاص.
ففي ردهات المؤتمر الأول لخريجي مجموعة أمن المعلومات في كلية هولوي الملكية، دار بيني و بين Whitfield Diffie حوار مطوّل حول بعض جوانب أمن المعلومات و أسعدني كثيرا أن أعرف تصوارته حول بعض الجوانب في هذا المجال.

 

Whitfield Diffie كان أول من تحدث – مع زميله Martin Hellmann – عن إمكانية التشفير و فك التشفير بمفتاحين مختلفين في ورقته الشهيرة جدا في العام 1977م و التي تحدثت عنها غير مره في هذه المدونة. مؤسسا بهذا الاكتشاف لعهد جديد من التشفير و أساليبه (كالـ PKI)، التي فتحت الباب على مصراعيه لعالم ضخم من التطبيقات الآمنة في العالم.
و أيضا، هو من طور العديد من برتوكلات التشفير المهمة جدا (كالـ DHKE) و التي تعتمد عليها بشكل حيوي معظم تطبيقات التشفير في الانترنت (كالـ SSL)..
و هو يشغل حاليا منصب نائب رئيس شركة Sun المعروفة.

تحدثنا عن أمور مختلفة، فهو مثلا يرى أن الثورة الهائلة في مجال تطوير مواقع الـ Web 2 ستنتهي قريبا!
و أن عهد التكسب من مواقع الانترنت التي تبدأ بدعم بسيط أو ما يعرف بالـ web startups، سيزول في أقل من عشر سنوات!

تحدثنا أيضا عن الـ Quantum Cryptography، و بحسب رأيه فإنها ليست من أساليب التشفير ولا يجب ان تسمى كذلك!
فالتشفير برأيه يجب أن يكون عملا مستقلا و أن لا يعتمد على وسيلة نقل الرسالة، الأمر المنتفي في حالة الـ Quantum Cryptography حيث يتم الاعتماد على خصائص الضوء في نقل الرسائل.
و بالمناسبة ضحك كثيرا حينما سألني ان كنت أعرف أول من أسس للـ Quantum Cryptography و أجبته بالنفي، حيث أخبرني أن أول من أسس لها كان Stephen Wiesner، لكن نجمه لم يسطع لأن شهرة والده Jerome Wiesner الذي كان رئيسا لـ MIT كانت تشتت هالته الاعلاميه عندما يذكر اسمه. و أخبرني أن Stephen هو من أخبره ذلك بنفسه و بإمتعاض! :mrgreen:

و الحديث عن الـ Quantum Cryptography قادنا إلى الحديث عن الـ Quantum Computing، و كان رأيه (و الذي أوافقه عليه بالمناسبة) أن مثل هذه التطبيقات لن ترى النور بشكل حقيقي قبل نهاية القرن الحالي!

و في موقف طريف، انضم للحديث أحد الأشخاص الذي بادر Diffie بالقول:
هل تعتبرون في Sun أن نظام التشغيل الخاص بكم Sun Solaris منتج ناجح؟.. فأنا لم أستخدمه في حياتي لأغراض شخصيه و لا أعرف أحدا من زملائي سبق له استخدامه لنفس الأغراض!
فأجابه Diffie:
اسمح لي بسؤالك.. هل تستخدم خدمات الموقع Google؟
أجابه:
بالطبع، يوميا!
فرد Diffie:
اذاً انت تستخدم Sun Solaris يوميا!
فكل خوادم Google تعتمد Sun Solaris كنظام تشغيل أساسي!
و أردف: في عالم اليوم، لا يجب أن تمتلك المنتج لتستخدمه… و في عالم الغد ربما حتى لن تملك جهاز حاسب لتستخدمه!! (في إشارة منه لتطبيقات الـ Grid Computing)

———

ختاما، أود أن أعتذر من كل زوار المدونة الكرام عن هذا الانقطاع الطويل عن الكتابة. سأحاول جاهدا أن أعاود الكتابة في المدونة و بشكل مستمر في القريب العاجل.

 
 

هل بات اعتماد الأجهزة الحكومية على برامج المصادر المفتوحة “ضرورة”؟

30 Mar

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

– Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

– Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

– Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

– OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

– OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

 

ISC2 publishes the 2008 Resource Guide!

21 Feb

As I used to remind you every year since 2006 –> the ISC2 has published the Information Security Resource Guide for this year. GET A COPY!

To get a copy, click here.

 
 

SP1 for Vista contains something fishy!

06 Feb

Microsoft has added a random number generator to the deployed service-pack for Windows Vista. This generator is called Dual_EC-DRBG, which is one of three types of random number generators standardised by NIST last year (click here). The generator is not enabled by default, and it’s not clear whether or not the user can enable it!

Adding this specific generator to Vista is somewhat fishy!
Not only because that this elliptic curve based generator is much slower than the other two types, but because it may has a backdoor for the NSA which designed it at the first place!
And I think it’s needless to say what the NSA is and what authority it has..

Bruce Schneier, the Information Security expert, talked about his concerns regarding this issue months ago!

Some of you may ask, how important these generators are anyway?
Well, to answer that, let me borrow Bruce’s words on this:
Random numbers are critical for cryptography:
for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency.

To read Bruce’s article, click here.
For more about the SP1, click
here.

 
 

Get an e-copy of the (Handbook of Applied Cryptography) for FREE!

03 Feb

Now, you can get an e-copy of one of the best Cryptography handbooks legally and absolutely free!

The (Handbook of Applied Cryptography) is available here.

 
 

صدور تفصيل لنظام مكافحة جرائم المعلوماتيه في السعودية

25 Jan

صدر اليوم و بشكل رسمي تفصيل لنظام مكافحة جرائم المعلوماتية كما كنت قد طالبت قبل عشرة أشهر تقريبا..
(اضغط هـنـا)..

و تفصيل النظام هو فيه مجمله جيد جدا، و يحمل أمورا مهمة تعكس اهتماما ملحوظا بهذا الجانب المهم في أي مجتمع متحضر في عالمنا اليوم…
و ان كنت أرى أن هناك أمورا في النظام كان ينبغي أن تصاغ بطريقة اخرى، لكن لا أود أن أكون over-critiquing خصوصا و ان النظام يعتبر وليدا..
و أعتقد أني هنا أتحدث بلسان شريحة كبيرة من المهتمين حين أطالب بأن تتم توعية المحققين و القضاة بشكل جيد في كل ما يتعلق بالأنظمة المعلوماتية المتوفرة.
و على الرغم من أن النظام ينص على أن تساعد هيئة الإتصالات بمتخصصيها في بعض جوانب التحقيق و التحليل و هذا بالطبع أمر جيد، لكن كنت أود أن يتم انشاء جهة جديدة و مستقلة، تكون متخصصه في التحقيق في جرائم المعلوماتية و الـ forensics كما هو الحال في معظم الدول المتقدمه.

و بمناسبة حديثنا عن نظام مكافحة جرائم المعلوماتية، أود أن أكرر مطالبتي بإصدار نظام يهتم بخصوصية المواطنين و يعامل كمرجعية وطنية في كل التعاملات التي تشمل حفظ او معالجة معلومات خاصة بالمواطنين أو المقيمين و في كل الجهات الخاصة و العامة.

للإطلاع على ما صدر اليوم، إضغط هـنـا.

 
 

(ISC)2 publishes the Hiring Guide!

21 Jan

The (ISC)2 has published recently the Hiring Guide, which I found quite useful..

 

The guide covers some essential subjects that need to be considered before hiring information security professionals such as: crafting a job description, certification requirement, screening, interviewing… etc.

To get the guide, press here.

 
 

!لفك الشفرات تخسر التحدي Colossus آلة

15 Jan

ربما يذكر بعضكم حديثنا قبل ما يقارب السنتين عن مركز Bletchley Park في بريطانيا و دوره في فك شفرات و رموز الألمان خلال الحرب العالمية الثانية و عن زيارتي للمركز، (إضغط هـنـا)..
المركز كان يستخدم جهاز يسمى Colossus لفك الرموز و الشفرات، و هذا الجهاز يعتبر من أقدم الأجهزة الحاسوبية و من أكثرها تقدما في وقته، و استطاع الانجليز بواسطته من فك آلاف الرموز أثناء الحرب العالمية الثانية داخل مركز Bletchley Park..

الجديد هو ما حدث قبل شهرين من تحدي مثير اهتم به معظم خبراء التشفير في العالم بشكل عام و في بريطانيا بشكل خاص..
التحدي يكمن في مسابقة أعادت جهاز Colossus للعمل بعد توقف دام أكثر من 60 عاما!
و التحدي كان يشمل جانبين:

أولا: يقوم فريق من الألمان الذين ساهموا بتشفير رسائل ألمانية أثناء الحرب العالمية الثانية، بتشفير ثلاث رسائل جديدة و بثها على موجات الراديو، و من نفس المركز الذي كانوا يستخدمونه للتشفير في الحرب العالمية الثانية في ألمانيا في مدينة Paderborn الألمانية. مستخدمين نفس طريقة التشفير و الآلة التي استخدموها اثناء الحرب و هي آلة Lorenz SZ42. مع العلم ان الرسائل الثلاث ستكون مقسمة إلى ثلاثة مستويات (صعب – صعب جدا – بالغ الصعوبة)..

ثانيا: يتم التنافس بين جهاز Colossus و جهاز حاسب حديث يستخدم نفس الطريقة في فك التشفير لمعرفة من سيكون الأسرع في فك شفرات الرسائل بعدها التقاطها من موجات الراديو، أجهزة الماضية العتيدة أم حواسيب الحاضر المتطورة!
و قد تم اختيار جهاز محمول بمعالج Pentium II لينافس جهاز Colossus، بإعتبار أن جهاز حاسب محمول بهذه المواصفات يقارب نوعا ما سرعة الـ Colossus..

و من أجل هذا الغرض تم بناء جهاز Colossus جديد، حيث انه لم يتم تصنيع سوى 10 أجهزه منه في السابق، و هي جميعها معطلة، و المشكلة كانت في أن بعض تفاصيل صناعته كانت سرية مما سبب بعض المشاكل لفريق اعادة التصنيع، إلا أنهم في النهاية تمكنوا من صناعة جهاز Colossus جديد..
الصورة في الأسفل هي للسيد Tony Sales الذي ترأس فريق إعادة تصنيع الـ Colossus يقف بجانب الجهاز الجديد، و كان قد سبق له العمل على الجهاز إبان الحرب العالمية الثانية..

و قد كان التحدي، الذي خسره جهاز Colossus بعد أن سبقه جهاز الحاسب المحمول بفك شفرات الألمان..
شخصيا لا أدري لماذا تعاطفت مع جهاز Colossus و وددت لو يكسب التحدي!
لكن ألا تتفقون معي بأنه من “المذهل” أن جهازا تم تصنيعه قبل أكثر من ستين سنه، ينافس جهازا تم تصنيعه قبل عدة سنوات و في عمليات رياضية معقدة!
خبر التحدي من الـ BBC هـنـا، و هـنـا خبر الهزيمة.

 

New Look!

14 Jan

I think that some of you might have got bored with the old look of the Blog…
So here it is.. a new look! 8)

 
 

!بتسريب معلومات المستخدمين Google تدعم شكوكي ضد Hushmail

31 Dec

لم يمض على حديثي السابق عن شركة جوجل العملاقة و خدماتها المتعددة شهر واحد، حتى صعقت بما قرأته مؤخرا عما قامت به شركة Hushmail الكندية والشهيرة جدا، و التي تقدم خدمة البريد الإلكتروني المشفر لعشرات الالاف من مستخدمي الانترنت.
Hushmail كانت في السابق تقدم الخدمة عن طريق تشفير الرسائل الالكترونية داخل أجهزة المستخدمين بإستخدام اكواد جافا، لضمان أنه لن يتمكن من قراءة الرسالة الإلكترونية أحد سوى الشخص الذي شفرت الرسالة من أجله، إلا انه في العام 2006م قررت الشركة تقديم الخدمة بتشفير الرسائل في سيرفرات الشركة بدعوى ان أكواد الجافا تسبب ضيقا لدى المستخدمين و تثقل كاهل المعالجات في الحواسب الشخصية. و هذا التحول يعني بطبيعة الحال انه لم يعد الوضع كما كانت تَعدُ الشركة عملائها بأن لن يتمكن أحد من قراءة الرسالة الإلكترونية سوى الشخص المرسل اليه، و ان كانت الشركة ترفض توضيح ذلك.
مؤخرا، تداولت وسائل الإعلام وثيقة صادرة قبل ثلاثة أشهر تقريبا من محكمة المقاطعه في شرق ولاية كالفورنيا الأمريكية، توضح الوثيقة أن شركة Hushmail قامت بتسليم الحكومة الأمريكية رسائل إلكترونية تكفي لملىء 12 اسطوانة مدمجة و تخص ثلاثة حسابات في الـ Hushmail!!
كما أكدت الوثيقة أن هذا الأمر كان قانونيا تحت بنود معاهدة التعاون المشترك بين كندا و الولايات المتحدة الأمريكية.
الحسابات الإلكترونية كما تدعي الوثقية تخص صينيين يعملون في بيع مواد كيميائية محظورة بطرق غير شرعية و أن الرسائل المفضوحة أسهمت في معرفة الكثير عنهم و عن مختبراتهم في أماكن مختلفة تحت الأرض.

 

هنا يبقى السؤال، لما لا تفعل جوجل نفس الشيء؟
ان كانت شركة “كندية” و خدمتها الأساسية هي توفير “الخصوصية” لعملائها، قامت بفضح معلومات هائلة عن عملائها!
أرجو ان يكون في هذا الخبر تدعيم لكلامي السابق، و نفي لتهمة التفكير بنظرية المؤامرة عني.
 للإطلاع على وثيقة المحكمة، إضغط
هـنـا.
و للمزيد حول الموضوع، إضغط
هـنـا.

 

SANS Top-20 Security Risks for 2007

29 Nov

SANS has recently published it’s annual top-20 list for the most targeted vulnerabilities. It’s a good list with somewhat detailed descriptions, you might want to check it out.

 

The list is here, and there is an executive summery here.

 
 

مشروع سجل المواطنين و بطاقة الهوية الإماراتي يحصل على جائزة أمن المعلومات

24 Nov

تحصل مشروع سجل المواطنين و بطاقة الهوية الإماراتي أو ما يعرف بـ Population Registry and Identity Card Program – PRIDC.. على جائزة (أمن المعلومات) التي قدمت في قمة تكنولوجيا الحكومات في تايلاند، و التي حضرها ممثلون من معظم حكومات الدول الآسيوية المتقدمه تكنولوجياً..
المشروع الإماراتي كان متطورا و حاز على إعجاب الجميع، و تحصل على جائزة (أمن المعلومات) بعد منافسه من اكثر من 212 مشروعا مشابهة مقدمة من أكثر من 14 دولة من ضمنها المملكة العربية السعودية و قطر و ماليزيا و الهند و هونغ كونغ..

للمزيد حول الخبر، إضغط هـنـا.
بالمناسبة، كان لي شرف حضور محاضرة لمدير مشروع بطاقات الهوية البلجيكية قبل ما يقرب الشهرين، و بدون مبالغة “أذهلني” المستوى الرفيع الذي تدير به هذه المشاريع هناك!
أتمنى أن أجد فرصة قريبا لأتحدث عن المشروع السعودي الذي يعاني من وجهة نظري المتواضعة من مشاكل حقيقية!