RSS
 

Archive for the ‘InfoSec News’ Category

!كارثة جديدة تتعلق بالخصوصية في بريطانيا

22 Nov

لم يجف حبر الصحف التي تحدثت و بشكل كبير جدا عن حادثة سرقة بيانات أكثر من 45 مليون بطاقة إئتمانية من أحد المحال التجارية الشهيرة في بريطانيا في النصف الأول من العام الحالي (للمزيد إضغط هـنـا)، حتى صعقنا قبل يومين بحادثة أكثر خطورة و أشد وطأة!

فقد استيقظت قبل يومين على رسالة صوتية من البنك الذي أتعامل معه، تدعوني للإتصال بشكل عاجل بالبنك لأمر “هام و خطير”!
و هذا ما قمت به بالفعل، ليتم إبلاغي بأن معلومات بطاقتي قد تمت سرقتها بناءا على تقرير تحصل عليه البنك من الحكومة البريطانية (في نفس الصباح)، و أنه يجب علي إتلاف البطاقة لأنها ألغيت فورا، و أنه يلزمني الإنتظار بضعة أيام للحصول على بطاقة جديدة!
و بعد أن تم التأكد أنه لم يتم استخدام بطاقتي في الشراء دون علمي، انتهت المكالمة دون أن أحصل على إجابات كافية حول الطريقة التي تمت فيها سرقة بيانات بطاقتي..

الأمر المقلق فعلا، هو ما عرفته لاحقا عن حقيقة ما حدث!
فقد تناقلت وسائل الإعلام البريطانية خبر سرقة معلومات أكثر من 25 مليون شخص من إحدى الجهات الحكومية!
بعد أن تم التأكد من سرقة “إسطوانتين مدمجتين” (physically).. تحملان معلومات شخصية و حساسة لأكثر من 25 مليون شخص، من الـ HMRC أو الـ HM Revenue & Customs، و هي جهة حكومية مسئولة عن تحصيل الضرائب و العائدات المنبثقة منها (تعادل ما يسمى بمصلحة الضرائب)..
المعلومات المسروقة تتضمن: رقم التأمين الوطني، الإسم، العنوان، تاريخ الميلاد، معلومات عن الأبوين، معلومات عن الأطفال، و الأهم، المعلومات البنكية كاملة (رقم الحساب و البطاقة و الفرع و الإصدار)!!

الأمر المخجل هو أن الـ HMRC معروفة بإصدار سياسات صارمة تتعلق بأمن المعلومات و تقوم بفرضها على الجهات التي تجمع منها الضرائب حفاظا على صحة و دقة و تأمين المعلومات المالية، لكن على ما يبدو فإن الـ HMRC كانت آخر من يلتزم بسياستها الأمنية!

علي أن أكون منصفا هنا و أثني على الشفافية التي تمتعت بها الحكومة البريطانية في هذا الخصوص، و سرعة التفاعل من البنوك.. لكن في نفس الوقت يبدو الأمر في غاية الخطورة بالنسبة لي!
للمزيد عن الخبر، إضغط
هـنـا و هـنـا.

 
 

Microsoft’s SDL .. Good one!

18 Sep

I’ve just finished reading a book named (The Security Development Lifecycle) which is written by “the” (Michael Howard) and (Steve Lipner) and published by Microsoft Press.

 

The book is good in my opinion, it provides good information and hints about software security and some other topics, form the perspective of well-known Microsoft guys..

To read more about the book, and to get purchasing links, press here.

 
 

BlackBerry أعضاء الحكومة الفرنسية لا يحق لهم استخدام الـ

23 Aug

في اجراء منطقي و مبرر في رأيي.. قامت الـ SGDN و هي الجهة المسؤلة عن الأمن القومي في فرنسا بإستصدار قوانين تحظر على أعضاء الحكومة الفرنسية استخدام تقنية الـ BlackBerry و أي جهاز كفي بشكل قطعي داخل مكاتب الرئيس و رئيس الوزراء!
كما طلبت من جميع أعضاء الحكومة بشكل عام الإمتناع عن استخدام تقنية الـ BlackBerry لأغراض العمل..
و بررت الـ SGDN ذلك بأن هناك خطرا من ان يتم التلصص على المعلومات بواسطه جهات خارجية، و المقصود هو بالطبع أمريكا و بريطانيا بإعتبار أن أغلب مزودي خدمة الهاتف الجوال في فرنسا هي شركة أمريكية أو بريطانية في أصلها..!

 

للمعلومية ليست الحكومة الفرنسية هي الجهة الوحيدة التي تتخذ مثل هذا الإجراء، فهناك بعض الشركات مثل شركة Total النفطيه الشهيرة، تمنع على موظفيها بشكل صارم استخدام تقنية الـ BlackBerry لنفس الأسباب!
للمزيد حول الخبر، إضغط هـنـا.
للمزيد حول الـ BlackBerry، إضغط هـنـا.

 
 

!P2P الكونجرس الأمريكي يشن حملة على تطبيقات الـ

31 Jul

شن الكونجرس الأمريكي حملة قوية ضد تطبيقات الـ P2P .. و هي كما هو معروف برامج لتبادل الملفات بشكل مباشر بين المستخدمين تبعا لطرق و تقنيات مختلفة و محددة.. و اعتبرها تهديدا كبيرا على الأمن القومي الأمريكي!
و كان رئيس لجنة الإصلاح الحكومي في الكونجرس السيد (هنري واكسمان) قد طالب بإستحداث قوانين جديدة للحد مشكلة هذه التطبيقات.. و ايضا اتهم رئيس شركة LimeWire السيد (مارك غورتون) بأنه يشكل خطرا على الأمن القومي الأمريكي بإستمراره في إنتاج برنامج (LimeWire) لتبادل الملفات بين مستخدمي الانترنت..
و يبدو أن مخاوف الكونجرس التي تفجرت مؤخرا من تطبيقات الـ P2P .. تعود إلى الخشية من تسرب معلومات “سرية” من أجهزة بعض المسئولين الحكوميين إلى إرهابيين أو مخابرات دول معادية من خلال برامج تدعم هذه التطبيقات!!
لمعرفة المزيد، إضغط هـنـا.

أنا شخصيا لا أؤيد مثل هذه التطبيقات أبدا و أؤيد استحداث قوانين لمحاربتها.. لكن ليس للأسباب “الساذجة” التي يتحدث عنها الكونجرس الأمريكي!!
قد يكون في الصورة أعلاه.. توضيح لسبب رفضي لتطبيقات الـ P2P.. فهذه التطبيقات تشكل خطرا كبيرا على الحقوق الفكرية للمبدعين في شتى المجالات!!

عموما يبدو أن LimeWire ستدخل حروبا قضائية طاحنه داخل أروقة المحاكم الأمريكية.. كما حدث قديما لـ Napster التي خسرت الكثير و تخلت عن الكثير للخروج من هذه القضايا.. و قد ينتج عن ذلك اغلاق شركة LimeWire و منعها من توزيع برنامجها.. تماما كما حدث مع Gnoozle قبل عامين تقريبا..

————————————————————————————————

 
 

حجم سوق أمن المعلومات في العالم سيبلغ 79 مليار دولار في 2010م

30 Jul

بحسب دراسة قامت بها شركة Global Industry Analysts Inc. فإن حجم سوق أمن المعلومات في العالم سينمو ليصل إلى 79 مليار دولارفي العام 2010م!!

السوق يشمل منتجات أمن معلومات (معدات و برامج) و خدمات أمن المعلومات (كالتدقيق الأمني و المساعدة الأمنية و اختبار الاختراق..الخ).. و بحسب الدراسة فإن أمريكا و أوروبا سيكون لها نصيب الأسد في هذا السوق بنسبة قد تزيد عن الـ 71%، بينما ستنمو السوق بشكل ملحوظ في آسيا..

سوق أمن المعلومات ينمو بشكل مذهل مؤخرا.. و هذا منطقي جدا و المفترض أن يكون متوقعا في ظل الإعتماد المتزايد و السريع على مصادر المعلومات المختلفة لا سيما الرقمية في كل نواحي الحياة البشرية!
لقراءة المزيد، إضغط هـنـا.

————————————————————————————————

 
 

Now..1023 bits number can be factorised!

28 Jul

Last March, researchers in University of Bonn and NTT company in Japan, have developed a mechanism to factorise a well-known 1023 bits number (307 digits).. the number is (2^1039 – 1), and it took them 11 months to do that!

 

This assures again that cryptographic systems based on the hard-to-factor feature of 1024 bits numbers, are not secure!
So if you’re an RSA user for instance, you must not rely on 1024 bits keys anymore.. if you haven’t already, increase the length of your keys..
Are things happen faster than we’ve expected?!
To read more, press
here.

————————————————————————————————

 
 

ISC2 Increases Requirements for CISSP!

24 May

The minimum experience requirement for CISSP will be 5 years of relevant work experience in two or more of the 10 domains of the CISSP CBK, or 4 years of work experience with an applicable college degree or a credential from the (ISC)² approved list. Currently, CISSP candidates are required to have 4 years of work experience or 3 years of experience with an applicable college degree or a credential from the (ISC)² approved list.

It’s getting harder and harder.. but I think it’s worth it since it is a well-known certificate and it’s now a requirement for many security jobs!
To read more, press
here.

———————————————————————————————–

 
 

الجديد هل يكفي؟ Google وعد

08 May

كنت قد تحدثت كثيرا عن هواجسي الأمنيه فيما يتعلق بـ Google و خدماتها المتميزة “دون شك” في الانترنت. و لا أنكر أبد أني لازلت أحمل هذه الهواجس و التخوفات من Google!

أحد الزملاء عاتبني قبل فترة لأني لم أتحدث في هذه المدونة عن وعد Google الجديد (لم يعد جديدا) الذي أطلقته قبل الشهرين تقريبا حول إزالة كافة المعلومات الشخصية لمستخدمي تطبيقاتها المختلفة خلال فترة من سنة و نصف إلى سنتين!
و كان عتاب الزميل أنه كان يجب أن أذكر ذلك من باب الإنصاف!
لكني فعلا لا أرى في ذلك تقدما ملحوظا! .. لماذا تحتفظ Google بمعلوماتي الشخصيه و السلوكية التي لا أريدها أن تحتفظ بها كل هذه المده؟!
هذا ليس تقدما كبيرا أبدا!
و كنت قد قلت لزميلي بأني إن كتبت عن ذلك فسأكتب منتقدا الهالة الإعلامية التي صاحبت هذا الوعد الذي هو في حقيقته لا شيء!
فكان رده: اكتب ما تشاء.. المهم أن تذكر ما حدث و لزوار المدونة الحكم..
و ها أنا أدع الحكم لكم!
لقراءة ما تعهدت به Google، إضغط هنا.

————————————————————————————————

 

!كارثة .. سرقة بيانات أكثر من 45 مليون بطاقة إئتمان

02 Apr

في حادثة شغلت جميع المختصين بأمن المعلومات هذا الأسبوع.. و أقل ما يمكن وصفه بها أنها كارثة حقيقية.. تمت سرقة بيانات أكثر من 45 مليون بطاقة إئتمان، هذه البطاقات هي للمتبضعين من موقع Maxx للملابس على الانترنت، أو حتى للمتبضعين من محلات Maxx في بريطانيا و ايرلندا!!
اضطرت الشركة الأم TJX للإعلان عن تفاصيل هذه الكارثة هذا الأسبوع، و كانت التفاصيل “مخجلة”!!
فالمخترق الذي سرق البيانات كان قد تمكن من الدخول على بيانات الشراء و بطاقات الإئتمان لفترات متقطعه و لمدة تزيد عن الـ 18 شهرا.. قبل أن يقرر سرقة هذه البيانات كاملة!
بحسب الشركة الأم فالسرقة حدث في شهر يناير الماضي.. و على الزبائن الغاء بطاقاتهم على أقل تقدير..
كما أن البيانات المسرقة لم تكن بالضرورة “مشفرة”!!!!!!

تقوم سكتلاند يارد حاليا بالتحقيق في القضية، إلا أن الحقيقة الواضحه هي أن هذه الكارثة سيكون لها تأثيرات سلبية جدا على معدلات الشراء عبر مواقع الانترنت في أوروبا..
و بالمناسبة تعتبر هذه الحادثة ”أكبر” حادثة سرقات بيانات بطاقات إئتمان حتى الآن!
للمزيد، إضغط هنا.

———————————————————————————————–

 
 

Two Out of Three Identity Theft Victims Are Age 40 and Older!

30 Mar

According to a study conducted by the Identity Theft Assistance Center, two out of three identity theft victims are of age 40 and older!!
The study results were:
— 12% of victims were ages 18 to 29
— 19% of victims were ages 30 to 39
— 24% of victims were ages 40 to 49
— 23% of victims were ages 50 to 59
— 22% of victims were ages 60 and over

 

Well, that says something, doesn’t it!?
To read more about the study, please press
here.

————————————————————————————————

 
 

مجلس الوزراء السعودي يقر عقوبات جديدة لجرائم الإختراق و غيرها

27 Mar

قبل قليل.. أصدر مجلس الوزراء السعودي نظاما عقابيا على بعض جرائم المعلوماتية بما فيها الإختراق غيرالمشروع للمواقع في الانترنت. 
بحسب النظام الجديد.. فسيعاقب بالسجن لمده لا تزيد عن السنة و بغرامة لا تزيد عن خمسمائة ألف ريال أو كليهما .. كل من يثبت انه قام بعملية اختراق غير مشروع،
و سيعاقب بالسجن لمدة لا تزيد عن الخمس سنوات أو غرامة لا تزيد عن خمسة ملايين ريال أو كليهما .. كل من يثبت انه قام بإنشاء موقع لدعم منظمة إرهابية.

أسعدني جدا هذا الخبر، و أعتبره خطوة مهمة نحو مزيد من التشريع و التنظيم لمسائل الجرائم المعلوماتية و ما يتعلق بها.
يبقى في القانون بعض النقاط التي أرى أنها بحاجة لتفصيل أكبر .. و اعتقد أن هناك جرائما أخرى أهملت في هذا النظام..  كما أني أتمنى أن تكون الجهات التنفيذية قادرة بشكل احترافي على رصد المخالفات التي نص عليها هذا القانون و لكني لست متأكدا من ذلك.
لقراءة الخبر من موقع وكالة الأنباء السعودية، إضغط هنا.

————————————————————————————————

 
 

Invisible RFID Ink!!

10 Mar

A somewhat new company named Somark Innovations is developing a chip-less RFID ink!
This ink can be used just like the “tattoos”, and it has been tested on cattle and people and proven to be safe…

 

For more details, press here.
I think that we are approaching what is so called “pervasive computing” much faster than we all have thought!!

————————————————————————————————

 
 

!الإسرائيلية تنجز سبقا في تطوير تكنولوجيا التعرف الصوتي Persay شركة

01 Mar

بحسب مجلة High Tech الشهيرة في إسرائيل .. فإن ما أنجزته شركة Persay الإسرائيلية يعتبر سبقا كبيرا في مجال تكنولوجيا التعرف الصوتي (الكلامي) biometric speaker verification technology..
قامت الشركة مؤخرا بطرح أفضل منتج في العالم في مجال الـ biometric speaker verification technology كما يؤكد مدير الشركة!
هذه الشركة التي حظيت بدعم و مساعدة من شركات كبيرة مثل IBM و British Telecom … قامت بإفتتاح فرع جديد لها في الولايات المتحدة الأمريكية لتوزيع منتجاتها في أمريكا الشمالية و ما جاورها.. بعد أن دخلت أسواق أكثر من عشرين دولة مثل Spain, Sweden, Turkey, China, Korea, South Africa, Brazil, Colombia and Australia.

لقراءة الخبر إضغط هنا.

————————————————————————————————

 
 

Quantum Cryptography تنتج أنظمة للـ Toshipa شركة

25 Feb

يبدو أن المستقبل البعيد .. ليس بعيدا بقدر ما كنا نظنه!

كنت قد تحدثت في هذه المدونة عن الـ Quantum Computing و كيف أنه في حال تم التوصل إلى تطبيقه فإن العالم سيتغير بشكل “جذري”!
و تحدثت أيضا عن الـ Quantum Cryptography .. فكرة التشفير و تبادل المفاتيح عن طريق استخدام خصائص الضوء.. هذه الفكرة طبقت فعليا منذ سنوات.. إلا أن الجديد في الموضوع هو أن شركة Toshipa بدأت في إنتاج أنظمة متخصصة لها معتمدة على الألياف الضوئية (البصرية) كوسيط نقل..

 

حقيقة لم أتوقع أن يتم استخدام الـ Quantum Cryptography تجاريا بهذه السرعة…قد يكون هذا فأل خير على الـ Quantum Computing!!

 للمزيد حول الخبر، إضغط هنا.
للمزيد من المعلومات حول الـ Quantum Cryptography، إضغط هنا.
للمزيد من المعلومات حول الـ Quantum Computing، إضغط هنا.

————————————————————————————————

 

NIST released the “Information Security Guide For Government Executives” document

23 Feb

The document is just released last month, you can get by clicking here

It’s only 19 pages, and I think it is worth looking at, especially for the CISOs..

————————————————————————————————