RSS
 

Archive for the ‘InfoSec Articles’ Category

هل تم احتكار ‘علم’ أمن المعلومات في السعودية؟

21 Jan

أعرف مسبقا أن التطرق لمثل هذا الموضوع ربما يشوبه بعض الاستعجال؛ سيما و أن علم أمن المعلومات لا يزال يحبو في مراحله الأولى، و تطوره في المملكة العربية السعودية بحاجة الى وقت طويل و تراكم مدروس للخبرات..

إلا أن ما دفعني لكتابة مثل هذا الموضوع هو ما لمسته من ممارسات هي أقرب للاحتكار لهذا العلم و من قبل جهات و أشخاص هم في غالبيتهم غير متخصصين تخصصا أكاديميا في هذا المجال. و بات غير واحد (في السعودية بالتحديد) يدعي وصايته على هذا العلم و بل ربما حتى على المتخصصين فيه، بشكل يدعو للسخرية تارة و يدعو للحزن تارة أخرى على ما آلت إليه الأوضاع في مجتمع كان قدره أن لا ينعم بشئ من صور الانفتاح الاقتصادي إلا ان يمارس الاحتكار عليه في كل شئ.. بدءا من العرض التلفزيوني لمباريات منتخبه الوطني و وصولا إلى مصادر العلوم الأكاديمية النادرة..

علم أمن المعلومات، كباقي أفرع العلم الأخرى، يجب أن يقود السعي في تطويره أكاديميون و خبراء متخصصون.. من خلال البحث الأكاديمي، و الإشراف على التعليم و التدريب المنهجي، و الظهور الإعلامي المقنن، و نشر الوعي المعرفي بالطرق الأكاديمية السليمة، و كتابة المقالات المتخصصة.. الخ.
المتخصص الأكاديمي في أمن المعلومات.. هو كالمتخصص الأكاديمي في أي علم دقيق آخر.. يجب أن يكون حاملا لشهادة أكاديمية متخصصة في هذا المجال (بكالوريوس – ماجستير – دكتوراة).. أو على الأقل أن يكون باحثا أكاديميا خبيرا فيه.. لا يكفي أن يحمل شهادة في علوم الحاسابات أو نظم المعلومات أو الشبكات مثلا.. أو أن يكون درس مادة أو اثنتين في هذا المجال ليطرح نفسه كأب روحي لهذا التخصص!

فمن يحمل شهادة في (الطب البشري).. لا يطرح نفسه كمتخصص في جراحة الأعصاب! ..
عليه أولا أن يدرس و يمارس هذا المجال (أي جراحة الأعصاب) قبل أن يسمي نفسه كذلك!

و أنا هنا أتحدث عن أمن المعلومات كعلم أكاديمي صرف.. و لا أقصد الممارسات التجارية أو الأطروحات الإعلامية العائمة، ولا حتى المهارات التطبيقية في هذا المجال.. فهذه من الوارد بطبيعة الحال أن يتميز فيها مهمتون و ممارسون (غير أكاديميين).

و من المثير للدهشة أن تشاهد القدرة الفائقة لغير المتخصصين الأكاديميين على إبراز اسمائهم كخبراء أكاديميين في أمن المعلومات و بشكل مبتكر.. فمنهم من يسمي نفسه “إستشاري” أمن معلومات (على وزن إستشاري أنف و أذن و حنجرة).. و منهم من يسمي نفسه “أخصائي” أمن معلومات (على وزن أخصائي عيون).. إلى غيرها من أساليب ليست بالسهلة حقيقة.. كمحاولة جمع أكبر قدر ممكن من الشهادات التجارية أو التي تمنح من منظمات غير أكاديمية ليتم “صفها” أسفل كل رسالة إلكترونية يقوم بإرسالها.. الخ.

و سأختم بهذه القصه التي ربما تعطيكم تصورا عما يحدث..
تلقيت دعوة شخصية في الأسبوع الماضي من البروفيسور الأمريكي (راج شارمان).. أشار فيها إلى انه تم الإطلاع من قبل لجنة علمية في أمريكا على بعض أوراقي البحثية (و التي حددها بعناوينها و سنوات نشرها).. و أنهم – بناءا على ذلك – قرروا اختياري من ضمن مجموعة قليلة من المتخصصين في مجال (الهوية الإلكترونية) للمساهمة في كتابة كتاب سيكون عنوانه (Digital Identity and Access Management: Technologies and Frameworks)، و ذلك كجزء من خطة الرئيس الأمريكي (باراك أوباما) لمراجعة سياسة الفضاء السايبيري (Cyberspace Policy Review)..

و قبل أن أشرع بالرد على رسالة البروفيسور شارمان لأشكره و لجنته على حسن ظنهم بي، و احترافيتهم في مجال البحث الأكاديمي.. تذكرت أمرا أطرقت معه متعجبا لوهلة..

كنت قد قمت قبل عامين تقريبا بمراسلة واحدة من كبريات الصحف الملحية في السعودية.. لأطلب نشر مقالة أحسست أنه من واجبي أن أسعى في نشرها للتحذير من خطر (مدقق الأخطاء الإملائية في شريط جوجل) و الذي سبق أن تحدثت عنه في هذه المدونة..
ليأتيني الرد بعد ثلاثة أشهر (نعم.. ثلاثة أشهر!).. من المشرف على الصفحة التقنية في تلك الجريدة.. بالرفض.. و ذلك بدعوى أنه يجب أن يكون لي رصيد كبير من المقالات المنشورة كي يتم نشر مقالتي.. علما بأن تلك الجريدة كانت تنشر مقالات لطلاب في المرحلة الثانوية!
و بالمناسبة.. هذا الصحافي الذي رفض مقالتي.. كان في وقتها.. يحمل شهادة الدبلوم في تطبيقات الحاسب.. لكني لن أتفجأ كثيرا لو عرفت أنه أصبح الآن – و بعد سنتين فقط – يحمل شهادة الدكتوراة عن طريق المراسلة.. لأن هذه - و الشيء بالشيء يذكر - من الوسائل الجديدة للظهور بهيئة المتخصص الأكاديمي..!

 

شكرا..

 

I have passed my viva!

18 Oct

I’m pleased to say that I have passed the Ph.D. oral examination subject to corrections. :)

Many thanks to the examiners: Professor David W. Chadwick and Professor Keith Martin; and of course to my supervisor Professor Chris J. Mitchell.

I’m determined to finish rectifying my thesis in few months, so I’m afraid that my absence of Blogging will continue a bit more.

 

شـكـر و تـقـديـر

08 Jul

بحكم أن العد العكسي لإقامتي في انجلترا (التي أعشقها كثيرا) قد بدأ..
أود أن وجه رسائل شكر سريعة لبعض المنظمات و الشركات التي أظهرت دعما كبيرا لي خصوصا في الأسابيع القليلة الماضية..
على أوجه رسائل مماثلة للأشخاص قريبا بإذن الله..

 

- أشكر بداية مشروع الهوية الإلكترونية المتميز و التابع للإتحاد الأوروبي STORK على تبنيهم لأحد مشاريعي البحثية بطلب منهم.. و تعاونهم مع جامعة Royal Holloway بغرض تنفيذ هذه المشاريع.. كنت أتمنى حقيقة لو كان بمقدوري الموافقة على العمل معهم في بلجيكا.. أتمنى التوفيق لهم و لجامعتي الأم Royal Holloway.. أيضا لا يفوتني شكر الشركة العملاقة Microsoft على تفهمها و مرونتها و حرصها على تطوير أمن أنظمتها..

- أيضا أتوجه بالشكر لمشروع Concordia في الولايات المتحدة الأمريكية على تواصلهم المستمر و طلبهم التعاون لتطوير أحد مشاريعي البحثية.. و أشكر Liberty Alliance الداعم الكبير لهذا المشروع..

- أشكر أيضا الشركة الرائدة Symantec في المملكة المتحدة على عرضهم الوظيفي السخي الذي تقدموا به قبل أيام.. و أيضا شركة Kaizen في لندن على عرضهم الوظيفي المتميز.. و كل الشركات و المؤسسات التي طلبت التواصل مؤخرا بغرض تقديم عروض وظيفية..

- أشكر كل الجامعات و المؤسسات الأكاديمية في بريطانيا التي زرتها و التي أتيحت لي فرصة تقديم محاضرات فيها.. و بالأخص جامعتي مانشستر و ليفربول جون مورس.. و منظمة محترفي أمن المعلومات في بريطانيا IISP على دعمها الكبير..

- و أخيرا و ليس آخرا..
أتوجه بجزيل الشكر لجامعتي العظيمة Royal Holloway, University of London و بالأخص مجموعة أمن المعلومات (ISG) في قسم الرياضيات.. على كل ما قدمته لي.. من دعم كبير جدا سواءا كان ماديا أو معنويا.. و ما وفرته لي من السبل و الوسائل لأتمكن من تأدية التزاماتي الدراسيه و مهامي البحثية بشكل قل مثيله في الجامعات الأخرى.. ربما يتساءل الكثير عن سبب تصنيف هذا القسم الأول عالميا في مجال أمن المعلومات.. و الجواب لا يمكن أن يكتب أو يقال.. بل يجب أن يرى!
جائزة التفوق في مرحلة الماجستير من رئيس الجامعة كانت أول جائزة مالية كبيرة أحصل عليها نظير تفوقي الدراسي.. و ستبقى ذكرى جميلة ما حييت..
أعرف أني من المؤكد نسيت الكثير من المؤسسات و الشركات للأسف، فذاكرتي لم تعد كما كانت..

!Ta

 

و هوس التخلي عن الخصوصية Google Latitude

17 Jun

جوجل.. من جديد..
و قبل أن أتحدث عن خدمة جوجل الحديثة نسبيا Google Latitude .. أود أن أطرح سؤالين أجد صعوبة في إيجاد إجابات دقيقة لهما..
السؤال الأول: لمَ فقدت خصوصيتنا أهميتها لدينا؟
و السؤال الثاني: هل يوجد هناك سبب واحد يجعلنا نثق بجوجل ثقة عمياء؟
حظا سعيدا في محاولتكم الإجابة على هذين السؤالين!

……..

Google Latitude هي خدمة من جوجل.. تمكنها (كالعادة) من معرفة معلومات في غاية الخصوصية عن مستخدميها. و بشكل أكثر تحديدا، تمكنها من معرفة أماكن تواجدهم الجغرافية في وقت معين!

قبل أن أسهب في الحديث، ربما يساعدكم مقطع الفيديو التالي على فهم الخدمة بشكل أكبر:

[youtube]http://www.youtube.com/watch?v=Q-Oq-9enE-k[/youtube]

هل وصلنا لهذه الدرجة من “السذاجة” ليتم تمرير خدمات مماثلة علينا، لتلقى رواجنا كبيرا بين مستخدمي الانترنت؟!
ما هي الفائدة المرجوة من التخلي عن خصوصيتنا بهذا الشكل؟
ما هو المقابل و هل يستحق أن نتخلى عن أهم معلوماتنا الخاصة؟
أرجو أن لا يرد أحدهم بأنه لا يخشى على خصوصيته حيث أنه يستفيد من خدمات جوجل متخفيا خلف معرفات مستعارة.. تأكد من أن هذا لن يمنع جوجل من معرفتك! (
اضغط هـنـا)

للمرة العاشرة – ربما – أكرر من خلال هذه المدونة، جوجل تعمل على انشاء بنك معلوماتي هائل مستغلة سذاجة مستخدمي الانترنت و تلهفهم على الحصول على خدمات مجانية. يجب أن نكون أكثر وعيا.. و ذكاءا!

 

نعم.. أغلب مستخدمي الانترنت يعتمدون على كلمات مرور سهلة

14 May

بعد عقدين على انشاء أول صفحة ويب.. و بعد سنوات من انتشار تطبيقات الانترنت المختلفة في سائر أنحاء العالم و بتسارع مبهر.. يبدو أن أغلب مستخدمي الانترنت لم يصلوا بعد لمرحلة ‘النضج’ فيما يتعلق بكيفية الحفاظ على خصوصيتهم و أمن معلوماتهم..!

قبل أشهر معدودة تم اختراق الموقع الشهير phpbb.com ..

و قام المخترق حينها بنشر كلمات المرور الخاصة بجميع أعضاء الموقع المسجلين.. ما يقارب 20000 كلمة مرور!

هذه الحادثة المؤسفة تم استغلالها بشكل جيد من قبل بعض المهتمين بمجال أمن المعلومات، حيث قاموا بتحليل كلمات المرور المنشورة في محاولة منهم للوقوف على مدى قوة كلمات المرور التي يتم اختيارها من قبل رواد الشبكة العنكبوتيه..
أحد هؤلاء كان (روبرت غراهام)، الذي قام بتصميم نظام برمجي لتحليل كلمات المرور المنشورة..
و بكل بساطه.. يمكن وصف نتيجة التحليل بأنها ‘مخيبة للأمال’ بشكل كبير!

فما يقارب الـ 65% من كلمات المرور تم العثور عليها في قواميس اللغة الانجليزية..
بل أن 94% منها تم العثور عليه في قواميس كلمات المرور التي يستخدمها المخترقون عادة..
أتمنى عليكم قراءة مقالة السيد روبرت بأنفسكم، وربما أن بعض الاحصائيات الواردة فيها ستصدمكم.. فعلى سبيل المثال، أكثر من 3% من أعضاء موقع phpbb.com قاموا بإختيار كلمة المرور التالية: 123456!
لقراءة المقال إضغط
هـنـا.

و بما ان الشئ بالشئ يذكر.. أشير هنا إلى أن خبير أمن المعلومات المعروف (بروس شناير) كان قد عمل تحليلا مماثلا قبل ثلاث سنوات على كلمات مرور قام بنشرها مخترقون بعد أن أوقعوا بالكثير من مستخدمي الانترنت عبر صفحة وهمية قاموا بتصميمها لموقع MySpace الشهير.. و النتائج بطبيعة الحال لم تكن أكثر إشراقا..
إضغط
هـنـا.

و بمناسبة الاشارة إلى قواميس المخترقين لكلمات المرور (و هي قواميس تحوي أكثر كلمات المرور شيوعا بين مستخدمي الانترنت) ربما يجدر بي وضع مثال عليها..
ربما سمع الكثير منكم بدودة Conficker أو Downadup و التي استهدفت خوادم Windows قبل مدة..
هذه الدودة تعتمد بشكل كبير على قاموس لكلمات المرور تم انشاءه من قبل مطوريها..
هذه ‘بعض’ كلمات المرور في ذلك القاموس كما تم نشرها في مدونة السيد Graham Cluley:

 أتمنى أن لا يفاجأ أحدكم بالعثور على كلمة المرور الخاصة به في القائمة أعلاه! :mrgreen:

يبدو أن جهود نشر التوعية الأمنية بين مستخدمي الانترنت لم تحقق المرجو منها خصوصا و أن أغلب مستخدمي الانترنت هم من صغار السن أو قليلي الحرص.. لذلك أعتقد أن الاعتماد على كلمات المرور كخط دفاع أول و كتقنية تحقق من هوية المستخدم سيقل بشكل ملفت مستقبلا، خصوصا و نحن نشهد ثورة كبير في مجال إدارة الهوية الرقمية.

فكل الحلول التي تم طرحها لتدعيم الاعتماد على كلمات المرور (كالمطالبة بعدد معين من الأحرف و الأرقام، أو مطالبة المستخدم بتغير كلمة المرور الخاصة به كل فترة معينه.. الخ) ثبت أنها لا تجدي و أنها مجرد محاولات لتجميل تقنية قديمة لا تنفع في وقتنا الحاضر..

رأيكم؟

 

هل نحن فعلا بحاجة إلى.. حاسة سادسة؟

18 Mar

قبل أيام و في المؤتمر ‘الشهير’ TED.. و الذي يُعنى بعرض الأفكار المبهرة و المتقدمة في مجال التكنولوجيا..  تم الكشف عن مشروع كبير الذي يتم العمل عليه في معامل MIT..
مشروع يهدف إلى تطوير ‘حاسة سادسة‘.. تمكنك من معرفة أمور كثيرة جدا حلو كل ما تراه و بشكل فوري..!

لن أطيل في الحديث عن هذا المشروع.. بل أتمنى عليكم مشاهدة مقطع الفيديو في الأسفل.. فذلك سيوضح لكم فكرة المشروع بشكل جيد..

[youtube]http://www.youtube.com/watch?v=mUdDhWfpqxg[/youtube]

ما شاهدتموه للتو.. هو الإعلان عن فكرة في ‘غاية’ الخطورة في رأيي المتواضع!

شاهدوا تطبيق هذي الفكرة كما يظهر في الدقيقة 6:46 مثلا..
و من ثم تخيلوا الكم الهائل من المعلومات المتعلقة بك و التي يمكن أن يتحصل عليها أي شخص يقابلك للمرة الأولى.. يكفيه فقط أن يعرف أسمك مثلا.. ليجري عنك بحث فوري في محركات البحث و يعرف عنك العديد الأمور التي ربما قد تكون انت نفسك قد نسيتها (مثلا لو ان اسمك ظهر في قائمة الناجحين في إمتحانات الثانوية العامة.. و كانت هذه القائمة قد نشرت في موقع إحدى الجرائد.. فمعلومات مثل: متى تخرجت و من أية مدرسة و ما هو مسارك (علمي – أدبي) و في أي مدينة و ما هو تقديرك.. الخ،  كل هذه المعلومات و ربما غيرها ستكون متوفرة لمن يتحدث معك و بشكل فوري.. قـِس على ذلك)!

تخيلوا معي فيما لو تبنــَّت شركة “جوجل” مثلا هذا المشروع و استحوذت عليه..
(بالمناسبة: النظام الشهير (Google Earth) كان في أساسه مشروعا في معامل MIT)..
هل بإمكانكم تصور حجم المعلومات التي ستعرفها “جوجل” عنك؟!

لن يقتصر الأمر حينها على معرفة المواقع التي زرتها.. و الكلمات التي بحثت عنها.. و محتوى رسائلك الإلكترونية.. الخ.
بل سيتعدى ذلك ليصل إلى معرفة تفاصيل حياتك اليومية خارج الشبكة العنكبوتية!

معلومات مثل: مـَن مـِن أصدقائك قابلت اليوم.. ماهي الشوارع التي سلكتها و الأماكن التي زرتها (هذا الأمر بدأ يحدث فعلا: إضغط هـنـا).. ماذا شاهدت في الخارج.. مـَن هاتفت.. لن تبقى معلومات خاصة!

لماذا نصر على ‘تسهيل’ حياتنا اليومية بهذه الصورة المبالغ فيها؟!
لماذا نتجاهل أهمية الخصوصية مقابل الحصول على خدمات ليست ضرورية؟!

أعرف أن أفكارا كـ ‘الحاسة السادسة’ قد تبدو جميلة و مبهرة.. و هي كذلك ربما.. لكن لنتذكر دائما أن (الخدمات المتطورة و الميسرة) و (الخصوصية و أمن المعلومات) هما طرفي ميزان.. و يجب دائما أن نعمل على توازن الطرفين.. يجب أن لا نتخلى عن خصوصيتنا إلا مقابل خدمات ضرورية.

ما رأيكم في الموضوع؟

 للمزيد حول TED، إضغط هـنـا.

 

Privacy violation toys!

05 Feb

I have talked before about how easy it is to spy or violate other’s privacy using tools that can be found in markets or even in toy shops!
(press
here and here)

Well, it seems that these stuff are emerging and becoming more sophisticated!

I found out recently about a spying “toy” that’s called Spykee!
This toy is basically a robot that is capable of taking pictures and movies that can be watched via the Internet either in real time or later on. You can even talk with whoever you’re spying on via Skype!

[youtube]http://www.youtube.com/watch?v=DG4nX5NlmcU[/youtube]

This robot would cost around $300, and just imagine how much evil stuff that you can readily do using it!
For further information, press
here. 

…………….

BTW, it seems that you can buy any thing via the Internet these days!
Even if you want to buy a camera belonging to the MI6 (the British equivalent of the CIA) which contains “images of al Qaeda suspects, fingerprints, names, rocket launchers, and missiles inside”!
For more details, press
here.

 

حين تلفظ “الخصوصية” أنفاسها الأخيرة

14 Dec

لطالما ‘ تفاخر ‘ الغرب على باقي أجزاء العالم (ثانيا أو ثالثا)، بأنه يقدس ‘ خصوصية ‘ الأفراد، و أن حرية المجتمع مكانها الراسخ هو في هرم أولوياته.
هذه ‘ الإدعاءات ‘ بدأ وهجها بالخبوت و الخفوت بعد أحداث الحادي عشر من سبتمبر الإرهابية في العام 2001م، حيث تغيرت القوانين و انتهكت الحريات بدعوى محاربة الإرهاب.
و ربما كان من المثير للإستغراب (ولا أقول السخرية) أن تصادر الدول الغربية حريات أفرادها بدعوى حمايتهم من جماعات تريد أن تـَسلب الأفراد أنفسهم هذه الحرية!
فلو كان هدف الإرهابيين هو أن تـُسلب هذه الحرية، فهذا يعني أن هؤلاء الإرهابيين قد انتصروا و بجدارة!

سأخصص الحديث عن أمريكا كمثال تحتذيه الدول الغربية و أنموذج مجتمعي تؤيده..
لن أتحدث عن قوانين ’ الباتريوت ‘ التي سـَلبت قاطني الولايات المتحدة الأمريكية الكثير الكثير من حقهم بالتمتع بدرجة جيدة من الخصوصية، ولا عن فضائح التنصت على مكالمات المواطنين و مراقبتهم.. فحتى ذلك الوقت كنت مازلت مقتنعا بأن الخصوصية في أمريكا مرضت بشدة دون أن تموت..
إلا أنه في رأيي المتواضع، فإن ‘ الخصوصية ‘ في الولايات المتحدة الأمريكية لفظت أنفاسها الأخيرة قبل ما يقارب الأربعة أشهر.

فقبل أربعة أشهر أصدرت وزارة الداخلية الأمريكية وثائق تنظم (سياسة مصادرة الأجهزة الإلكترونية الخاصة بالمسافرين) و التي تنص على أنظمة و تشريعات أبسط ما يمكن أن توصف بها بأنها ‘ تسلطيه ‘ ولا تحترم خصوصية الفرد!
فبحسب الأنظمة الجديدة، يحق للسلطات الأمريكية مصادرة أي جهاز يمكنه حفظ معلومات (كومبيوتر محمول، كفي، آي بود، هاتف جوال.. الخ) من أي مسافر و بدون ايه تهمة مسبقة أو ابداء سبب واضح، و لمدة غير محددة. و ان كان هذا يبدو جائرا، ففي الحقيقة ما ذكرته حتى الآن ليس هو الجزء الأسوأ.
فبحسب الأنظمة الجديدة أيضا، فإن للسلطات الأمريكية الحق الكامل في أن تطلع على محتويات هذه الأجهزة و تنسخها أو تتلفها.. بل و أيضا أن تعطيها لجهات أخرى سواءا كانت حكومية أو حتى جهات خاصة!!

لا أعتقد أن نظاما مثل هذا يحتاج لخبير في الخصوصية لكي يوصم بأنه انتهاك خطير و يهدد خصوصية الفرد. خصوصا و أني أشك كثيرا بأن إرهابيا محتملا سيحمل معه معلومات حساسة على أجهزة إلكترونية في المطار!

ختاما.. أحب أن أؤكد أن وضع نظام لإنتهاك خصوصية الفرد لا يعني بأي حال من الأحوال انتفاء هذا الإنتهاك!
تماما كما يقول الرئيس الأمريكي القادم (اوباما):

!You can put lipstick on a pig, but it’s still a pig

للمزيد حول الموضوع، إضغط هـنـا و هـنـا و هـنـا.

 

Security through obscurity!

07 Nov

I have been involved in many tense (almost violant :mrgreen: ) debates about whether or not security through obscurity works!

As you might know, I strongly believe that in many cases it surely works, and I have talked about this issue long time ago in this Blog. I really don’t want to get through this again; however, I’ve just remembered an article I’ve read in Bruce Schneier’s Blog months ago that talks about the same issue. You might want to read it.


June 18, 2008
Security Through Obscurity
Sometimes security through obscurity works:

Yes, the New York Police Department provided an escort, but during more than eight hours on Saturday, one of the great hoards of coins and currency on the planet, worth hundreds of millions of dollars, was utterly unalarmed as it was bumped through potholes, squeezed by double-parked cars and slowed by tunnel-bound traffic during the trip to its fortresslike new vault a mile to the north.
In the end, the move did not become a caper movie.

“The idea was to make this as inconspicuous as possible,” said Ute Wartenberg Kagan, executive director of the American Numismatic Society. “It had to resemble a totally ordinary office move.”

[...]

Society staff members were pledged to secrecy about the timing of the move, and “we didn’t tell our movers what the cargo was until the morning of,” said James McVeigh, operations manager of Time Moving and Storage Inc. of Manhattan, referring to the crew of 20 workers.
From my book Beyond Fear, pp. 211-12:

At 3,106 carats, a little under a pound and a half, the Cullinan Diamond was the largest uncut diamond ever discovered. It was extracted from the earth at the Premier Mine, near Pretoria, South Africa, in 1905. Appreciating the literal enormity of the find, the Transvaal government bought the diamond as a gift for King Edward VII. Transporting the stone to England was a huge security problem, of course, and there was much debate on how best to do it. Detectives were sent from London to guard it on its journey. News leaked that a certain steamer was carrying it, and the presence of the detectives confirmed this. But the diamond on that steamer was a fake. Only a few people knew of the real plan; they packed the Cullinan in a small box, stuck a three-shilling stamp on it, and sent it to England anonymously by unregistered parcel post.
This is a favorite story of mine. Not only can we analyze the complex security system intended to transport the diamond from continent to continent–the huge number of trusted people involved, making secrecy impossible; the involved series of steps with their associated seams, giving almost any organized gang numerous opportunities to pull off a theft–but we can contrast it with the sheer beautiful simplicity of the actual transportation plan. Whoever came up with it was really thinking — and thinking originally, boldly, and audaciously.

This kind of counterintuitive security is common in the world of gemstones. On 47th Street in New York, in Antwerp, in London: People walk around all the time with millions of dollars’ worth of gems in their pockets. The gemstone industry has formal guidelines: If the value of the package is under a specific amount, use the U.S. Mail. If it is over that amount but under another amount, use Federal Express. The Cullinan was again transported incognito; the British Royal Navy escorted an empty box across the North Sea to Amsterdam — where the diamond would be cut — while famed diamond cutter Abraham Asscher actually carried it in his pocket from London via train and night ferry to Amsterdam.

Press here.

 

مؤتمر عالمي في القاهرة حول أمن المعلومات و الخصوصية

14 May

تلقيت قبل أيام رسالة كريمة تضمنت شهادة أعتز بها من سعادة المستشار (محمد محمد الألفي)، رئيس المحكمة بالقضاء المصري، جاء فيها:
سيادة الاستاذ الفاضل وليد الروضان،
السلام عليكم ورحمة الله وبركاته،
اشكر سيادتكم على الدور العظيم الذي تقوم به في التثقيف المجتمعي من خلال موقعكم العظيم…

و أنا بدوري أشكر سعادة المستشار على ثنائه الكريم و تواصله الجميل، و أرجو من الله أن أكون عند حسن ظنه و ظن الجميع.. :)

في رسالته، أشار سعادة المستشار إلى مؤتمر عالمي سيعقد في القاهرة في الفترة ما بين الثاني إلى الرابع من شهر يونيو القادم.
و للأسف لم أكن أعرف بأمر هذا المؤتمر من قبل، لاسيما أنه يُعنى بجانب مهم من جوانب أمن المعلومات قد يكون الأبرز حاليا، و هو الخصوصية و السرية في الفضاء السايبيري و كيفية حمايتهما قانونيا. و بزيارة سريعة لموقع المؤتمر الإلكتروني، يبدو المؤتمر جيدا حيث أن لجنة المؤتمر تضم نخبة من الأساتذة المعروفين في المملكة المتحدة و غيرها من الدول، و الأوراق البحثية المعلن عنها شملت عناوين تبدو مثيرة للاهتمام.

 

 للمزيد حول المؤتمر (SPCI2008)، إضغط هـنـا.

الاهتمام المتزايد في العالم العربي بقضايا أمن المعلومات و الخصوصية هو أمر يدعو للتفاؤل بلا شك. لكن هل ستستوعب الأنظمة الجنائية و القانونية العربية و بشكل فعّال قوانين و تشريعات كفيلة بحماية خصوصيتنا و سرية معلوماتنا في الفضاء السايبيري؟ .. ما رأيكم؟

 

!طابعات الليزر الملونة تخرق خصوصيتنا

08 May

طابعات الليزر الملونة تخرق خصوصيتنا.. هذه حقيقه قد لا يعرفها الكثير!

فمعظم طابعات الليزر الملونة صممت بحيث تُضمِّن في كل ورقة تقوم بطباعتها بيانات تجسسيه عن هذه الورقة.. أغلب الطابعات التي تعرفها تفعل ذلك.. هذا يشمل على سبيل المثال Canon و Xerox و HP و غيرها (اضغط هـنـا).

ما يحدث هو ان طابعة الليزر الملونة تقوم بوضع مصفوفة من النقاط الصفراء غير المرئية (يمكن رؤيتها في حال تم تعريض الورقة لضوء أزرق) على كل ورقة تقوم بطباعتها.. و هذه النقاط هي بمثابة معلومات يمكن اعادة استقرائها بسهولة و تتضمن رقم الصناعة التسلسلي للطابعة و تاريخ الطباعه و وقت الطباعه!

الهدف من وضع مثل هذه المعلومات على الأوراق.. هو بحسب المصنعين بغرض تسهيل التحقيق في جرائم التزوير.. خصوصا و ان هذه الطابعات تملك قدرة على طباعة أوراق ملونة بجودة عالية جدا.. كما يمكن استخدام هذه المعلومات في بعض عمليات الـ Forensics..

مؤخرا تمت اثارة هذا الموضوع في أوروبا، فتضمين مثل هذه المعلومات في الأوراق المطبوعة يعتبر خرقا لخصوصية المستخدمين بحسب بعض المهتمين في مجال الخصوصية، كما ان هذا العمل يعتبر خرقا للبند الثامن من اتفاقية حقوق الانسان، و ايضا خرقا للبند السابع من ميثاق الحريات و الحقوق الأوروبي.. و يبدو ان قضية قانونية سيتم رفعها قريبا ضد الشركات التي تقوم بذلك و تسوق طابعاتها في أوروبا..

 اذا أخذنا بالاعتبار ان هناك بعض جرائم التزوير التي قد تكشف فعلا باستخدام مثل هذه الأساليب..
قد يكون الحكم على الأمر محير هنا.. لذا اسأل.. هل انت مع أم ضد تضمين معلومات عن الورقة المطبوعه عليها و دون موافقة صاحب الطابعة؟
شخصيا.. انا ضد أي خرق لخصوصية المستخدم و تحت أي تبرير..!

للمزيد من المعلومات حول الموضوع: اضغط هـنـا و هـنـا.

 

هل بات اعتماد الأجهزة الحكومية على برامج المصادر المفتوحة “ضرورة”؟

30 Mar

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

- Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

- Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

- Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

- OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

- OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

 

NIST’s IDTrust’08 .. Good one!

10 Mar

Last week I presented a paper at NIST’s IDTrust symposium, Gaithersburg, USA.
I have to say that I have got impressed by the good organisation of the conference and the excellent quality of the refereed papers!
Even the attendees list was impressive!

It was a shame that I had to take off so quickly for some ”parenting” reasons! :mrgreen:
However, it was a very good opportunity to hook up with researchers and experts in the field of identity management.


N.B. : I’m not that short!
It’s the stand that was quite high!
:mrgreen:

I want to express my gratitude to the Chair (Kent Seamons) from Brigham Young University, for his support and for the lovely photos he took for me personally! 8)
I also want to thank the Local Arrangements Chair (Sara Caswell) from NIST. And last but no least, many thanks to (Neal McBurnett) from Internet2 and (Carl Ellison) from Microsoft for their kind words and precious contribution.

BTW, refereed papers and presentations slides can be found here.

 

!التوعية .. التوعية .. التوعية

18 Feb

وصلني عبر البريد الإلكتروني منذ مده مقطع صوتي يبدو أنه تم تداوله كثيرا بين مستخدمي الانترنت، و في المقطع الصوتي يبدو أحد أصحاب الثروات الضخمه مزهوا بثروته و هو يقوم بتسجيل مكالمته مع الهاتف المصرفي لأحد البنوك السعودية ليستعلم عن رصيده…
و انا هنا أستغرب كثيرا من هذا التصرف غير المسئول من هذا العميل!
فبإمكان أي شخص الآن استخدام أي برنامج مما يعرف بالـ Dial tone decoder و هي منتشره بكثره ليعرف رقم الحساب و الرقم السري و ببساطة شديدة!
في الوقت الذي اعرف ان الكثير من مستخدمي الهاتف المصرفي في أمريكا و بريطانيا مثلا يحرصون على ان لا يستخدموا الهواتف العادية ذات النغمة المعروفة خشية أن يكون هناك من يتنصت على المكالمة و يستعيد بعد الأرقام المهمه التي يدخلونها كالأرقام السرية..

و السؤال هو على من تقع المسئولية؟!
على البنك الذي يبدو جليا أنه لم يقم بتوعية عملائه بالمخاطر المتعلقة بالهاتف المصرفي بشكل جيد؟
أم على العميل الذي تصرف بسذاجه كبيرة؟
برأيي أن المسئولية مشتركة هنا، و ان كنت متأكدا انه في حال تم سرقة مبالغ من حساب هذا العميل فسيلقي باللوم كاملا على البنك..

نحتاج كثيرا لتنمية الحس الأمني لدى مستخدمي التقنية في الدول العربية..
للإستماع إلى المقطع الصوتي، إضغط
هـنـا.

و أرجو ممن يعرف صاحب هذا المقطع الصوتي، أن يهديه هذا الموقع.
و لمعرفة المزيد حول الـ Dial tone decoder، إضغط
هـنـا.

 

!الإعلامية Ping و Sun معركة

10 Feb

لاحظت مؤخرا أن أغلب (أو ربما كل) التدوينات هنا جاده، و لا أود أن أقول جافه!
لذلك سأكسر القاعده هذه المره بخبر طريف أضحكني كثيرا في الأسبوع الماضي، حتى لا يتبادر إلى أذهان الزوار الكرام اني لا سمح الله “ثقيل طينه”! :mrgreen:

قد شاء الله تعالى أن يكون تخصصي الدقيق، في مرحلة الدكتوراة، في إدارة الهوية الإلكترونية أو ما يعرف بالـ Identity Management.
و هذا المجال بقدر ما يحوي من تعقيدات في مفاهيمه و أنظمته، إلا أني لاحظت أن أغلب متخصصيه يملكون حسا فكاهيا ملفتا، ولا أعرف حقيقة سبب ذلك، لكن يندر أن أحضر مؤتمر أو ورشة عمل لمتخصص في هذا المجال دون أن أضحك مرارا خلال حديثه!
و ما حدث في الأسابيع القليلة الماضية من “حرب إعلامية” بين شركتي Sun و Ping ربما يكون خير شاهد على ذلك!

القصه بإختصار تتمثل في وجود شركتين متنافستين في مجال إدارة الهوية و توحيد الهوية (Identity management and federation)، هما شركتي Sun و Ping..

فـ Sun بموظفيها الـ 35 ألفا، لطالما فاخرت بنظامها الشهير لإدارة الهوية و المسمى Sun Access Manager، و اعتبرته الأفضل في السوق، و هو في الحقيقة من أفضل أنظمة إدارة الهوية.

إلا أن Ping الشركة الصغيرة التي تضم 72 موظفا فقط، أصبحت من أشهر الشركات في مجال إدارة الهوية، بل و اكتسبت زخما هائلا منذ سنتين تقريبا بعد دخولها بمشاريع دمج مع عدة أنظمة لإدارة الهوية مثل Liberty و CardSpace و Shibboleth و OpenID و غيرها، و أثبتت جدارة كبيرة في ذلك.

و يبدو أن Sun بدأت تخشى منافستها الصغيرة جدا Ping، فقد “مَللت” أنا شخصيا من كثرة ما أقرأ من اتهامات يوجهها منسوبي Sun إلى Ping في كل مناسبة، بأن Ping سرقت بعض الأفكار من منتجاتهم.

لكن الوضع تطور دراماتيكيا قبل أسبوعين تقريبا حينما قام Daniel Raskin مدير الإنتاج الشهير في Sun بوضع مقطع فيديو ساخر في مدونته يتهكم فيه من شركة Ping.. في المقطع يظهر موظف شرق آسيوي يحمل اسم Ping و يبدو “أبلها” و مهزوزا، و يقوم دانيال بسؤاله اسئلة متعدده فيها الكثير من التهكم:

[youtube]http://www.youtube.com/watch?v=LN8-YZhmLv4[/youtube]

.

Ping بدورها لم تسكت!
فبعد 5 أيام فقط، قام المدير التنفيذي لـ Ping السيد Andre Durand شخصيا بوضع مقطع فيديو في مدونته للرد على Sun، و كان ردا قويا مقتبسا من الفيلم الشهير (300)! :mrgreen:

إضغط هنا ]

.

و كان آخر أحداث هذه “المعركة الملحمية” كما يسمونها، قبل أسبوع، حيث قام دانيال مرة أخرى بوضع مقطع فيديو جديد في مدونته، و يبدو فيه يبحث عن السلام مع Ping! :mrgreen:

[youtube]http://www.youtube.com/watch?v=nMBdDIohXqk[/youtube]

أعرف جيدا أن المتحاربين تجمعهم علاقة ود و احترام متبادل.. فكثير من موظفي Ping سبق لهم العمل في Sun.. و مثل هذه المواجهات الإعلامية هي بالتأكيد من باب الترفيه و المزاح.. لكن لا تخلو بالطبع من رسائل مبطنه! :mrgreen:

أنا أيضا أحمل رسالة مبطنه داخل هذه التدوينه، و مفادها: لا تستفزونا نحن – متخصصي إدارة الهوية – فنحن ملوسنين! :mrgreen: