RSS
 

Archive for the ‘InfoSec Articles’ Category

!لفك الشفرات تخسر التحدي Colossus آلة

15 Jan

ربما يذكر بعضكم حديثنا قبل ما يقارب السنتين عن مركز Bletchley Park في بريطانيا و دوره في فك شفرات و رموز الألمان خلال الحرب العالمية الثانية و عن زيارتي للمركز، (إضغط هـنـا)..
المركز كان يستخدم جهاز يسمى Colossus لفك الرموز و الشفرات، و هذا الجهاز يعتبر من أقدم الأجهزة الحاسوبية و من أكثرها تقدما في وقته، و استطاع الانجليز بواسطته من فك آلاف الرموز أثناء الحرب العالمية الثانية داخل مركز Bletchley Park..

الجديد هو ما حدث قبل شهرين من تحدي مثير اهتم به معظم خبراء التشفير في العالم بشكل عام و في بريطانيا بشكل خاص..
التحدي يكمن في مسابقة أعادت جهاز Colossus للعمل بعد توقف دام أكثر من 60 عاما!
و التحدي كان يشمل جانبين:

أولا: يقوم فريق من الألمان الذين ساهموا بتشفير رسائل ألمانية أثناء الحرب العالمية الثانية، بتشفير ثلاث رسائل جديدة و بثها على موجات الراديو، و من نفس المركز الذي كانوا يستخدمونه للتشفير في الحرب العالمية الثانية في ألمانيا في مدينة Paderborn الألمانية. مستخدمين نفس طريقة التشفير و الآلة التي استخدموها اثناء الحرب و هي آلة Lorenz SZ42. مع العلم ان الرسائل الثلاث ستكون مقسمة إلى ثلاثة مستويات (صعب – صعب جدا – بالغ الصعوبة)..

ثانيا: يتم التنافس بين جهاز Colossus و جهاز حاسب حديث يستخدم نفس الطريقة في فك التشفير لمعرفة من سيكون الأسرع في فك شفرات الرسائل بعدها التقاطها من موجات الراديو، أجهزة الماضية العتيدة أم حواسيب الحاضر المتطورة!
و قد تم اختيار جهاز محمول بمعالج Pentium II لينافس جهاز Colossus، بإعتبار أن جهاز حاسب محمول بهذه المواصفات يقارب نوعا ما سرعة الـ Colossus..

و من أجل هذا الغرض تم بناء جهاز Colossus جديد، حيث انه لم يتم تصنيع سوى 10 أجهزه منه في السابق، و هي جميعها معطلة، و المشكلة كانت في أن بعض تفاصيل صناعته كانت سرية مما سبب بعض المشاكل لفريق اعادة التصنيع، إلا أنهم في النهاية تمكنوا من صناعة جهاز Colossus جديد..
الصورة في الأسفل هي للسيد Tony Sales الذي ترأس فريق إعادة تصنيع الـ Colossus يقف بجانب الجهاز الجديد، و كان قد سبق له العمل على الجهاز إبان الحرب العالمية الثانية..

و قد كان التحدي، الذي خسره جهاز Colossus بعد أن سبقه جهاز الحاسب المحمول بفك شفرات الألمان..
شخصيا لا أدري لماذا تعاطفت مع جهاز Colossus و وددت لو يكسب التحدي!
لكن ألا تتفقون معي بأنه من “المذهل” أن جهازا تم تصنيعه قبل أكثر من ستين سنه، ينافس جهازا تم تصنيعه قبل عدة سنوات و في عمليات رياضية معقدة!
خبر التحدي من الـ BBC هـنـا، و هـنـا خبر الهزيمة.

 

!بتسريب معلومات المستخدمين Google تدعم شكوكي ضد Hushmail

31 Dec

لم يمض على حديثي السابق عن شركة جوجل العملاقة و خدماتها المتعددة شهر واحد، حتى صعقت بما قرأته مؤخرا عما قامت به شركة Hushmail الكندية والشهيرة جدا، و التي تقدم خدمة البريد الإلكتروني المشفر لعشرات الالاف من مستخدمي الانترنت.
Hushmail كانت في السابق تقدم الخدمة عن طريق تشفير الرسائل الالكترونية داخل أجهزة المستخدمين بإستخدام اكواد جافا، لضمان أنه لن يتمكن من قراءة الرسالة الإلكترونية أحد سوى الشخص الذي شفرت الرسالة من أجله، إلا انه في العام 2006م قررت الشركة تقديم الخدمة بتشفير الرسائل في سيرفرات الشركة بدعوى ان أكواد الجافا تسبب ضيقا لدى المستخدمين و تثقل كاهل المعالجات في الحواسب الشخصية. و هذا التحول يعني بطبيعة الحال انه لم يعد الوضع كما كانت تَعدُ الشركة عملائها بأن لن يتمكن أحد من قراءة الرسالة الإلكترونية سوى الشخص المرسل اليه، و ان كانت الشركة ترفض توضيح ذلك.
مؤخرا، تداولت وسائل الإعلام وثيقة صادرة قبل ثلاثة أشهر تقريبا من محكمة المقاطعه في شرق ولاية كالفورنيا الأمريكية، توضح الوثيقة أن شركة Hushmail قامت بتسليم الحكومة الأمريكية رسائل إلكترونية تكفي لملىء 12 اسطوانة مدمجة و تخص ثلاثة حسابات في الـ Hushmail!!
كما أكدت الوثيقة أن هذا الأمر كان قانونيا تحت بنود معاهدة التعاون المشترك بين كندا و الولايات المتحدة الأمريكية.
الحسابات الإلكترونية كما تدعي الوثقية تخص صينيين يعملون في بيع مواد كيميائية محظورة بطرق غير شرعية و أن الرسائل المفضوحة أسهمت في معرفة الكثير عنهم و عن مختبراتهم في أماكن مختلفة تحت الأرض.

 

هنا يبقى السؤال، لما لا تفعل جوجل نفس الشيء؟
ان كانت شركة “كندية” و خدمتها الأساسية هي توفير “الخصوصية” لعملائها، قامت بفضح معلومات هائلة عن عملائها!
أرجو ان يكون في هذا الخبر تدعيم لكلامي السابق، و نفي لتهمة التفكير بنظرية المؤامرة عني.
 للإطلاع على وثيقة المحكمة، إضغط
هـنـا.
و للمزيد حول الموضوع، إضغط
هـنـا.

 

How to break CAPTCHAs? .. use people!

31 Dec

Few days ago I’ve read an interesting article of how spammers break the CAPATCHA technique that is used widely to stop them. Apparently they use “naive” users to do so!
They would ask Internet users surfing some sites over the web to help tracking down the CAPTCHA code!
And they would use some attractive methods to motivate users, and it seems that it’s working quite well!

 

It’s worth mentioning here that Bruce Schneier has expected spammers to do so long time ago!
I think that such technique is much more reliable than using automated CAPTCHAs decoders!
To read the article, press
here.

 

!دروس في أمن المعلومات من الدميه باربي

16 Dec

تحدثنا قبل عدة أشهر عن الخطر الحقيقي الذي يتهدد الأطفال القصّر عند دخولهم لشبكة الانترنت بدون رقابة من الأهل، و أشرنا أيضا إلى أن وجودهم في المنزل لا يعني أنهم منعزلون عن العالم الخارجي في عالم اليوم، فبإمكانهم التعرف على أشخاص جدد و التحدث معهم، و هذا الأمر يجب أن لا يحدث بمعزل عن الأهل.. (إضغط هـنـا)

قبل اسبوعين تقريبا حظيت بشرف حضور محاضرة مهمة لخبير أمن المعلومات المصرفيه السيد (ريتشارد مارتن) حول المشاكل و الحلول الحديثة في عالم التعاملات البنكية عبر الانترنت..
و في معرض حديثه تحدث عن أن الحل لمعظم مشاكل التعاملات البنكيه عبر الانترنت من وجهة نظره يكمن في استخدام بطاقة البنك التي يستخدمها العميل لسحب النقود من آلة صرف النقود، استخدام نفس البطاقه لدخول موقع البنك و ذلك من خلال أجهزة قراءة البطاقات الذكيه و هي سهلة الاستخدام و منتشرة و رخيصة حيث يقوم البنك بتوزيعها على العملاء مع بطاقات البنك (بالمناسبة بنك باركليز في بريطانيا يتبع نفس الطريقة منذ أشهر، و خلال أشهر ستتبع معظم البنوك البريطانية نفس الطريقة)..
كما أشار إلى أن حلول استخدام ما يسمى بالـ physical security tokens باتت مطلوبه في أكثر من تطبيق في الانترنت (أعرف هذا مسبقا بالطبع بحكم أن تخصصي البحثي هو في إدارة الهوية، و مجالات ما بات يعرف بالـ usecr-centric IdMS)..

لكن مالم أكن أعرفه هو نظام التحقق من الهوية في موقع الدميه الشهيرة “باربي”!
في موقع باربي.. يوجد “حسب رأيي المتواضع”.. نظام من أفضل أنظمة التحقق من الهوية في الانترنت!
الطريقة ببساطه.. هي أن تشتري الفتاه قطعه صغيرة على شكل دمية باربي و هي بالطبع في نفس الوقت security token.. يمكن توصيلها بالجهاز بسهولة من خلال موصل الـ usb.. و هي في نفس الوقت تعتبر جهاز مشغل لملفات الـ mp3..
بعد شرائها.. يتم توصليها بالجهاز، ثم انشاء حساب في الموقع، و ربط الدميه بالحساب.. بحيث لا يمكن الدخول إلى الموقع و الاستفاده من خدماته مستقبلا إلا في وجود الدميه متصله بالجهاز..
التطبيق الأهم هو كالتالي.. يوفر الموقع خدمة “الدردشة”.. و لأننا لا نريد أطفالنا أن يتحدثوا مع أناس غرباء.. قام الموقع بتطوير نظام جميل جدا للتأكد من أطفالك يمكنهم “الدردشه” فقط مع الأطفال الذين يعرفونهم مسبقا.. كيف؟!
تقوم الفتاة بزيارة صديقتها في منزلها و تحضر معها الدميه الخاصه بها.. ثم تقوم بربط دميتها التي أحضرتها بحساب صديقتها من خلال جهاز صديقتها.. و بهذه الطريقة يمكن للفتاتين التحدث معا من خلال الموقع مستقبلا!

 
 

هناك تطبيقات أخرى للدميه و فيها حلول مبتكرة، لكن ما يهمنا هنا أن وجود تطبيقات من هذا النوع يعتبر حلا مناسبا لدرجة كبيرة لمعظم المشاكل التي تكلمنا عنها سابقا..
السؤال.. أين نحن من هكذا تطبيقات!؟
للمزيد، يمكنكم زيارة الموقع بالضغط
هـنـا.

 

!Flexspy ..التجسس بأبسط الطرق

15 Dec

ربما سمع بعضكم عن البرنامج الشهير للتجسس على اختراق الهواتف النقالة و المعروف بإسم Felxspy..
و هو لمن لا يعرفه برنامج صغير الحجم.. يتم زرعه في جوال الضحيه عن طريق أكثر من وسيلة (ارساله داخل رسالة ملتميديا أو بلوتوث مثلا).. ليمكّن مرسله من معرفة “كامل” تفاصيل جهاز الضحية.. مثلا يمكنه الاطلاع على سجل المكالمات كاملا و جميع الرسائل النصيه و رسائل الملتميديا المرسلة و المستقبله..
بل أكثر من ذلك.. يمكن للمتجسس أن يأمر البرنامج أن يتدخل عندما يقوم هو بالاتصال على الضحيه ليمنع الهاتف من أن يرن و يقوم بالاجابة الفورية على الاتصال، مما يعني أن المتجسس بإمكانه التنصت في أي وقت على الضحيه و سماع ما يقوله و ما يدور حوله!

الجديد ليس في وجود برنامج تجسس عبر الهاتف بهذا الشكل البسيط، فهذا أمر متوقع منذ البداية..
الجديد (و المشكله)، هو أن هذا البرنامج يباع بشكل تجاري في عديد من البلدان منها بريطانيا!
فهو يباع كبرنامج يمكنك من التحكم بجهازك المحمول ”الثاني” عن بعد!!

و هنا نطرح السؤال المهم..
كيف يمكننا أن نرسم خطا وضحا.. بين برامج التجسس و برامج التحكم عن بعد!
هذ تساؤل قديم نشأ منذ ظهور الجيل الأول من برامج التحكم بأجهزة الحاسب عن بعد (و هي الآن موجودة بكثرة في السوق).. و لعل وجود معايير واضحه لتصميم البرامج و قبولها في السوق يمنع طرح أي برنامج يمكن أن يستخدم لاختراق أجهزة الآخرين دون علمهم.. هو الحل الأنجع في رأيي.. و ان كان منتجي هذه البرامج لا يؤيدون ذلك تماما!
للمزيد حول المعلومات التقنيه عن Flexspy و كيفية حماية جهازك الجوال منه، إضغط
هـنـا.

 

!هي ثغرة مقلقة Google toolbar خدمة التدقيق اللغوي في الـ

09 Dec

كتبت كثيرا عن جوجل فيما سبق و بينت دوما قلقي الشديد و شكي الكبير تجاه نوايا القائمين عليه (انظر على سبيل المثال هـنـا وهـنـا و هـنـا و هـنـا)..
لكن ما عرفته مؤخرا و “بالصدفه” عن طريقة عمل احدى خدمات جوجل “المتعدده”.. زاد من حدة هواجسي تجاه جوجل و ما تسعى إليه!

ربما يعرف الجميع عن خدمة التدقيق اللغوي للغة الإنجليزية (Spell Check) التي يوفرها شريط جوجل (Google Toolbar) الذي يدمج مع المتصفح كما هو موضح في الصورة أدناه..

هذه الخدمة أصبحت جزءا من “عادات” تصفح الانترنت و كتابة النصوص داخل المتصفح لدى الكثيرين.. و أولهم أنا!
و كنت طوال الوقت.. و “بسذاجة” اعتقد أن التدقيق يتم داخل جهازي..
بمعنى أن النص الذي أطلب أن يتم تدقيقه لا يغادر جهازي!
لكن ما عرفته مؤخرا.. هو و بكل المقاييس.. صدمة!

فبعد بحث قصير، عرفت ان التدقيق يتم بالصورة التالية..
عندما تطلب ان يتم تدقيق نص معين، يقوم Google Toolbar بإرسال رسالة على صيغة XML الى سيرفر جوجل (http://www.google.com/tbproxy/spell?lang=en&hl=en)..
الرسالة تحوي قطعتين من المعلومات..

القطعة الأولى.. هي جميع الكلمات التي قمت سابقا بطلب تجاهلها من التدقيق في المستقبل، و هي موجودة في ملف داخل جهازك، يمكنك الوصول إليه بكتابة الأمر التالي في خانة التطبيق Run:
notepad “%HOMEPATH%\Application Data\Google\User Dictionary.txt”

أما القطعة الثانية.. فهي كامل النص الذي تود ان يتم تدقيقه!!
هذا صحيح.. كل ما تكتبه، سواءا كان رسالة إلكترونية خاصة، او كلمة مرور، أو معلومات حساسه، سيتم إرساله إلى سيرفرات جوجل.. بمجرد ان تطلب التدقيق اللغوي!
يتم ارسال النص على الشكل التالي:

لا أعرف لما افترضت سابقا بأن النصوص التي أطلب تدقيقها لا تغادر جهازي!
لكن الأمر الذي أثق منه، هو ان جوجل ملزمة ببيان ذلك للمستخدمين!!
كان ينبغي ان يكون هناك رسالة للمستخدم حين طلب خدمة التدقيق.. تنبهه إلى ان النص المطلوب تدقيقه سيغادر جهازه!

من يعرفني شخصيا، يدرك تماما أني لست من المعتقدين بنظريات المؤامره.. لكن ما اعرفه عن جوجل يوما بعد يوما.. يزيد من شكوكي حول مساعي خفيه لتكوين أكبر قاعدة بيانات استخباريه في تاريخ البشرية!
و قبل أن أتهم بالمبالغة.. اسمحوا لي أن أسألكم سؤالا بسيطا..
لنفترض مثلا أنك تقدمت بطلب الحصول على تأشيرة دخول للولايات المتحدة الأمريكية.. و ان الحكومة الأمريكية ترتبط بعلاقات تبادل معلومات مع جوجل تحت مسمى مكافحة الإرهاب مثلا (لا أعتقد أنهم بحاجة لمبررات أصلا)..
سؤالي هو.. ما الذي ستعرفه الحكومه الأمريكية عنك؟
كلماتك المفتاحية التي استخدمتها في البحث في جوجل.. رسائلك الإلكترونية في الجي-ميل.. مقاطع الفيديو التي شاهدتها او بحثت عنها في يو-تيوب.. المواقع الجغرافية التي بحثت عنها في جوجل-إيرث.. بل و حتى النصوص التي كنت قد طلبت تدقيقها كاملة.. الخ!
أنا أؤكد لك.. أن هذه المعلومات عنك.. هي كنز.. ستعجز حتى أعتى أجهزة المخابرات في العالم الحصول عليه!
كنز.. سيكون من السذاجه.. عدم الاستفادة منه!

 

!شركة الإتصالات السعودية و انتهاك خصوصية السعوديين

06 Dec

شركة الإتصالات السعودية هي أكبر شركة إتصالات في المملكة العربية السعودية و من أضخم شركات الإتصالات في المنطقة.. و ما يهمني هنا هو تسليط الضوء على مدى التزام الشركة بالحفاظ على خصوصية عملائها خصوصا في السعودية.. حيث ان الشركة حسب رأيي المتواضع لم تصل حتى للحد الأدنى من الالتزام بالحفاظ على المعلومات الشخصية للعملاء!
سأشير هنا إلى مثالين فقط (أملك العديد من الأمثلة) لتدعيم رأيي في الموضوع..

المثال الأول،

هو الحادثة التي باتت معروفة في المملكة العربية السعودية بحادثة (أبو كاب).. و هذه الحادثة بإختصار لمن لا يعرفها هي قضية قتل.. واجه المتهم الرئيسي فيها “فيصل العتيبي” و الشهير بأبو كاب حكما بالقصاص.. حيث انه تعرض لحادث مروري شنيع و هو يمارس “التفحيط” في مدينة جده، مما أدى لمقتل ثلاثة من أصحابه كانوا معه في السيارة.. ليقوم بعد ذلك أهل المتوفين باتهام “أبو كاب” بقتل من كانوا معه في السيارة بسبب تهوره في القياده..
ما يهمنا هنا هو ما حدث في حيثيات الادعاء و الدفاع أمام القضاء السعودي.. فقد فاجأ محامي الادعاء في القضيه الجميع حين أطلع القاضي على بيان تفصيلي لمكالمات “أبو كاب”، كان قد تحصل عليه من شركة الاتصالات السعوديه.. ليثبت للقاضي أن أبو كاب هو من اتصل على المتوفين يوم الحادثة و طلب منهم الذهاب معه و ليس العكس!
و السؤال المؤلم هنا.. كيف تحصل المحامي على هذه الوثيقة دون إذن من صاحب الخط أو القضاء أو حتى السلطات التنفيذية!؟

المثال الثاني،

يتمثل في خدمة تقدمها الشركة، تُمثل في أبهى صورها أشد أنواع امتهان خصوصية العملاء!
الخدمه تسمى خدمة “أرقامي”.. حيث يقوم العميل بإرسال رسالة نصية للشركة تحوي رمزا معينا.. لتقوم الشركة بسحب كامل معلومات دليل الهاتف في جهاز العميل، بدعوى أن هذه النسخه هي نسخة إحتياطيه، حتى لا يفقد العميل دليل الهاتف الخاص به في حال تعطل أو سرقة جهازه الجوال!
و المشكلة هنا تتمثل في عدة نقاط:
أولا: عدم توعية العميل بخطورة مثل هذه الخدمة و ان دليل الهاتف الخاص به سيكون في متناول موظفي شركة الاتصالات!
ثانيا: عدم التحقق الكامل من “أهلية” العميل لطلب الخدمة!
فالعميل قد يكون قاصرا لا يعي أهمية الخصوصية، أو قد يكون شخصا آخر غير صاحب الخط (التحقق يكون من خلال كلمة مرور)!
فقبول الطلب يتم بمجرد استقبال الشركة للرسالة النصية!
ثالثا: و هذه هي أهم نقطه.. لا يوجد التزام حقيقي من الشركة بالحفاظ على خصوصية العميل!
كل ما يمكنك الحصول عليه هو إجابات حول الموضوع في قسم الاسئلة الشائعة في موقع الخدمه (إضغط هـنـا).. أو عبارات مثل “تلتزم” الشركة بكذا و كذا في شروط الاستخدام و الاشتراك (إضغط هـنـا)، دون وجود أرضية قانونية لتبعات الاخلال بالالتزامات من قبل الشركة..!!!

الأمر بالطبع لا يقف عند شركة الاتصالات السعودية، فالبنوك مثلا في المملكة العربية السعودية ليست أفضل حالا!
على سبيل المثال، انتشر مؤخرا مقطع فيديو مصور لاثنين من موظفي أحد البنوك يقومون باستخدام اجهزة الجوال لتصوير معلومات حساب أحد الشخصيات المشهورة مباشرة من خلال شاشاتهم!

ما نحتاجه في المملكة هو (قانون لحماية الخصوصية).. قانون واضح و مفصل و يعامل كمرجعية قانونية و كأرضية صلبة لقضايا انتهاك الخصوصية!
تأخرنا كثيرا في هذا الخصوص، اعتقد جازما أن 90% من دول العالم قامت بسن أنظمة حماية الخصوصية على شكل قوانين Data Protection Act أو غيرها.. في الولايات المتحدة الأمريكية مثلا يوجد أكثر من 10 قوانين لحماية الخصوصية و كل قانون يختص بتطبيق معين كقانون حماية خصوصية معلومات المرضى مثلا.. صحيح ان قوانين “الباتريوت” التي سنت مؤخرا هناك لمواجهة الارهاب تتناقض مع بعض هذه القوانين.. إلا أن التناقض محدود فقط في أحقية الأجهزة الاستخباراتيه هناك بالإطلاع على بعض المعلومات الخاصة!
بإنتظار آرائكم..

 

!مايكروسوفت تحدث نظام التشغيل الخاص بك.. بدون اذنك

01 Dec

لا أعلم ان كنتم تشعرون بالحنق الذي أشعر به عندما أكتشف ان نظام التشغيل الخاص بي قد تم تحديثه دون أن أشعر و بدون إبلاغي فضلا عن إذني!
في الشهر الماضي قامت مايكروسوفت بتحديث عدة ملفات في نظامي التشغيل XP و Vista دون إذن المستخدمين أو إبلاغهم قبل عملية التحديث، حتى و ان كانوا قد اختاروا أن (يتم إبلاغهم قبل التحديث أو أن لا يتم تحديث أنظمة التشغيل الخاصه بهم) من لوحة التحكم!

الحقيقة المره هي انه و بالرغم من أن أنظمة التشغيل هذه خاصة بنا، و قمنا بدفع ثمنها الباهظ لمايكروسوفت، فإن مايكروسوفت يحق لها تحديث النظام متى شاءت و بدون إبلاغ مستخدم النظام حسب الشروط و الأنظمة لوندوز (و التي سأستغرب ان علمت أن مخلوقا قد قرأها كاملة سوى محامي مايكروسوفت الذين كتبوها)!

و في الواقع المشكلة لا تكمن فقط في مسألة حق التصرف في النظام المبتاع و كيفية التحكم به، بل تتعدى ذلك لمخاوف أكبر كان قد تحدث عنها خبير أمن المعلومات الشهير (بروس شناير) قبل شهر تقريبا، من أن هناك خطرا حقيقا يكمن في احتمال أن يكتشف أحد المخترقين المخربين كيفية عمل نظام التحديث الخاص بمايكروسوفت أو أن يكسر نظام التشفير المستخدم في عملية التحقق المتبادل ما قبل عملية التحديث!
و في حال حدث ذلك، سنجد المخترقين “يسرحون و يمرحون” في أجهزتنا.. دون أن نعلم نحن و تعلم جدراننا النارية بذلك!
للمزيد، ثلاث مقالات في نفس الموضوع: هـنـا، هـنـا و هـنـا.

 

 

!عمليات الإحتيال.. تنتقل الآن من الحياة الإفتراضية إلى الواقعية

06 Sep

ربما يفهم أغلب المتخصصون في مجال أمن المعلومات ان عمليات الاحتيال عبر شبكة الانترنت تنتقل في اساليبها و طرائقها غالبا من الحياة الواقعية الى الحياة الافتراضية، بمعنى أن المحتال في الانترنت يتبع نفس أساليب الاحتيال الموجودة فعلا في الحياة الواقعية و التي تعتمد على استغلال نقص الذكاء الإجتماعي و جوانب الضعف في شخصية الضحايا..
الغريب حقا كان أن ينتقل اسلوب من أساليب الاحتيال الشهيرة في الانترنت من الحياة الإفتراضية إلى الواقعية و ليس العكس!!
هذا ما حدث معي شخصيا..
تلقيت رسالة منذ فترة من أسبانيا.. تفيد بأني قد فزت باليانصيب الأسباني الذي لم أسمع به في حياتي.. و كسبت مبلغا يفوق الـ 800 ألف يورو!!
و مرفق مع الرسالة أنموذج يتحتم علي أن املؤه ليتسنى لي الحصول على الجائزة المزعومة.. و المطلوب أن أعطيهم معلومات تفصيلية عني و عن حسابي في البنك!
الغريب أن المرسلون ذهبوا بعيدا في محاولة اخراج العملية بشكل متقن حتى انهم تحملوا عناء وضع طابع إسباني و ختمه بختم مزور على ما يبدو!
أنا متأكد أن هناك العديد ممن سينخدعون بأمور كهذه.. كما أني متأكد من أن الفكرة استوحيت من الانترنت!!

 

 

 

Airport security!

26 Aug

Airport security shouldn’t be merely about “physical” security!!
I have nothing to say.. I just have a number of photos I wanted to share, they were taken from several U.S. airports! :mrgreen:

 

 

 

الرقم السري لجهاز الصراف مكون من 4 أرقام .. لماذا؟

25 Aug

استمعت كثيرا بمشاهدة مقابلة مع مخترع جهاز الصراف السيد John Shepherd-Barron الذي أجرته قناة الـ BBC..
السيد جون كان قد اخترع جهاز الصراف في العام 1967م، و كان أول صراف في التاريخ هو لفرع بنك Barclays الشهير في بريطانيا في منطقة Enfield شمال لندن..
و المدهش أنه في وقتها لم تكن البطاقات الممغنطة قد اخترعت بعد، لذا كانوا يستخدمون شيكات مُرمّزة بالكربون، الأمر الذي أثار مخاوف لدى الناس حينها من ضرر الكربون على صحتهم.. و كان المبلغ الأقصى الذي يمكن سحبه من جهاز الصراف هو عشر جنيهات استرلينية (ما يعادل 75 ريالا سعوديا) فقط..

الأمر المثير في الحوار، هو عندما أفصح السيد جون عن سبب اعتماد الرقم السري بحيث يكون مكونا من أربعة أرقام فقط..
السبب ببساطه كان زوجته!!
فقط كان يفكر في أن يكون الرقم مكونا من ستة أرقام، لكنه وجد صعوبة في استذكار رقمه العسكري المكون من ستة أرقام، فأشارت عليه زوجته بأن يجعلة أربعة أرقام فقط لتكون سهلة التذكر!
قرار مثل هذا داخل نظام مالي في وقتنا الحالي.. كان ليأخذ أشهرا من الدراسات الدقيقة التي يشرف عليها عدد من المختصين!

لمشاهدة المقابلة، إضغط هـنـا.

 

!قصة قديمة .. جديدة

20 Aug

ربما تذكرون عندما تكلمت قبل أكثر من شهر عن (عندما يكون الأمن مبنيا على أسس هشه) و كيف أن العديد من المسئولين عن أمن المنشآت في أماكن مختلفة في العالم غالبا ما يلجؤن لأساليب ساذجة عند محاولة الكشف عن الأشخاص الذين قد يقومون بأعمال تستهدف هذه المنشآت..

حدث أن قرأت مؤخرا قصة الرسام William Hogarth، الذي قبض عليه في انجلترا و قبيل عودته من فرنسا في العام 1748م و هو يقوم برسم لوحته الشهيره The Gate of Calais بتهمة التجسس و بحجة أن هذه اللوحة تتضمن رسما لمنشأة حساسة أمنيا!!

و بالطبع تم الإفراج عنه بعد فترة قصيرة حين تم التأكد من هويته و أنه مجرد رسام محترف يقوم برسم منظر خارجي.. و هنا اطرح أكثر من سؤال..  هل سيقوم جاسوس برسم القلعة بهذه الطريقة و في الهواء الطلق؟ هل في رسم القلعة من الخارج خطر فعلي على أمن انجلترا؟ هل كانت هيئة الرسام الفرنسية سببا في القبض عليه؟
يبدو أن ما يحدث الآن هو امتداد لما كان يحدث قديما.. الحكم على الشخص المشتبه به اعتمادا على تفاصيل ساذجة و تصورات نمطيه!!
للمزيد حول هذه القصة، إضغط هـنـا.

————————————————————————————————

 

Missed comments and posts … Sorry!

20 Aug

I’m sorry that we’ve missed some posts and comments recently.. the server hosting the blog experienced a hard disk crash! All the comments and posts on or after the 11th of August are unfortunately gone!
Look at the bright side.. this is a practical experiment for you to see how important it is to keep an up to date back up! :mrgreen:

————————————————————————————————

 

Defense in depth!

07 Aug

This is a part of a clip produced for the U.S. federal courts as an introduction to Information Security. I thought you might want to watch it..

[youtube]http://www.youtube.com/watch?v=WMe3gbC-dXc[/youtube]

They’ve used graphics from the famous website Second Life.
What do you think? .. I found it not that bad, quite boring though! :mrgreen:

———————————————————————————————–

 

!عندما يكون الأمن مبنيا على أسس هشه

10 Jun

أمن المنشآت هو جزء لا يتجزأ من أمن المعلومات .. فالأخير يعتمد بشكل كبير جدا على الأول .. و لهذا أتطرق لهذا الموضوع هنا..
في كثير من الدول الغربية يرتكز الأمن في المطارات مثلا على أسس هشه .. كالمظهر الخارجي للناس أو حتى اسمائهم ..  يكفي أن تعرف مثلا أن نسبة من أسمهم (محمد) و يخضعون للتفتيش “العشوائي” في مطارات أمريكا هي أكثر بثلاثة أضعاف ممن يحملون اسم (John) مثلا!!
و هذا أمر من البديهي أنه خاطيء .. و مخجل .. و لن يفيد في شيء!
مقطع الفيديو في الأسفل هو من برنامج أسترالي.. و لن أعلق عليه.. فهو لا يحتاج إلى تعليق!

 [youtube]http://youtube.com/watch?v=McB9tsabPn0[/youtube]

سذاجة.. ربما!

———————————————————————————————–