إلا أن ما دفعني لكتابة مثل هذا الموضوع هو ما لمسته من ممارسات هي أقرب للاحتكار لهذا العلم و من قبل جهات و أشخاص هم في غالبيتهم غير متخصصين تخصصا أكاديميا في هذا المجال. و بات غير واحد (في السعودية بالتحديد) يدعي وصايته على هذا العلم و بل ربما حتى على المتخصصين فيه، بشكل يدعو للسخرية تارة و يدعو للحزن تارة أخرى على ما آلت إليه الأوضاع في مجتمع كان قدره أن لا ينعم بشئ من صور الانفتاح الاقتصادي إلا ان يمارس الاحتكار عليه في كل شئ.. بدءا من العرض التلفزيوني لمباريات منتخبه الوطني و وصولا إلى مصادر العلوم الأكاديمية النادرة..

علم أمن المعلومات، كباقي أفرع العلم الأخرى، يجب أن يقود السعي في تطويره أكاديميون و خبراء متخصصون.. من خلال البحث الأكاديمي، و الإشراف على التعليم و التدريب المنهجي، و الظهور الإعلامي المقنن، و نشر الوعي المعرفي بالطرق الأكاديمية السليمة، و كتابة المقالات المتخصصة.. الخ.
المتخصص الأكاديمي في أمن المعلومات.. هو كالمتخصص الأكاديمي في أي علم دقيق آخر.. يجب أن يكون حاملا لشهادة أكاديمية متخصصة في هذا المجال (بكالوريوس – ماجستير – دكتوراة).. أو على الأقل أن يكون باحثا أكاديميا خبيرا فيه.. لا يكفي أن يحمل شهادة في علوم الحاسابات أو نظم المعلومات أو الشبكات مثلا.. أو أن يكون درس مادة أو اثنتين في هذا المجال ليطرح نفسه كأب روحي لهذا التخصص!

فمن يحمل شهادة في (الطب البشري).. لا يطرح نفسه كمتخصص في جراحة الأعصاب! ..
عليه أولا أن يدرس و يمارس هذا المجال (أي جراحة الأعصاب) قبل أن يسمي نفسه كذلك!

و أنا هنا أتحدث عن أمن المعلومات كعلم أكاديمي صرف.. و لا أقصد الممارسات التجارية أو الأطروحات الإعلامية العائمة، ولا حتى المهارات التطبيقية في هذا المجال.. فهذه من الوارد بطبيعة الحال أن يتميز فيها مهمتون و ممارسون (غير أكاديميين).

و من المثير للدهشة أن تشاهد القدرة الفائقة لغير المتخصصين الأكاديميين على إبراز اسمائهم كخبراء أكاديميين في أمن المعلومات و بشكل مبتكر.. فمنهم من يسمي نفسه “إستشاري” أمن معلومات (على وزن إستشاري أنف و أذن و حنجرة).. و منهم من يسمي نفسه “أخصائي” أمن معلومات (على وزن أخصائي عيون).. إلى غيرها من أساليب ليست بالسهلة حقيقة.. كمحاولة جمع أكبر قدر ممكن من الشهادات التجارية أو التي تمنح من منظمات غير أكاديمية ليتم “صفها” أسفل كل رسالة إلكترونية يقوم بإرسالها.. الخ.

و سأختم بهذه القصه التي ربما تعطيكم تصورا عما يحدث..
تلقيت دعوة شخصية في الأسبوع الماضي من البروفيسور الأمريكي (راج شارمان).. أشار فيها إلى انه تم الإطلاع من قبل لجنة علمية في أمريكا على بعض أوراقي البحثية (و التي حددها بعناوينها و سنوات نشرها).. و أنهم – بناءا على ذلك – قرروا اختياري من ضمن مجموعة قليلة من المتخصصين في مجال (الهوية الإلكترونية) للمساهمة في كتابة كتاب سيكون عنوانه (Digital Identity and Access Management: Technologies and Frameworks)، و ذلك كجزء من خطة الرئيس الأمريكي (باراك أوباما) لمراجعة سياسة الفضاء السايبيري (Cyberspace Policy Review)..

و قبل أن أشرع بالرد على رسالة البروفيسور شارمان لأشكره و لجنته على حسن ظنهم بي، و احترافيتهم في مجال البحث الأكاديمي.. تذكرت أمرا أطرقت معه متعجبا لوهلة..

كنت قد قمت قبل عامين تقريبا بمراسلة واحدة من كبريات الصحف الملحية في السعودية.. لأطلب نشر مقالة أحسست أنه من واجبي أن أسعى في نشرها للتحذير من خطر (مدقق الأخطاء الإملائية في شريط جوجل) و الذي سبق أن تحدثت عنه في هذه المدونة..
ليأتيني الرد بعد ثلاثة أشهر (نعم.. ثلاثة أشهر!).. من المشرف على الصفحة التقنية في تلك الجريدة.. بالرفض.. و ذلك بدعوى أنه يجب أن يكون لي رصيد كبير من المقالات المنشورة كي يتم نشر مقالتي.. علما بأن تلك الجريدة كانت تنشر مقالات لطلاب في المرحلة الثانوية!
و بالمناسبة.. هذا الصحافي الذي رفض مقالتي.. كان في وقتها.. يحمل شهادة الدبلوم في تطبيقات الحاسب.. لكني لن أتفجأ كثيرا لو عرفت أنه أصبح الآن – و بعد سنتين فقط – يحمل شهادة الدكتوراة عن طريق المراسلة.. لأن هذه - و الشيء بالشيء يذكر - من الوسائل الجديدة للظهور بهيئة المتخصص الأكاديمي..!

شكرا..

I’m pleased to say that I have passed the Ph.D. oral examination subject to corrections.

Many thanks to the examiners: Professor David W. Chadwick and Professor Keith Martin; and of course to my supervisor Professor Chris J. Mitchell.

I’m determined to finish rectifying my thesis in few months, so I’m afraid that my absence of Blogging will continue a bit more.

- أشكر بداية مشروع الهوية الإلكترونية المتميز و التابع للإتحاد الأوروبي STORK على تبنيهم لأحد مشاريعي البحثية بطلب منهم.. و تعاونهم مع جامعة Royal Holloway بغرض تنفيذ هذه المشاريع.. كنت أتمنى حقيقة لو كان بمقدوري الموافقة على العمل معهم في بلجيكا.. أتمنى التوفيق لهم و لجامعتي الأم Royal Holloway.. أيضا لا يفوتني شكر الشركة العملاقة Microsoft على تفهمها و مرونتها و حرصها على تطوير أمن أنظمتها..

- أيضا أتوجه بالشكر لمشروع Concordia في الولايات المتحدة الأمريكية على تواصلهم المستمر و طلبهم التعاون لتطوير أحد مشاريعي البحثية.. و أشكر Liberty Alliance الداعم الكبير لهذا المشروع..

- أشكر أيضا الشركة الرائدة Symantec في المملكة المتحدة على عرضهم الوظيفي السخي الذي تقدموا به قبل أيام.. و أيضا شركة Kaizen في لندن على عرضهم الوظيفي المتميز.. و كل الشركات و المؤسسات التي طلبت التواصل مؤخرا بغرض تقديم عروض وظيفية..

- أشكر كل الجامعات و المؤسسات الأكاديمية في بريطانيا التي زرتها و التي أتيحت لي فرصة تقديم محاضرات فيها.. و بالأخص جامعتي مانشستر و ليفربول جون مورس.. و منظمة محترفي أمن المعلومات في بريطانيا IISP على دعمها الكبير..

- و أخيرا و ليس آخرا..
أتوجه بجزيل الشكر لجامعتي العظيمة Royal Holloway, University of London و بالأخص مجموعة أمن المعلومات (ISG) في قسم الرياضيات.. على كل ما قدمته لي.. من دعم كبير جدا سواءا كان ماديا أو معنويا.. و ما وفرته لي من السبل و الوسائل لأتمكن من تأدية التزاماتي الدراسيه و مهامي البحثية بشكل قل مثيله في الجامعات الأخرى.. ربما يتساءل الكثير عن سبب تصنيف هذا القسم الأول عالميا في مجال أمن المعلومات.. و الجواب لا يمكن أن يكتب أو يقال.. بل يجب أن يرى!
جائزة التفوق في مرحلة الماجستير من رئيس الجامعة كانت أول جائزة مالية كبيرة أحصل عليها نظير تفوقي الدراسي.. و ستبقى ذكرى جميلة ما حييت..
أعرف أني من المؤكد نسيت الكثير من المؤسسات و الشركات للأسف، فذاكرتي لم تعد كما كانت..

!Ta

……..

Google Latitude هي خدمة من جوجل.. تمكنها (كالعادة) من معرفة معلومات في غاية الخصوصية عن مستخدميها. و بشكل أكثر تحديدا، تمكنها من معرفة أماكن تواجدهم الجغرافية في وقت معين!

قبل أن أسهب في الحديث، ربما يساعدكم مقطع الفيديو التالي على فهم الخدمة بشكل أكبر:

هل وصلنا لهذه الدرجة من “السذاجة” ليتم تمرير خدمات مماثلة علينا، لتلقى رواجنا كبيرا بين مستخدمي الانترنت؟!
ما هي الفائدة المرجوة من التخلي عن خصوصيتنا بهذا الشكل؟
ما هو المقابل و هل يستحق أن نتخلى عن أهم معلوماتنا الخاصة؟
أرجو أن لا يرد أحدهم بأنه لا يخشى على خصوصيته حيث أنه يستفيد من خدمات جوجل متخفيا خلف معرفات مستعارة.. تأكد من أن هذا لن يمنع جوجل من معرفتك! (اضغط هـنـا)

للمرة العاشرة – ربما – أكرر من خلال هذه المدونة، جوجل تعمل على انشاء بنك معلوماتي هائل مستغلة سذاجة مستخدمي الانترنت و تلهفهم على الحصول على خدمات مجانية. يجب أن نكون أكثر وعيا.. و ذكاءا!

قبل أشهر معدودة تم اختراق الموقع الشهير phpbb.com ..

و قام المخترق حينها بنشر كلمات المرور الخاصة بجميع أعضاء الموقع المسجلين.. ما يقارب 20000 كلمة مرور!

هذه الحادثة المؤسفة تم استغلالها بشكل جيد من قبل بعض المهتمين بمجال أمن المعلومات، حيث قاموا بتحليل كلمات المرور المنشورة في محاولة منهم للوقوف على مدى قوة كلمات المرور التي يتم اختيارها من قبل رواد الشبكة العنكبوتيه..
أحد هؤلاء كان (روبرت غراهام)، الذي قام بتصميم نظام برمجي لتحليل كلمات المرور المنشورة..
و بكل بساطه.. يمكن وصف نتيجة التحليل بأنها ‘مخيبة للأمال’ بشكل كبير!

فما يقارب الـ 65% من كلمات المرور تم العثور عليها في قواميس اللغة الانجليزية..
بل أن 94% منها تم العثور عليه في قواميس كلمات المرور التي يستخدمها المخترقون عادة..
أتمنى عليكم قراءة مقالة السيد روبرت بأنفسكم، وربما أن بعض الاحصائيات الواردة فيها ستصدمكم.. فعلى سبيل المثال، أكثر من 3% من أعضاء موقع phpbb.com قاموا بإختيار كلمة المرور التالية: 123456!
لقراءة المقال إضغط هـنـا.

و بما ان الشئ بالشئ يذكر.. أشير هنا إلى أن خبير أمن المعلومات المعروف (بروس شناير) كان قد عمل تحليلا مماثلا قبل ثلاث سنوات على كلمات مرور قام بنشرها مخترقون بعد أن أوقعوا بالكثير من مستخدمي الانترنت عبر صفحة وهمية قاموا بتصميمها لموقع MySpace الشهير.. و النتائج بطبيعة الحال لم تكن أكثر إشراقا..
إضغط هـنـا.

و بمناسبة الاشارة إلى قواميس المخترقين لكلمات المرور (و هي قواميس تحوي أكثر كلمات المرور شيوعا بين مستخدمي الانترنت) ربما يجدر بي وضع مثال عليها..
ربما سمع الكثير منكم بدودة Conficker أو Downadup و التي استهدفت خوادم Windows قبل مدة..
هذه الدودة تعتمد بشكل كبير على قاموس لكلمات المرور تم انشاءه من قبل مطوريها..
هذه ‘بعض’ كلمات المرور في ذلك القاموس كما تم نشرها في مدونة السيد Graham Cluley:

 أتمنى أن لا يفاجأ أحدكم بالعثور على كلمة المرور الخاصة به في القائمة أعلاه!

يبدو أن جهود نشر التوعية الأمنية بين مستخدمي الانترنت لم تحقق المرجو منها خصوصا و أن أغلب مستخدمي الانترنت هم من صغار السن أو قليلي الحرص.. لذلك أعتقد أن الاعتماد على كلمات المرور كخط دفاع أول و كتقنية تحقق من هوية المستخدم سيقل بشكل ملفت مستقبلا، خصوصا و نحن نشهد ثورة كبير في مجال إدارة الهوية الرقمية.

فكل الحلول التي تم طرحها لتدعيم الاعتماد على كلمات المرور (كالمطالبة بعدد معين من الأحرف و الأرقام، أو مطالبة المستخدم بتغير كلمة المرور الخاصة به كل فترة معينه.. الخ) ثبت أنها لا تجدي و أنها مجرد محاولات لتجميل تقنية قديمة لا تنفع في وقتنا الحاضر..

رأيكم؟

لن أطيل في الحديث عن هذا المشروع.. بل أتمنى عليكم مشاهدة مقطع الفيديو في الأسفل.. فذلك سيوضح لكم فكرة المشروع بشكل جيد..

ما شاهدتموه للتو.. هو الإعلان عن فكرة في ‘غاية’ الخطورة في رأيي المتواضع!

شاهدوا تطبيق هذي الفكرة كما يظهر في الدقيقة 6:46 مثلا..
و من ثم تخيلوا الكم الهائل من المعلومات المتعلقة بك و التي يمكن أن يتحصل عليها أي شخص يقابلك للمرة الأولى.. يكفيه فقط أن يعرف أسمك مثلا.. ليجري عنك بحث فوري في محركات البحث و يعرف عنك العديد الأمور التي ربما قد تكون انت نفسك قد نسيتها (مثلا لو ان اسمك ظهر في قائمة الناجحين في إمتحانات الثانوية العامة.. و كانت هذه القائمة قد نشرت في موقع إحدى الجرائد.. فمعلومات مثل: متى تخرجت و من أية مدرسة و ما هو مسارك (علمي – أدبي) و في أي مدينة و ما هو تقديرك.. الخ،  كل هذه المعلومات و ربما غيرها ستكون متوفرة لمن يتحدث معك و بشكل فوري.. قـِس على ذلك)!

تخيلوا معي فيما لو تبنــَّت شركة “جوجل” مثلا هذا المشروع و استحوذت عليه..
(بالمناسبة: النظام الشهير (Google Earth) كان في أساسه مشروعا في معامل MIT)..
هل بإمكانكم تصور حجم المعلومات التي ستعرفها “جوجل” عنك؟!

لن يقتصر الأمر حينها على معرفة المواقع التي زرتها.. و الكلمات التي بحثت عنها.. و محتوى رسائلك الإلكترونية.. الخ.
بل سيتعدى ذلك ليصل إلى معرفة تفاصيل حياتك اليومية خارج الشبكة العنكبوتية!

معلومات مثل: مـَن مـِن أصدقائك قابلت اليوم.. ماهي الشوارع التي سلكتها و الأماكن التي زرتها (هذا الأمر بدأ يحدث فعلا: إضغط هـنـا).. ماذا شاهدت في الخارج.. مـَن هاتفت.. لن تبقى معلومات خاصة!

لماذا نصر على ‘تسهيل’ حياتنا اليومية بهذه الصورة المبالغ فيها؟!
لماذا نتجاهل أهمية الخصوصية مقابل الحصول على خدمات ليست ضرورية؟!

أعرف أن أفكارا كـ ‘الحاسة السادسة’ قد تبدو جميلة و مبهرة.. و هي كذلك ربما.. لكن لنتذكر دائما أن (الخدمات المتطورة و الميسرة) و (الخصوصية و أمن المعلومات) هما طرفي ميزان.. و يجب دائما أن نعمل على توازن الطرفين.. يجب أن لا نتخلى عن خصوصيتنا إلا مقابل خدمات ضرورية.

ما رأيكم في الموضوع؟

 للمزيد حول TED، إضغط هـنـا.

Well, it seems that these stuff are emerging and becoming more sophisticated!

I found out recently about a spying “toy” that’s called Spykee!
This toy is basically a robot that is capable of taking pictures and movies that can be watched via the Internet either in real time or later on. You can even talk with whoever you’re spying on via Skype!

This robot would cost around $300, and just imagine how much evil stuff that you can readily do using it!
For further information, press here. 

…………….

BTW, it seems that you can buy any thing via the Internet these days!
Even if you want to buy a camera belonging to the MI6 (the British equivalent of the CIA) which contains “images of al Qaeda suspects, fingerprints, names, rocket launchers, and missiles inside”!
For more details, press here.

سأخصص الحديث عن أمريكا كمثال تحتذيه الدول الغربية و أنموذج مجتمعي تؤيده..
لن أتحدث عن قوانين ’ الباتريوت ‘ التي سـَلبت قاطني الولايات المتحدة الأمريكية الكثير الكثير من حقهم بالتمتع بدرجة جيدة من الخصوصية، ولا عن فضائح التنصت على مكالمات المواطنين و مراقبتهم.. فحتى ذلك الوقت كنت مازلت مقتنعا بأن الخصوصية في أمريكا مرضت بشدة دون أن تموت..
إلا أنه في رأيي المتواضع، فإن ‘ الخصوصية ‘ في الولايات المتحدة الأمريكية لفظت أنفاسها الأخيرة قبل ما يقارب الأربعة أشهر.

فقبل أربعة أشهر أصدرت وزارة الداخلية الأمريكية وثائق تنظم (سياسة مصادرة الأجهزة الإلكترونية الخاصة بالمسافرين) و التي تنص على أنظمة و تشريعات أبسط ما يمكن أن توصف بها بأنها ‘ تسلطيه ‘ ولا تحترم خصوصية الفرد!
فبحسب الأنظمة الجديدة، يحق للسلطات الأمريكية مصادرة أي جهاز يمكنه حفظ معلومات (كومبيوتر محمول، كفي، آي بود، هاتف جوال.. الخ) من أي مسافر و بدون ايه تهمة مسبقة أو ابداء سبب واضح، و لمدة غير محددة. و ان كان هذا يبدو جائرا، ففي الحقيقة ما ذكرته حتى الآن ليس هو الجزء الأسوأ.
فبحسب الأنظمة الجديدة أيضا، فإن للسلطات الأمريكية الحق الكامل في أن تطلع على محتويات هذه الأجهزة و تنسخها أو تتلفها.. بل و أيضا أن تعطيها لجهات أخرى سواءا كانت حكومية أو حتى جهات خاصة!!

لا أعتقد أن نظاما مثل هذا يحتاج لخبير في الخصوصية لكي يوصم بأنه انتهاك خطير و يهدد خصوصية الفرد. خصوصا و أني أشك كثيرا بأن إرهابيا محتملا سيحمل معه معلومات حساسة على أجهزة إلكترونية في المطار!

ختاما.. أحب أن أؤكد أن وضع نظام لإنتهاك خصوصية الفرد لا يعني بأي حال من الأحوال انتفاء هذا الإنتهاك!
تماما كما يقول الرئيس الأمريكي القادم (اوباما):

!You can put lipstick on a pig, but it’s still a pig

للمزيد حول الموضوع، إضغط هـنـا و هـنـا و هـنـا.

وددت حقيقة لو كان بمقدوري تلبية الدعوه، لكن ارتباطي المسبق مع مؤتمر آخر و في نفس الوقت حال دون ذلك للأسف.
إلا أني أتمنى أن يتوج المؤتمر الدولي للسياحة و التسويق الإلكتروني بنجاح كبير كما هو متوقع بإذن الله.
كما أدعوكم لزيارة موقع المؤتمر بالضغط هـنـا.

I have been involved in many tense (almost violant ) debates about whether or not security through obscurity works!

As you might know, I strongly believe that in many cases it surely works, and I have talked about this issue long time ago in this Blog. I really don’t want to get through this again; however, I’ve just remembered an article I’ve read in Bruce Schneier’s Blog months ago that talks about the same issue. You might want to read it.

“
June 18, 2008
Security Through Obscurity
Sometimes security through obscurity works:

Yes, the New York Police Department provided an escort, but during more than eight hours on Saturday, one of the great hoards of coins and currency on the planet, worth hundreds of millions of dollars, was utterly unalarmed as it was bumped through potholes, squeezed by double-parked cars and slowed by tunnel-bound traffic during the trip to its fortresslike new vault a mile to the north.
In the end, the move did not become a caper movie.

“The idea was to make this as inconspicuous as possible,” said Ute Wartenberg Kagan, executive director of the American Numismatic Society. “It had to resemble a totally ordinary office move.”

[...]

Society staff members were pledged to secrecy about the timing of the move, and “we didn’t tell our movers what the cargo was until the morning of,” said James McVeigh, operations manager of Time Moving and Storage Inc. of Manhattan, referring to the crew of 20 workers.
From my book Beyond Fear, pp. 211-12:

At 3,106 carats, a little under a pound and a half, the Cullinan Diamond was the largest uncut diamond ever discovered. It was extracted from the earth at the Premier Mine, near Pretoria, South Africa, in 1905. Appreciating the literal enormity of the find, the Transvaal government bought the diamond as a gift for King Edward VII. Transporting the stone to England was a huge security problem, of course, and there was much debate on how best to do it. Detectives were sent from London to guard it on its journey. News leaked that a certain steamer was carrying it, and the presence of the detectives confirmed this. But the diamond on that steamer was a fake. Only a few people knew of the real plan; they packed the Cullinan in a small box, stuck a three-shilling stamp on it, and sent it to England anonymously by unregistered parcel post.
This is a favorite story of mine. Not only can we analyze the complex security system intended to transport the diamond from continent to continent–the huge number of trusted people involved, making secrecy impossible; the involved series of steps with their associated seams, giving almost any organized gang numerous opportunities to pull off a theft–but we can contrast it with the sheer beautiful simplicity of the actual transportation plan. Whoever came up with it was really thinking — and thinking originally, boldly, and audaciously.

This kind of counterintuitive security is common in the world of gemstones. On 47th Street in New York, in Antwerp, in London: People walk around all the time with millions of dollars’ worth of gems in their pockets. The gemstone industry has formal guidelines: If the value of the package is under a specific amount, use the U.S. Mail. If it is over that amount but under another amount, use Federal Express. The Cullinan was again transported incognito; the British Royal Navy escorted an empty box across the North Sea to Amsterdam — where the diamond would be cut — while famed diamond cutter Abraham Asscher actually carried it in his pocket from London via train and night ferry to Amsterdam.

“

Press here.