RSS
 

Archive for December, 2006

!موسم الحج و كارثة التحقق من الهوية

23 Dec

مع إقتراب موسم الحج المبارك لهذا العام .. تطفو على السطح مرة أخرى مشكلة التحقق من الهوية الأكبر – في العالم ربما -  داخل الأراضي المقدسة في المملكة العربية السعودية … فمن المعروف أن وزارة الداخلية في المملكة تقوم بعمل رائع لحماية الحجاج و التأكد من سير المناسك بالشكل السليم و يتضمن ذلك إصدار تصاريح للحج لكل الحجاج الشرعيين في كل سنه….. إلا أنه مع وجود هذا العدد الضخم من الحجاج (بضعة ملايين) داخل تلك المنطقة الصغيرة جدا من الأرض.. يجعل مسألة التحقق من هويات حاملي هذه التصاريح في الميدان تحديا هائلا و مشكلة معقدة .. و بستدعي حقيقة تظافر جهود خبراء و أكاديميين متخصصين في علم التحقق من الهوية لوضح حلول عملية و سريعة و قابلة للتنفيذ لهذه المشكلة

 

 في رأيي أن الحل يجب أن يبنى على التحقق بطريقة الدفعات و ذلك عن طريق بوابات إلكترونية ضخمة… و يجب أن يتضمن أخذ عينات الكترونية من المقاييس الحيوية للحجاج
[biometrics]
ليصبح التحقق بشكل آلي و دقيق .. كما أرى استخدام تقنيات حديثة مثل الـ
contact-less SmartCards و RFID’s
ما هو رأيكم؟

———————————————————————————————–

 

“Guidelines for Identification and Authentication” by the Canadian Privacy Commissioner

22 Dec

Here is good and concise guidelines for Identification and Authentication released recently by the Canadian Privacy Commissioner..

 

I think it is worth looking at: press here.

———————————————————————————————–

 

سلطنة عُمان ما زالت بحاجة إلى تطوير قطاع أمن المعلومات فيها

21 Dec

على الرغم من أن سلطنة عمان تشهد تطورا كبيرا و ملموسا في مجالات تقنية المعلومات المختلفة، إلا أن دراسة تم الكشف عنها مؤخرا في إحدى المؤتمرات هناك أكدت على أن المنظمات الكبيرة في عمان سواءا الحكومية أو الخاصة منها ما زالت تعني من نقص في الكوادر و التجهيزات في قطاع أمن المعلومات.. كما أكدت على أن المحرك الأساسي لإهتمام العمانيين مؤخرا بهذا القطاع هو رغبتهم الكبيرة في تأمين المعلومات الشخصية الخاصة بالمستخدمين

هذه الدراسة تقام للسنة التاسعة على التوالي و تُعنى بأمن المعلومات في عدة مناطق من العالم و منها عمان بالطبع.. و تعرف بمسمى
Global Information Security Survey (GISS)
، و شاركت في الدراسة هذه السنة 31 شركة و مؤسسة عمانية

اعتقد جازما بأن “كل” دول المنطقة ما زالت بحاجة ماسة للإهتمام أكثر بقطاع أمن المعلومات.. خصوصا فيما يتعلق بالحفاظ على خصوصية معلومات المستخدمين
للمزيد حول الدراسة و الإطلاع على بعض الإحصاءات، إضغط هنا

———————————————————————————————–

 
 

!كيف تقوم “غوغل” بالرقابة على طلبات البحث؟

17 Dec

قرأت مقالة جميلة مؤخرا تتساءل عن الآلية المستخدمة في محرك البحث الشهير غوغل في الرقابة على طلبات البحث .. حيث يبدو جليا أن غوغل تمارس رقابة معينة على طلبات البحث بالإستناد إلى “رقم الآي-بي” الخاص بالمستخدم الذي يقوم بطلب البحث!! .. على سبيل المثال لو جربنا أن نبحث عن
[Information Security]
فإن غوغل ستقدم ما يقارب الـ 505 مليون نتيجة بحث إذا كان الآي-بي الخاص بالمستخدم هو من الآي-بيات المخصصة للصين، بينما تقدم ما يقارب الـ 423 مليون نتيجة بحث إن كان الآي-بي في نطاق الآي-بيات المخصصة للولايات المتحدة الأمريكية

 

الصفحة تحوي تطبيقا جميلا قامت بتطويرة جامعة إنديانا في الولايات المتحدة الأمريكية، بإستطاعتك من خلال هذه الصفحة مقارنة أعداد نتائج البحث المقدمة من كل من غوغل و ياهو و بين عدة بلدان مختلفة
:mrgreen: censearchIP بالمناسبة.. اسم التطبيق هو
لقراءة المقال إضغط هنا

———————————————————————————————–

 

NIST’s Information Security Handbook… Great value!

15 Dec

The American National Institute of Standards and Technology (NIST) released before two months a valuable handbook named: Information Security Handbook: A Guide for Managers.

 

In my opinion, it is a very good source of information especially for those who work in the domain of information security management…
To get a free copy of the handbook, please press
here.

———————————————————————————————–

 

ISO/IEC 27001 شركة الإتصالات السعودية تتحصل على شهادة

15 Dec

المعنية بأمن (ISO/IEC 27001) تحصلت شركة الإتصالات السعودية مؤخرا على الشهادة
أنظمة المعلومات.. هذه الشهادة كما هو معروف بدأ تبنيها من معهد المقاييس البريطاني قبل أن تتبناها منظمة المقاييس العالمية لاحقا، و كانت شركة الإتصالات السعودية قد استعانت
المتخصصة في أمن المعلومات و المعروفة داخل المملكة العربية السعودية I(TS)2 بخبرات شركة
في التدريب و التخطيط و ذلك بغرض الحصول على هذه الشهادة

للمزيد حول هذا الخبر، إضغط هنا

———————————————————————————————

 
 

؟Passfaces ماذا تعرف عن الـ

07 Dec

من المعروف أن الإعتماد على “كلمة مرور” لتكون هي الخط الأول و الرئيس للدفاع عن أي نظام يعتبر هاجسا للكثير من المتخصصين في أمن المعلومات، فهو بجانب أنه عرضه لعدة طرق لكشفه، يعتبر قائما على فكرة متناقضة أصلا!! … يقول بروس شناير: “كلمات المرور هي فكرة قائمة على التناقض! الفكرةهي أن تختار كلمة (صعبة التخمين) لكن (سهلة التذكر)!! و في هذا تناقض كبير”… و أنا أؤيد كلام الخبير بروس شناير تماما
UCL الأستاذة في جامعة M. Angela Sasse حظيت في العام 2004م بشرف لقاء البروفيسورة
في لندن، و ذلك في محاضرة ألقتها في جامعة رويال هولوي


[M. Angela Sasse] 

و حينها كانت البروفيسورة تسوق للمشروع الذي تبنته هي و عدد من الباحثين في جامعتها
Passfaces و أطلقوا عليه مسمى
كانت قامت هي و فريق البحث المرافق لها بعمل بحوث حول الذاكرة الإنسانية و كيف يمكن استغلالها بالشكل الأمثل.. و قامت بكتابة عدد من الأوراق البحثية حول إمكانية تحقيق الشرط المتناقض (صعبة التخمين.. سهلة التذكر) .. فمن المعروف علميا بأن المعلومات (سهلة التذكر) هي نوعين : معلومات ذات معنى أو معلومات ليست ذات معنى لكن يتم استذكارها بشكل متكرر
و طبعا كلمات المرور (الجيدة) تنتمي للنوع الثاني … و من هنا كانت محاولات البروفيسورة للبحث عن طرق تحقق من الهوية بواسطة معلومات تنتمي للنوع الأول .. و فعلا خرجت مع فريقها البحثي بفكرة مبتكرة و جميلة جدا.. و هي “أوجه المرور” .. بدلا من “كلمات المرور” .. و الفكرة بسيطه جدا .. و هي بإختصار قائمة على أن يختار المستخدم وجها معينا من بين عدة أوجه يظهرها له النظام ثم يلقبه بلقب معين .. و في المرات التالية حين يحاول المستخدم تسجيل الدخول فكل ما عليه هو إختيار نفس الوجه و كتابة لقبه الذي قام هو بتلقيبه إياه ..و هكذا تصبح المعلومة “اسم شخص” ذات معنى و سهلة التذكر
أو أوجه المرور Passfaces الآن أصبحت فكرة الـ
علامة تجارية لشركة أسست في العام 2000م و تقوم بتصميم برمجيات تدعم الفكرة

بإمكانكم زيارة موقعهم بالضغط هنا Passfaces للمزيد حول الـ
بإمكانكم أيضا الحصول على نسخة تجريبية من برنامجهم

———————————————————————————————–

 

!!في البحرين ASIS غدا تنطلق فعاليات

03 Dec

!ASIS ابتداءا من غدا(4-12-2006م)، و لمدة ثلاثة أيام، تبدأ فعاليات مؤتمر و معرض
تحتضن البحرين المؤتمر هذه السنه و في مركز البحرين للمعارض و المؤتمرات.. و سيكون عنوان المؤتمر لهذه السنة: حلول أمنية لإقتصاد مزدهر
و سيكون هناك عدد من المتحدثين البارزين من عدة جهات كجامعة هارفارد و شركة أرامكو السعودية و أيضا سيكون هناك الشهير”ريتشارد كلارك” المسئول السابق عن مكافحة الإرهاب في الحكومة الأمريكية 

 

للمزيد من المعلومات حول المؤتمر إضغط هنا

———————————————————————————————–

 
 

!Oracle أخيرا .. انتهى مسلسل تهديد

01 Dec

Cesar Cerrudo كنت أتابع بإهتمام بالغ أحداث الخلاف الذي نشب بين باحث أمن المعلومات
.. من جهة أخرى Oracle من جهة و بين شركة Argeniss و الشركة الأرجنتينية التي يملكها 

كان الخلاف قد بدأ منذ فترة طويلة عندما إدعى (سيزار) أنه قد اكتشف ثغرات كثيرة و مهمة في أنظمة قواعد البيانات التي تنتجها شركة أوركل.. و بعد أن كذبت أوركل مزاعم سيزار، قام بالتهديد بتنظيم أسبوع كامل بدعم من شركته أطلق عليه اسم: أسبوع ثغرات قواعد بيانات أوركل .. أو
week of Oracle database bugs
و زعم أنه سيقوم بفضح عدة ثغرات في قواعد بيانات أوركل بشكل يومي و لمدة أسبوع ليثبت صحة إدعاءاته
إلا أن نهاية هذا المسلسل من التهديدات كانت قبل يومين حين أعلن سيزار و من خلال موقعه الشخصي أنه لن ينفذ تهديداته!! .. و أرجع ذلك لوجود عدة مشاكل دون أن يوضح ماهيتها!! .. هذا نص ما كتبه
We are sad to announce that due to many problems the Week of Oracle Database Bugs gets suspended.
We would like to ask for apologizes to people who supported this and were really excited with the idea, also we would like to thank the people who contributed with Oracle vulnerabilities.


[سيزار في إحدى المؤتمرات عام 2005م]

الغريب في الموضوع أن شركة أوركل و عبر مدونتها الخاصة بأمن المعلومات .. قامت بالرد على إدعاءات سيزار أكثر من مره لكن بدون أن تشير له أو للشركة التي تدعمه بالإسم مطلقا .. بل ذكرت أن ردودها موجهة لكتاب بعض المقالات و المدونات
للمعلومية.. هذه الخلافات تحصل دائما بين باحثي أمن المعلومات و الشركات المصنعة للبرامج و الأنظمة .. و للتعرف على أسباب الخلافات و تاريخها أنصحكم بالبحث فيما يعرف في علم أمن المعلومات
Proof-of-concept و Full Disclosure Debate بـ

———————————————————————————————–

 

Happy “Computer Security” day!

01 Dec

In case that you don’t know, yesterday (November 30th) was the 19th annual International Computer Security Day!!
So Happy “Computer Security” day everyone! :)

You can send greeting for this occasion from here

———————————————————————————————–