RSS
 

Archive for March, 2008

هل بات اعتماد الأجهزة الحكومية على برامج المصادر المفتوحة “ضرورة”؟

30 Mar

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

- Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

- Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

- Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

- OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

- OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

 

NIST’s IDTrust’08 .. Good one!

10 Mar

Last week I presented a paper at NIST’s IDTrust symposium, Gaithersburg, USA.
I have to say that I have got impressed by the good organisation of the conference and the excellent quality of the refereed papers!
Even the attendees list was impressive!

It was a shame that I had to take off so quickly for some ”parenting” reasons! :mrgreen:
However, it was a very good opportunity to hook up with researchers and experts in the field of identity management.


N.B. : I’m not that short!
It’s the stand that was quite high!
:mrgreen:

I want to express my gratitude to the Chair (Kent Seamons) from Brigham Young University, for his support and for the lovely photos he took for me personally! 8)
I also want to thank the Local Arrangements Chair (Sara Caswell) from NIST. And last but no least, many thanks to (Neal McBurnett) from Internet2 and (Carl Ellison) from Microsoft for their kind words and precious contribution.

BTW, refereed papers and presentations slides can be found here.