RSS
 

Archive for January, 2012

صدور كتاب مرجعي متخصص في إدارة الهوية الرقمية

31 Jan

تم مؤخرا صدور كتاب Digital Identity and Access Management: Technologies and Framework عن دار النشر الأمريكية الشهيرة IGI Global و الذي أشرف على إصداره طاقم علمي من أساتذة جامعة State University of New York الأمريكية حيث تم اختيار مجموعة من الباحثين المتخصصين حول العالم بعد تحكيم أكاديمي دقيق للمساهمة في  تأليف هذا الكتاب.

هذا الكتاب قد يكون أكبر و أشمل الكتب المرجعية المتخصصة في مجال إدارة الهوية الرقمية، و ساهم في تأليفه أكاديميون و خبراء يعملون في جامعات و مؤسسات من مختلف دول العالم كالولايات المتحدة الأمريكية و اليابان و بريطانيا و بلجيكا و هولندا و ألمانيا و غيرها. و كان لي شرف المساهمة في تأليف الكتاب حيث كنت الباحث الوحيد الذي رشح لكتابة أكثر من فصل فيه.

- الفصل الأول الذي قمت بكتابته هو بعنوان: Identity Management Systems، و تناول شرحا مفصلا لأكثر خمسة أنظمة إدارة هوية رقمية مستخدمة في الويب و هي MS CardSpace و Higgins وLiberty Alliance وShibboleth و OpenID، قبل أن يركز على قضايا أمن المعلومات و بعض جوانب القصور الأمني فيها، بالإضافة إلى دراسة مستفيضة لبعض الأبحاث و الحلول المختصة بتطوير مستوى الخصوصية و قابلية التشغيل فيها.

- أما الفصل الثاني فهو بعنوان: Identity Management، و تناول شرحا علميا لمفاهيم الهوية، الهوية الرقمية، و إدارة الهوية الرقمية مركزا على أنظمة إدارة الهوية الرقمية المعتمدة على تقنية الويب، قبل أن يقدم دراسة لبعض المفاهيم الأخرى ذات العلاقة كأنظمة تسجيل الدخول المفرد و نظريات مستوى التحقق و غيرها. و أخيرا يقدم الفصل تصنيفا رائدا لأنظمة إدارة الهوية الرقمية بحسب معايير علمية محددة قبل أن يسهب في شرح هذه التصنيفات و خصائصها و الفروقات فيما بينها.

51lCv4a-PNL._SS500_

يمكن الحصول على الكتاب من خلال موقع أمازون (إضغط هـنـا أو هـنـا)، أو مواقع بعض المكتبات المعروفة كمكتبة Waterstones (إضغط هـنـا)، أو من خلال موقع دار النشر نفسها IGI Global (إضغط هـنـا).

و بهذة المناسبة أتوجه بالشكر الجزيل للصحف و المواقع التي قامت بتخطية خبر صدور الكتاب:
- صحيفة الإقتصادية (إضغط هـنـا).
- صحيفة الرياض (إضغط هـنـا).
- مرآة جامعة الإمام محمد بن سعود (إضغط هـنـا).
- موقع كلية علوم الحاسب الآلي و المعلومات في جامعة الامام محمد بن سعود (إضغط هـنـا).

 
 

الحرب الإلكترونية و حتميتها

28 Jan

أحسب أننا جميعا سنتفق أن التقنية الحوسبية أضحت جزءا هاما في حياتنا اليومية و وسيلة حيوية يصعب – أو ربما يستحيل – الاستغناء عنها. نكاد لا نتخيل طبا ولا هندسة ولا اقتصاد ولا تعليم، بل و لا حتى ترفيه، بدون هذه التقنية.

إلا أن هذا الاعتماد المتزايد على التقنية الحوسبية بخدماتها و تطبيقتها يبعث على القلق حول ما اذا كانت خصوصيتنا و معلوماتنا الشخصية و بياناتنا المستخدمة في أنظمة الحاسب الآلي محفوظة بالشكل المطلوب، مما يحتّم اهتماما أكبر بحماية هذه التقنية من العبث و الإستغلال الاجرامي من قبل المخترقين. و على الرغم من أن اختراق الأنظمة الكبيرة و المعقدة غالبا ما تقوم به عصابات منظمة خبيرة بالتفاصيل التقنية لهذه الأنظمة، إلا أن مراهقا قليل الخبرة قد يقوم بمثل هذه الاختراقات أيضا اذا ما توفرت له بعض أداوت الإختراق سهلة التشغيل و المنتشرة في شبكة الانترنت.

دوافع الاختراق تتطابق مع دوافع الجريمة في الحياة الواقعية من سعي وراء المال أو الإنتقام أو الابتزاز أو غيرها من الدوافع المعروفة، إلا أنها قد تزيد عليها أيضا بدافع آخر و هو المباهاة!

في السنوات الأخيرة ظهرت بعض الأبحاث و الدراسات التي تحذر من خطورة مثل هذه الاختراقات ليس على مستوى الأفراد و الشركات فحسب، بل على مستوى الحكومات و الدول!

هذه الأبحاث أثبتت مصداقيتها الكبيرة بعد أحداث الحرب الإلكترونية الروسية/الإستونية المقتضبه في العام 2007م. حيث قامت روسيا بشل قطاعات البنوك و الوزارات و شبكات الاتصالات من خلال هجمات اختراقية سريعة و مدروسة أدت إلى دمار لوجستي كبير مما دفع إستونيا الى إعلان الاستسلام رغم الدعم العسكري الذي كانت تتلقاه من قوات حلف الأطلسي. الأمر نفسه كررته روسيا مع جورجيا في العام التالي (2008م) حيث شنت هجمات إلكترونية مكثفة بعد حرب عسكرية هذه المره، مما أدى أيضا إلى استسلام جورجيا في وقت قصير.

هذه النوع من الحرب ليس من الضرورة أن يكون بين دولتين متقابلتين – كما في الأمثلة المشار إليها – بل قد تشنها عصابات أو أفراد هواة على دولة أو دول معينة لأغراض مختلفة. و لعل أقرب مثال على ذلك هو ما حدث من هجمات متتالية على شركات و منظمات في اسرائيل مؤخرا، حيث ادعى المسؤلية عن تلك الهجمات مخترق مجهول الهوية رمز لنفسه باللقب 0Xomar. و لكي نفهم أكثر طبيعة مثل هذه الحروب الإلكترونية و نقف على مدى خطورتها، لنقلي نظرة أكثر تفصيلا على هذه الهجمات.

قبل نحو ثلاثة أسابيع، تم اختراق الموقع الرياضي الاسرائيلي الشهير جدا One.co.il بواسطة مخترق مجهول الهوية، و حسب استقرائي الشخصي أعتقد ان هذه الاختراق تم بواسطة هجمات بسيطة جدا كحقن دوال الإس كيو إل (SQL Injection). استطاع المخترق الوصول إلى جميع قواعد البيانات المرتبطة بالموقع و منها قاعدة بيانات تحوي بيانات بطاقات الإئتمان التي تم استخدامها لشراء بعض الخدمات و المنتجات من خلال الموقع. ليقوم المخترق بعد ذلك بنشر بيانات بطاقات الائتمان التي تحصل عليها بالإضافة إلى بيانات الدخول للموقع الخاصة بكل المستخدمين على الانترنت (زعم المخترق أنه تحصّل على بيانات مليون بطاقة إئتمان، إلا أن الحكومة الاسرائيلية نفت الرقم و قالت أن مجموع البطاقات التي تمت سرقة بياناتها لا تتعدى الـ 14,000 بطاقة قبل أن ترفع الرقم إلى 15,000 و أخير إلى 20,000 بطاقة ائتمان).

و بعد استنفار أمني إلكتروني كبير في اسرائيل، حدث هجوم آخر قبل ما يقارب الإسبوع عطَّل تماما موقع الخطوط الجوية الإسرائيلية و موقع بورصة أسهم تل أبيب من خلال ما يعرف بالهجمات الإغراقية (Flood Attacks).

هذه الهجمات ادعى المسؤلية عنها مجموعة من المخترقين – بالإضافة إلى 0Xomar الذي أشرنا إليه مسبقا – كـ Group-XP و Nightmare بالإضافة إلى الإشتباه في شاب إماراتي لا يتعدى عمره الـ 19 ربيعا!

الأمر المشترك بين جميع من ادعوا انهم قاموا بهذه الهجمات هو أنهم أفراد هواة و ربما أيضا صغار في السن، و على الرغم من ذلك فإن دولة مثل إسرائيل و التي تعتبر من أفضل الدول في العالم في مجال أمن المعلومات عجزت عن ردعهم و حماية أنظمتها من اختراقاتهم!

اسرائيل بدورها ادعت أنها سترد على هذه الهجمات بهجمات إختراقية أكبر على بعض الدول، خصوصا و أن الهجمات السابقة قد أصابتها في مقتل و طعنتها في قلب كبريائها الذي تباهي به دائما و هو تفوقها التقني في المنطقة و العالم. مؤخرا، زعم بعض المخترقين الاسرائيليين أنهم اخترقوا بيانات عملاء أحد البنوك السعودية، الأمر الذي ثبت أنه غير صحيح لاحقا. لكن هذا لا ينفي احتمال قيام اسرائيل بدعم و شن مثل هذه الهجمات مستقبلا على منشآت خدمية سواءً في المملكة العربية السعودية أو غيرها من الدول العربية.

ما سبق يؤكد على حتمية البحث عن حلول أكثر فعالية لهذه المعضلة من خلال وسائل حماية قادرة على حماية الدول من هجمات اختراقية على انظمة الحاسب مما قد يشل الخدمات و يعطل الحياة العامة. في أغلب دول العالم الآن توجد إدارات متخصصة تُعنى بإدارة الحرب الإلكترونية و التخطيط لردعها – فيما لا سمح الله و حدثت – و الرد عليها. أيضا يوجد ما يعرف بـ CERT أو فريق التعامل مع طوارئ الحاسب الآلي (يقوم بهذه المهمة في المملكة العربية السعودية المركز الوطني الإرشادي لأمن المعلومات الذي تشرف عليه هيئة الاتصالات و تقنية المعلومات http://www.cert.gov.sa). إلا أن حلولا أخرى – قانونية أو/و سياسية ربما -باتت ملحّة، كتوقيع اتفاقيات حماية متبادلة للمعلومات بين الدول و فرض عقوبات صارمة على الدول التي تنتهك ذلك.

د. وليد الروضان.

* مقالة منشورة في مجلة أحوال المعرفة التابعة لمكتبة الملك عبدالعزيز العامة.

 
 

الأمن الإلكتروني : لقاء تلفزيوني

24 Jan

كنت ضيف برنامج (الثقافة اليوم) على القناة الثقافية السعودية، و الذي بث مباشرة يوم الأربعاء الموافق للثامن عشر من شهر يناير الحالي.

أود أن أتقدم بجزيل الشكر لجميع طاقم البرنامج على رأسهم الإعلامي المتألق (ماجد العمري) و الأستاذ (حسام الزهراني) و الأستاذ (عبدالرحمن البكري) على ما لقيته منهم من حفاوة و احترافية عالية.