RSS
 

مؤتمر عالمي في القاهرة حول أمن المعلومات و الخصوصية

14 May

تلقيت قبل أيام رسالة كريمة تضمنت شهادة أعتز بها من سعادة المستشار (محمد محمد الألفي)، رئيس المحكمة بالقضاء المصري، جاء فيها:
سيادة الاستاذ الفاضل وليد الروضان،
السلام عليكم ورحمة الله وبركاته،
اشكر سيادتكم على الدور العظيم الذي تقوم به في التثقيف المجتمعي من خلال موقعكم العظيم…

و أنا بدوري أشكر سعادة المستشار على ثنائه الكريم و تواصله الجميل، و أرجو من الله أن أكون عند حسن ظنه و ظن الجميع.. :)

في رسالته، أشار سعادة المستشار إلى مؤتمر عالمي سيعقد في القاهرة في الفترة ما بين الثاني إلى الرابع من شهر يونيو القادم.
و للأسف لم أكن أعرف بأمر هذا المؤتمر من قبل، لاسيما أنه يُعنى بجانب مهم من جوانب أمن المعلومات قد يكون الأبرز حاليا، و هو الخصوصية و السرية في الفضاء السايبيري و كيفية حمايتهما قانونيا. و بزيارة سريعة لموقع المؤتمر الإلكتروني، يبدو المؤتمر جيدا حيث أن لجنة المؤتمر تضم نخبة من الأساتذة المعروفين في المملكة المتحدة و غيرها من الدول، و الأوراق البحثية المعلن عنها شملت عناوين تبدو مثيرة للاهتمام.

 

 للمزيد حول المؤتمر (SPCI2008)، إضغط هـنـا.

الاهتمام المتزايد في العالم العربي بقضايا أمن المعلومات و الخصوصية هو أمر يدعو للتفاؤل بلا شك. لكن هل ستستوعب الأنظمة الجنائية و القانونية العربية و بشكل فعّال قوانين و تشريعات كفيلة بحماية خصوصيتنا و سرية معلوماتنا في الفضاء السايبيري؟ .. ما رأيكم؟

 
2 Comments

Posted in InfoSec Articles

 

!طابعات الليزر الملونة تخرق خصوصيتنا

08 May

طابعات الليزر الملونة تخرق خصوصيتنا.. هذه حقيقه قد لا يعرفها الكثير!

فمعظم طابعات الليزر الملونة صممت بحيث تُضمِّن في كل ورقة تقوم بطباعتها بيانات تجسسيه عن هذه الورقة.. أغلب الطابعات التي تعرفها تفعل ذلك.. هذا يشمل على سبيل المثال Canon و Xerox و HP و غيرها (اضغط هـنـا).

ما يحدث هو ان طابعة الليزر الملونة تقوم بوضع مصفوفة من النقاط الصفراء غير المرئية (يمكن رؤيتها في حال تم تعريض الورقة لضوء أزرق) على كل ورقة تقوم بطباعتها.. و هذه النقاط هي بمثابة معلومات يمكن اعادة استقرائها بسهولة و تتضمن رقم الصناعة التسلسلي للطابعة و تاريخ الطباعه و وقت الطباعه!

الهدف من وضع مثل هذه المعلومات على الأوراق.. هو بحسب المصنعين بغرض تسهيل التحقيق في جرائم التزوير.. خصوصا و ان هذه الطابعات تملك قدرة على طباعة أوراق ملونة بجودة عالية جدا.. كما يمكن استخدام هذه المعلومات في بعض عمليات الـ Forensics..

مؤخرا تمت اثارة هذا الموضوع في أوروبا، فتضمين مثل هذه المعلومات في الأوراق المطبوعة يعتبر خرقا لخصوصية المستخدمين بحسب بعض المهتمين في مجال الخصوصية، كما ان هذا العمل يعتبر خرقا للبند الثامن من اتفاقية حقوق الانسان، و ايضا خرقا للبند السابع من ميثاق الحريات و الحقوق الأوروبي.. و يبدو ان قضية قانونية سيتم رفعها قريبا ضد الشركات التي تقوم بذلك و تسوق طابعاتها في أوروبا..

 اذا أخذنا بالاعتبار ان هناك بعض جرائم التزوير التي قد تكشف فعلا باستخدام مثل هذه الأساليب..
قد يكون الحكم على الأمر محير هنا.. لذا اسأل.. هل انت مع أم ضد تضمين معلومات عن الورقة المطبوعه عليها و دون موافقة صاحب الطابعة؟
شخصيا.. انا ضد أي خرق لخصوصية المستخدم و تحت أي تبرير..!

للمزيد من المعلومات حول الموضوع: اضغط هـنـا و هـنـا.

 
8 Comments

Posted in InfoSec Articles

 

هل بات اعتماد الأجهزة الحكومية على برامج المصادر المفتوحة “ضرورة”؟

30 Mar

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

- Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

- Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

- Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

- OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

- OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

 
No Comments

Posted in InfoSec Articles, InfoSec News

 

NIST’s IDTrust’08 .. Good one!

10 Mar

Last week I presented a paper at NIST’s IDTrust symposium, Gaithersburg, USA.
I have to say that I have got impressed by the good organisation of the conference and the excellent quality of the refereed papers!
Even the attendees list was impressive!

It was a shame that I had to take off so quickly for some ”parenting” reasons! :mrgreen:
However, it was a very good opportunity to hook up with researchers and experts in the field of identity management.


N.B. : I’m not that short!
It’s the stand that was quite high!
:mrgreen:

I want to express my gratitude to the Chair (Kent Seamons) from Brigham Young University, for his support and for the lovely photos he took for me personally! 8)
I also want to thank the Local Arrangements Chair (Sara Caswell) from NIST. And last but no least, many thanks to (Neal McBurnett) from Internet2 and (Carl Ellison) from Microsoft for their kind words and precious contribution.

BTW, refereed papers and presentations slides can be found here.

 
8 Comments

Posted in InfoSec Articles

 

ISC2 publishes the 2008 Resource Guide!

21 Feb

As I used to remind you every year since 2006 –> the ISC2 has published the Information Security Resource Guide for this year. GET A COPY!

To get a copy, click here.

 
2 Comments

Posted in InfoSec News

 

!التوعية .. التوعية .. التوعية

18 Feb

وصلني عبر البريد الإلكتروني منذ مده مقطع صوتي يبدو أنه تم تداوله كثيرا بين مستخدمي الانترنت، و في المقطع الصوتي يبدو أحد أصحاب الثروات الضخمه مزهوا بثروته و هو يقوم بتسجيل مكالمته مع الهاتف المصرفي لأحد البنوك السعودية ليستعلم عن رصيده…
و انا هنا أستغرب كثيرا من هذا التصرف غير المسئول من هذا العميل!
فبإمكان أي شخص الآن استخدام أي برنامج مما يعرف بالـ Dial tone decoder و هي منتشره بكثره ليعرف رقم الحساب و الرقم السري و ببساطة شديدة!
في الوقت الذي اعرف ان الكثير من مستخدمي الهاتف المصرفي في أمريكا و بريطانيا مثلا يحرصون على ان لا يستخدموا الهواتف العادية ذات النغمة المعروفة خشية أن يكون هناك من يتنصت على المكالمة و يستعيد بعد الأرقام المهمه التي يدخلونها كالأرقام السرية..

و السؤال هو على من تقع المسئولية؟!
على البنك الذي يبدو جليا أنه لم يقم بتوعية عملائه بالمخاطر المتعلقة بالهاتف المصرفي بشكل جيد؟
أم على العميل الذي تصرف بسذاجه كبيرة؟
برأيي أن المسئولية مشتركة هنا، و ان كنت متأكدا انه في حال تم سرقة مبالغ من حساب هذا العميل فسيلقي باللوم كاملا على البنك..

نحتاج كثيرا لتنمية الحس الأمني لدى مستخدمي التقنية في الدول العربية..
للإستماع إلى المقطع الصوتي، إضغط هـنـا.

و أرجو ممن يعرف صاحب هذا المقطع الصوتي، أن يهديه هذا الموقع.
و لمعرفة المزيد حول الـ Dial tone decoder، إضغط هـنـا.

 
2 Comments

Posted in InfoSec Articles

 

!الإعلامية Ping و Sun معركة

10 Feb

لاحظت مؤخرا أن أغلب (أو ربما كل) التدوينات هنا جاده، و لا أود أن أقول جافه!
لذلك سأكسر القاعده هذه المره بخبر طريف أضحكني كثيرا في الأسبوع الماضي، حتى لا يتبادر إلى أذهان الزوار الكرام اني لا سمح الله “ثقيل طينه”! :mrgreen:

قد شاء الله تعالى أن يكون تخصصي الدقيق، في مرحلة الدكتوراة، في إدارة الهوية الإلكترونية أو ما يعرف بالـ Identity Management.
و هذا المجال بقدر ما يحوي من تعقيدات في مفاهيمه و أنظمته، إلا أني لاحظت أن أغلب متخصصيه يملكون حسا فكاهيا ملفتا، ولا أعرف حقيقة سبب ذلك، لكن يندر أن أحضر مؤتمر أو ورشة عمل لمتخصص في هذا المجال دون أن أضحك مرارا خلال حديثه!
و ما حدث في الأسابيع القليلة الماضية من “حرب إعلامية” بين شركتي Sun و Ping ربما يكون خير شاهد على ذلك!

القصه بإختصار تتمثل في وجود شركتين متنافستين في مجال إدارة الهوية و توحيد الهوية (Identity management and federation)، هما شركتي Sun و Ping..

فـ Sun بموظفيها الـ 35 ألفا، لطالما فاخرت بنظامها الشهير لإدارة الهوية و المسمى Sun Access Manager، و اعتبرته الأفضل في السوق، و هو في الحقيقة من أفضل أنظمة إدارة الهوية.

إلا أن Ping الشركة الصغيرة التي تضم 72 موظفا فقط، أصبحت من أشهر الشركات في مجال إدارة الهوية، بل و اكتسبت زخما هائلا منذ سنتين تقريبا بعد دخولها بمشاريع دمج مع عدة أنظمة لإدارة الهوية مثل Liberty و CardSpace و Shibboleth و OpenID و غيرها، و أثبتت جدارة كبيرة في ذلك.

و يبدو أن Sun بدأت تخشى منافستها الصغيرة جدا Ping، فقد “مَللت” أنا شخصيا من كثرة ما أقرأ من اتهامات يوجهها منسوبي Sun إلى Ping في كل مناسبة، بأن Ping سرقت بعض الأفكار من منتجاتهم.

لكن الوضع تطور دراماتيكيا قبل أسبوعين تقريبا حينما قام Daniel Raskin مدير الإنتاج الشهير في Sun بوضع مقطع فيديو ساخر في مدونته يتهكم فيه من شركة Ping.. في المقطع يظهر موظف شرق آسيوي يحمل اسم Ping و يبدو “أبلها” و مهزوزا، و يقوم دانيال بسؤاله اسئلة متعدده فيها الكثير من التهكم:

 

Ping بدورها لم تسكت!
فبعد 5 أيام فقط، قام المدير التنفيذي لـ Ping السيد Andre Durand شخصيا بوضع مقطع فيديو في مدونته للرد على Sun، و كان ردا قويا مقتبسا من الفيلم الشهير (300)! :mrgreen:

 

و كان آخر أحداث هذه “المعركة الملحمية” كما يسمونها، قبل أسبوع، حيث قام دانيال مرة أخرى بوضع مقطع فيديو جديد في مدونته، و يبدو فيه يبحث عن السلام مع Ping! :mrgreen:

 

أعرف جيدا أن المتحاربين تجمعهم علاقة ود و احترام متبادل.. فكثير من موظفي Ping سبق لهم العمل في Sun.. و مثل هذه المواجهات الإعلامية هي بالتأكيد من باب الترفيه و المزاح.. لكن لا تخلو بالطبع من رسائل مبطنه! :mrgreen:

أنا أيضا أحمل رسالة مبطنه داخل هذه التدوينه، و مفادها: لا تستفزونا نحن – متخصصي إدارة الهوية – فنحن ملوسنين! :mrgreen:

 
6 Comments

Posted in InfoSec Articles

 

SP1 for Vista contains something fishy!

06 Feb

Microsoft has added a random number generator to the deployed service-pack for Windows Vista. This generator is called Dual_EC-DRBG, which is one of three types of random number generators standardised by NIST last year (click here). The generator is not enabled by default, and it’s not clear whether or not the user can enable it!

Adding this specific generator to Vista is somewhat fishy!
Not only because that this elliptic curve based generator is much slower than the other two types, but because it may has a backdoor for the NSA which designed it at the first place!
And I think it’s needless to say what the NSA is and what authority it has..

Bruce Schneier, the Information Security expert, talked about his concerns regarding this issue months ago!

Some of you may ask, how important these generators are anyway?
Well, to answer that, let me borrow Bruce’s words on this:
Random numbers are critical for cryptography:
for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency.

To read Bruce’s article, click here.
For more about the SP1, click here.

 
No Comments

Posted in InfoSec News

 

Get an e-copy of the (Handbook of Applied Cryptography) for FREE!

03 Feb

Now, you can get an e-copy of one of the best Cryptography handbooks legally and absolutely free!

The (Handbook of Applied Cryptography) is available here.

 
2 Comments

Posted in InfoSec News

 

صدور تفصيل لنظام مكافحة جرائم المعلوماتيه في السعودية

25 Jan

صدر اليوم و بشكل رسمي تفصيل لنظام مكافحة جرائم المعلوماتية كما كنت قد طالبت قبل عشرة أشهر تقريبا..
(اضغط هـنـا)..

و تفصيل النظام هو فيه مجمله جيد جدا، و يحمل أمورا مهمة تعكس اهتماما ملحوظا بهذا الجانب المهم في أي مجتمع متحضر في عالمنا اليوم…
و ان كنت أرى أن هناك أمورا في النظام كان ينبغي أن تصاغ بطريقة اخرى، لكن لا أود أن أكون over-critiquing خصوصا و ان النظام يعتبر وليدا..
و أعتقد أني هنا أتحدث بلسان شريحة كبيرة من المهتمين حين أطالب بأن تتم توعية المحققين و القضاة بشكل جيد في كل ما يتعلق بالأنظمة المعلوماتية المتوفرة.
و على الرغم من أن النظام ينص على أن تساعد هيئة الإتصالات بمتخصصيها في بعض جوانب التحقيق و التحليل و هذا بالطبع أمر جيد، لكن كنت أود أن يتم انشاء جهة جديدة و مستقلة، تكون متخصصه في التحقيق في جرائم المعلوماتية و الـ forensics كما هو الحال في معظم الدول المتقدمه.

و بمناسبة حديثنا عن نظام مكافحة جرائم المعلوماتية، أود أن أكرر مطالبتي بإصدار نظام يهتم بخصوصية المواطنين و يعامل كمرجعية وطنية في كل التعاملات التي تشمل حفظ او معالجة معلومات خاصة بالمواطنين أو المقيمين و في كل الجهات الخاصة و العامة.

للإطلاع على ما صدر اليوم، إضغط هـنـا.

 
2 Comments

Posted in InfoSec News

 

(ISC)2 publishes the Hiring Guide!

21 Jan

The (ISC)2 has published recently the Hiring Guide, which I found quite useful..

 

The guide covers some essential subjects that need to be considered before hiring information security professionals such as: crafting a job description, certification requirement, screening, interviewing… etc.

To get the guide, press here.

 
No Comments

Posted in InfoSec News

 

!لفك الشفرات تخسر التحدي Colossus آلة

15 Jan

ربما يذكر بعضكم حديثنا قبل ما يقارب السنتين عن مركز Bletchley Park في بريطانيا و دوره في فك شفرات و رموز الألمان خلال الحرب العالمية الثانية و عن زيارتي للمركز، (إضغط هـنـا)..
المركز كان يستخدم جهاز يسمى Colossus لفك الرموز و الشفرات، و هذا الجهاز يعتبر من أقدم الأجهزة الحاسوبية و من أكثرها تقدما في وقته، و استطاع الانجليز بواسطته من فك آلاف الرموز أثناء الحرب العالمية الثانية داخل مركز Bletchley Park..

الجديد هو ما حدث قبل شهرين من تحدي مثير اهتم به معظم خبراء التشفير في العالم بشكل عام و في بريطانيا بشكل خاص..
التحدي يكمن في مسابقة أعادت جهاز Colossus للعمل بعد توقف دام أكثر من 60 عاما!
و التحدي كان يشمل جانبين:

أولا: يقوم فريق من الألمان الذين ساهموا بتشفير رسائل ألمانية أثناء الحرب العالمية الثانية، بتشفير ثلاث رسائل جديدة و بثها على موجات الراديو، و من نفس المركز الذي كانوا يستخدمونه للتشفير في الحرب العالمية الثانية في ألمانيا في مدينة Paderborn الألمانية. مستخدمين نفس طريقة التشفير و الآلة التي استخدموها اثناء الحرب و هي آلة Lorenz SZ42. مع العلم ان الرسائل الثلاث ستكون مقسمة إلى ثلاثة مستويات (صعب – صعب جدا – بالغ الصعوبة)..

ثانيا: يتم التنافس بين جهاز Colossus و جهاز حاسب حديث يستخدم نفس الطريقة في فك التشفير لمعرفة من سيكون الأسرع في فك شفرات الرسائل بعدها التقاطها من موجات الراديو، أجهزة الماضية العتيدة أم حواسيب الحاضر المتطورة!
و قد تم اختيار جهاز محمول بمعالج Pentium II لينافس جهاز Colossus، بإعتبار أن جهاز حاسب محمول بهذه المواصفات يقارب نوعا ما سرعة الـ Colossus..

و من أجل هذا الغرض تم بناء جهاز Colossus جديد، حيث انه لم يتم تصنيع سوى 10 أجهزه منه في السابق، و هي جميعها معطلة، و المشكلة كانت في أن بعض تفاصيل صناعته كانت سرية مما سبب بعض المشاكل لفريق اعادة التصنيع، إلا أنهم في النهاية تمكنوا من صناعة جهاز Colossus جديد..
الصورة في الأسفل هي للسيد Tony Sales الذي ترأس فريق إعادة تصنيع الـ Colossus يقف بجانب الجهاز الجديد، و كان قد سبق له العمل على الجهاز إبان الحرب العالمية الثانية..

و قد كان التحدي، الذي خسره جهاز Colossus بعد أن سبقه جهاز الحاسب المحمول بفك شفرات الألمان..
شخصيا لا أدري لماذا تعاطفت مع جهاز Colossus و وددت لو يكسب التحدي!
لكن ألا تتفقون معي بأنه من “المذهل” أن جهازا تم تصنيعه قبل أكثر من ستين سنه، ينافس جهازا تم تصنيعه قبل عدة سنوات و في عمليات رياضية معقدة!
خبر التحدي من الـ BBC هـنـا، و هـنـا خبر الهزيمة.

 
6 Comments

Posted in InfoSec Articles, InfoSec News

 

New Look!

14 Jan

I think that some of you might have got bored with the old look of the Blog…
So here it is.. a new look! 8)

 
6 Comments

Posted in InfoSec News

 

!بتسريب معلومات المستخدمين Google تدعم شكوكي ضد Hushmail

31 Dec

لم يمض على حديثي السابق عن شركة جوجل العملاقة و خدماتها المتعددة شهر واحد، حتى صعقت بما قرأته مؤخرا عما قامت به شركة Hushmail الكندية والشهيرة جدا، و التي تقدم خدمة البريد الإلكتروني المشفر لعشرات الالاف من مستخدمي الانترنت.
Hushmail كانت في السابق تقدم الخدمة عن طريق تشفير الرسائل الالكترونية داخل أجهزة المستخدمين بإستخدام اكواد جافا، لضمان أنه لن يتمكن من قراءة الرسالة الإلكترونية أحد سوى الشخص الذي شفرت الرسالة من أجله، إلا انه في العام 2006م قررت الشركة تقديم الخدمة بتشفير الرسائل في سيرفرات الشركة بدعوى ان أكواد الجافا تسبب ضيقا لدى المستخدمين و تثقل كاهل المعالجات في الحواسب الشخصية. و هذا التحول يعني بطبيعة الحال انه لم يعد الوضع كما كانت تَعدُ الشركة عملائها بأن لن يتمكن أحد من قراءة الرسالة الإلكترونية سوى الشخص المرسل اليه، و ان كانت الشركة ترفض توضيح ذلك.
مؤخرا، تداولت وسائل الإعلام وثيقة صادرة قبل ثلاثة أشهر تقريبا من محكمة المقاطعه في شرق ولاية كالفورنيا الأمريكية، توضح الوثيقة أن شركة Hushmail قامت بتسليم الحكومة الأمريكية رسائل إلكترونية تكفي لملىء 12 اسطوانة مدمجة و تخص ثلاثة حسابات في الـ Hushmail!!
كما أكدت الوثيقة أن هذا الأمر كان قانونيا تحت بنود معاهدة التعاون المشترك بين كندا و الولايات المتحدة الأمريكية.
الحسابات الإلكترونية كما تدعي الوثقية تخص صينيين يعملون في بيع مواد كيميائية محظورة بطرق غير شرعية و أن الرسائل المفضوحة أسهمت في معرفة الكثير عنهم و عن مختبراتهم في أماكن مختلفة تحت الأرض.

 

هنا يبقى السؤال، لما لا تفعل جوجل نفس الشيء؟
ان كانت شركة “كندية” و خدمتها الأساسية هي توفير “الخصوصية” لعملائها، قامت بفضح معلومات هائلة عن عملائها!
أرجو ان يكون في هذا الخبر تدعيم لكلامي السابق، و نفي لتهمة التفكير بنظرية المؤامرة عني.
 للإطلاع على وثيقة المحكمة، إضغط هـنـا.
و للمزيد حول الموضوع، إضغط هـنـا.

 
No Comments

Posted in InfoSec Articles, InfoSec News

 

How to break CAPTCHAs? .. use people!

31 Dec

Few days ago I’ve read an interesting article of how spammers break the CAPATCHA technique that is used widely to stop them. Apparently they use “naive” users to do so!
They would ask Internet users surfing some sites over the web to help tracking down the CAPTCHA code!
And they would use some attractive methods to motivate users, and it seems that it’s working quite well!

 

It’s worth mentioning here that Bruce Schneier has expected spammers to do so long time ago!
I think that such technique is much more reliable than using automated CAPTCHAs decoders!
To read the article, press here.

 
No Comments

Posted in InfoSec Articles

 
« Older Entries
Newer Entries »