RSS
 

شـكـر و تـقـديـر

08 Jul

بحكم أن العد العكسي لإقامتي في انجلترا (التي أعشقها كثيرا) قد بدأ..
أود أن وجه رسائل شكر سريعة لبعض المنظمات و الشركات التي أظهرت دعما كبيرا لي خصوصا في الأسابيع القليلة الماضية..
على أوجه رسائل مماثلة للأشخاص قريبا بإذن الله..

 

- أشكر بداية مشروع الهوية الإلكترونية المتميز و التابع للإتحاد الأوروبي STORK على تبنيهم لأحد مشاريعي البحثية بطلب منهم.. و تعاونهم مع جامعة Royal Holloway بغرض تنفيذ هذه المشاريع.. كنت أتمنى حقيقة لو كان بمقدوري الموافقة على العمل معهم في بلجيكا.. أتمنى التوفيق لهم و لجامعتي الأم Royal Holloway.. أيضا لا يفوتني شكر الشركة العملاقة Microsoft على تفهمها و مرونتها و حرصها على تطوير أمن أنظمتها..

- أيضا أتوجه بالشكر لمشروع Concordia في الولايات المتحدة الأمريكية على تواصلهم المستمر و طلبهم التعاون لتطوير أحد مشاريعي البحثية.. و أشكر Liberty Alliance الداعم الكبير لهذا المشروع..

- أشكر أيضا الشركة الرائدة Symantec في المملكة المتحدة على عرضهم الوظيفي السخي الذي تقدموا به قبل أيام.. و أيضا شركة Kaizen في لندن على عرضهم الوظيفي المتميز.. و كل الشركات و المؤسسات التي طلبت التواصل مؤخرا بغرض تقديم عروض وظيفية..

- أشكر كل الجامعات و المؤسسات الأكاديمية في بريطانيا التي زرتها و التي أتيحت لي فرصة تقديم محاضرات فيها.. و بالأخص جامعتي مانشستر و ليفربول جون مورس.. و منظمة محترفي أمن المعلومات في بريطانيا IISP على دعمها الكبير..

- و أخيرا و ليس آخرا..
أتوجه بجزيل الشكر لجامعتي العظيمة Royal Holloway, University of London و بالأخص مجموعة أمن المعلومات (ISG) في قسم الرياضيات.. على كل ما قدمته لي.. من دعم كبير جدا سواءا كان ماديا أو معنويا.. و ما وفرته لي من السبل و الوسائل لأتمكن من تأدية التزاماتي الدراسيه و مهامي البحثية بشكل قل مثيله في الجامعات الأخرى.. ربما يتساءل الكثير عن سبب تصنيف هذا القسم الأول عالميا في مجال أمن المعلومات.. و الجواب لا يمكن أن يكتب أو يقال.. بل يجب أن يرى!
جائزة التفوق في مرحلة الماجستير من رئيس الجامعة كانت أول جائزة مالية كبيرة أحصل عليها نظير تفوقي الدراسي.. و ستبقى ذكرى جميلة ما حييت..
أعرف أني من المؤكد نسيت الكثير من المؤسسات و الشركات للأسف، فذاكرتي لم تعد كما كانت..

!Ta

 

و هوس التخلي عن الخصوصية Google Latitude

17 Jun

جوجل.. من جديد..
و قبل أن أتحدث عن خدمة جوجل الحديثة نسبيا Google Latitude .. أود أن أطرح سؤالين أجد صعوبة في إيجاد إجابات دقيقة لهما..
السؤال الأول: لمَ فقدت خصوصيتنا أهميتها لدينا؟
و السؤال الثاني: هل يوجد هناك سبب واحد يجعلنا نثق بجوجل ثقة عمياء؟
حظا سعيدا في محاولتكم الإجابة على هذين السؤالين!

……..

Google Latitude هي خدمة من جوجل.. تمكنها (كالعادة) من معرفة معلومات في غاية الخصوصية عن مستخدميها. و بشكل أكثر تحديدا، تمكنها من معرفة أماكن تواجدهم الجغرافية في وقت معين!

قبل أن أسهب في الحديث، ربما يساعدكم مقطع الفيديو التالي على فهم الخدمة بشكل أكبر:

[youtube]http://www.youtube.com/watch?v=Q-Oq-9enE-k[/youtube]

هل وصلنا لهذه الدرجة من “السذاجة” ليتم تمرير خدمات مماثلة علينا، لتلقى رواجنا كبيرا بين مستخدمي الانترنت؟!
ما هي الفائدة المرجوة من التخلي عن خصوصيتنا بهذا الشكل؟
ما هو المقابل و هل يستحق أن نتخلى عن أهم معلوماتنا الخاصة؟
أرجو أن لا يرد أحدهم بأنه لا يخشى على خصوصيته حيث أنه يستفيد من خدمات جوجل متخفيا خلف معرفات مستعارة.. تأكد من أن هذا لن يمنع جوجل من معرفتك! (
اضغط هـنـا)

للمرة العاشرة – ربما – أكرر من خلال هذه المدونة، جوجل تعمل على انشاء بنك معلوماتي هائل مستغلة سذاجة مستخدمي الانترنت و تلهفهم على الحصول على خدمات مجانية. يجب أن نكون أكثر وعيا.. و ذكاءا!

 

نعم.. أغلب مستخدمي الانترنت يعتمدون على كلمات مرور سهلة

14 May

بعد عقدين على انشاء أول صفحة ويب.. و بعد سنوات من انتشار تطبيقات الانترنت المختلفة في سائر أنحاء العالم و بتسارع مبهر.. يبدو أن أغلب مستخدمي الانترنت لم يصلوا بعد لمرحلة ‘النضج’ فيما يتعلق بكيفية الحفاظ على خصوصيتهم و أمن معلوماتهم..!

قبل أشهر معدودة تم اختراق الموقع الشهير phpbb.com ..

و قام المخترق حينها بنشر كلمات المرور الخاصة بجميع أعضاء الموقع المسجلين.. ما يقارب 20000 كلمة مرور!

هذه الحادثة المؤسفة تم استغلالها بشكل جيد من قبل بعض المهتمين بمجال أمن المعلومات، حيث قاموا بتحليل كلمات المرور المنشورة في محاولة منهم للوقوف على مدى قوة كلمات المرور التي يتم اختيارها من قبل رواد الشبكة العنكبوتيه..
أحد هؤلاء كان (روبرت غراهام)، الذي قام بتصميم نظام برمجي لتحليل كلمات المرور المنشورة..
و بكل بساطه.. يمكن وصف نتيجة التحليل بأنها ‘مخيبة للأمال’ بشكل كبير!

فما يقارب الـ 65% من كلمات المرور تم العثور عليها في قواميس اللغة الانجليزية..
بل أن 94% منها تم العثور عليه في قواميس كلمات المرور التي يستخدمها المخترقون عادة..
أتمنى عليكم قراءة مقالة السيد روبرت بأنفسكم، وربما أن بعض الاحصائيات الواردة فيها ستصدمكم.. فعلى سبيل المثال، أكثر من 3% من أعضاء موقع phpbb.com قاموا بإختيار كلمة المرور التالية: 123456!
لقراءة المقال إضغط
هـنـا.

و بما ان الشئ بالشئ يذكر.. أشير هنا إلى أن خبير أمن المعلومات المعروف (بروس شناير) كان قد عمل تحليلا مماثلا قبل ثلاث سنوات على كلمات مرور قام بنشرها مخترقون بعد أن أوقعوا بالكثير من مستخدمي الانترنت عبر صفحة وهمية قاموا بتصميمها لموقع MySpace الشهير.. و النتائج بطبيعة الحال لم تكن أكثر إشراقا..
إضغط
هـنـا.

و بمناسبة الاشارة إلى قواميس المخترقين لكلمات المرور (و هي قواميس تحوي أكثر كلمات المرور شيوعا بين مستخدمي الانترنت) ربما يجدر بي وضع مثال عليها..
ربما سمع الكثير منكم بدودة Conficker أو Downadup و التي استهدفت خوادم Windows قبل مدة..
هذه الدودة تعتمد بشكل كبير على قاموس لكلمات المرور تم انشاءه من قبل مطوريها..
هذه ‘بعض’ كلمات المرور في ذلك القاموس كما تم نشرها في مدونة السيد Graham Cluley:

 أتمنى أن لا يفاجأ أحدكم بالعثور على كلمة المرور الخاصة به في القائمة أعلاه! :mrgreen:

يبدو أن جهود نشر التوعية الأمنية بين مستخدمي الانترنت لم تحقق المرجو منها خصوصا و أن أغلب مستخدمي الانترنت هم من صغار السن أو قليلي الحرص.. لذلك أعتقد أن الاعتماد على كلمات المرور كخط دفاع أول و كتقنية تحقق من هوية المستخدم سيقل بشكل ملفت مستقبلا، خصوصا و نحن نشهد ثورة كبير في مجال إدارة الهوية الرقمية.

فكل الحلول التي تم طرحها لتدعيم الاعتماد على كلمات المرور (كالمطالبة بعدد معين من الأحرف و الأرقام، أو مطالبة المستخدم بتغير كلمة المرور الخاصة به كل فترة معينه.. الخ) ثبت أنها لا تجدي و أنها مجرد محاولات لتجميل تقنية قديمة لا تنفع في وقتنا الحاضر..

رأيكم؟

 

هل نحن فعلا بحاجة إلى.. حاسة سادسة؟

18 Mar

قبل أيام و في المؤتمر ‘الشهير’ TED.. و الذي يُعنى بعرض الأفكار المبهرة و المتقدمة في مجال التكنولوجيا..  تم الكشف عن مشروع كبير الذي يتم العمل عليه في معامل MIT..
مشروع يهدف إلى تطوير ‘حاسة سادسة‘.. تمكنك من معرفة أمور كثيرة جدا حلو كل ما تراه و بشكل فوري..!

لن أطيل في الحديث عن هذا المشروع.. بل أتمنى عليكم مشاهدة مقطع الفيديو في الأسفل.. فذلك سيوضح لكم فكرة المشروع بشكل جيد..

[youtube]http://www.youtube.com/watch?v=mUdDhWfpqxg[/youtube]

ما شاهدتموه للتو.. هو الإعلان عن فكرة في ‘غاية’ الخطورة في رأيي المتواضع!

شاهدوا تطبيق هذي الفكرة كما يظهر في الدقيقة 6:46 مثلا..
و من ثم تخيلوا الكم الهائل من المعلومات المتعلقة بك و التي يمكن أن يتحصل عليها أي شخص يقابلك للمرة الأولى.. يكفيه فقط أن يعرف أسمك مثلا.. ليجري عنك بحث فوري في محركات البحث و يعرف عنك العديد الأمور التي ربما قد تكون انت نفسك قد نسيتها (مثلا لو ان اسمك ظهر في قائمة الناجحين في إمتحانات الثانوية العامة.. و كانت هذه القائمة قد نشرت في موقع إحدى الجرائد.. فمعلومات مثل: متى تخرجت و من أية مدرسة و ما هو مسارك (علمي – أدبي) و في أي مدينة و ما هو تقديرك.. الخ،  كل هذه المعلومات و ربما غيرها ستكون متوفرة لمن يتحدث معك و بشكل فوري.. قـِس على ذلك)!

تخيلوا معي فيما لو تبنــَّت شركة “جوجل” مثلا هذا المشروع و استحوذت عليه..
(بالمناسبة: النظام الشهير (Google Earth) كان في أساسه مشروعا في معامل MIT)..
هل بإمكانكم تصور حجم المعلومات التي ستعرفها “جوجل” عنك؟!

لن يقتصر الأمر حينها على معرفة المواقع التي زرتها.. و الكلمات التي بحثت عنها.. و محتوى رسائلك الإلكترونية.. الخ.
بل سيتعدى ذلك ليصل إلى معرفة تفاصيل حياتك اليومية خارج الشبكة العنكبوتية!

معلومات مثل: مـَن مـِن أصدقائك قابلت اليوم.. ماهي الشوارع التي سلكتها و الأماكن التي زرتها (هذا الأمر بدأ يحدث فعلا: إضغط هـنـا).. ماذا شاهدت في الخارج.. مـَن هاتفت.. لن تبقى معلومات خاصة!

لماذا نصر على ‘تسهيل’ حياتنا اليومية بهذه الصورة المبالغ فيها؟!
لماذا نتجاهل أهمية الخصوصية مقابل الحصول على خدمات ليست ضرورية؟!

أعرف أن أفكارا كـ ‘الحاسة السادسة’ قد تبدو جميلة و مبهرة.. و هي كذلك ربما.. لكن لنتذكر دائما أن (الخدمات المتطورة و الميسرة) و (الخصوصية و أمن المعلومات) هما طرفي ميزان.. و يجب دائما أن نعمل على توازن الطرفين.. يجب أن لا نتخلى عن خصوصيتنا إلا مقابل خدمات ضرورية.

ما رأيكم في الموضوع؟

 للمزيد حول TED، إضغط هـنـا.

 

Privacy violation toys!

05 Feb

I have talked before about how easy it is to spy or violate other’s privacy using tools that can be found in markets or even in toy shops!
(press
here and here)

Well, it seems that these stuff are emerging and becoming more sophisticated!

I found out recently about a spying “toy” that’s called Spykee!
This toy is basically a robot that is capable of taking pictures and movies that can be watched via the Internet either in real time or later on. You can even talk with whoever you’re spying on via Skype!

[youtube]http://www.youtube.com/watch?v=DG4nX5NlmcU[/youtube]

This robot would cost around $300, and just imagine how much evil stuff that you can readily do using it!
For further information, press
here. 

…………….

BTW, it seems that you can buy any thing via the Internet these days!
Even if you want to buy a camera belonging to the MI6 (the British equivalent of the CIA) which contains “images of al Qaeda suspects, fingerprints, names, rocket launchers, and missiles inside”!
For more details, press
here.

 

حين تلفظ “الخصوصية” أنفاسها الأخيرة

14 Dec

لطالما ‘ تفاخر ‘ الغرب على باقي أجزاء العالم (ثانيا أو ثالثا)، بأنه يقدس ‘ خصوصية ‘ الأفراد، و أن حرية المجتمع مكانها الراسخ هو في هرم أولوياته.
هذه ‘ الإدعاءات ‘ بدأ وهجها بالخبوت و الخفوت بعد أحداث الحادي عشر من سبتمبر الإرهابية في العام 2001م، حيث تغيرت القوانين و انتهكت الحريات بدعوى محاربة الإرهاب.
و ربما كان من المثير للإستغراب (ولا أقول السخرية) أن تصادر الدول الغربية حريات أفرادها بدعوى حمايتهم من جماعات تريد أن تـَسلب الأفراد أنفسهم هذه الحرية!
فلو كان هدف الإرهابيين هو أن تـُسلب هذه الحرية، فهذا يعني أن هؤلاء الإرهابيين قد انتصروا و بجدارة!

سأخصص الحديث عن أمريكا كمثال تحتذيه الدول الغربية و أنموذج مجتمعي تؤيده..
لن أتحدث عن قوانين ’ الباتريوت ‘ التي سـَلبت قاطني الولايات المتحدة الأمريكية الكثير الكثير من حقهم بالتمتع بدرجة جيدة من الخصوصية، ولا عن فضائح التنصت على مكالمات المواطنين و مراقبتهم.. فحتى ذلك الوقت كنت مازلت مقتنعا بأن الخصوصية في أمريكا مرضت بشدة دون أن تموت..
إلا أنه في رأيي المتواضع، فإن ‘ الخصوصية ‘ في الولايات المتحدة الأمريكية لفظت أنفاسها الأخيرة قبل ما يقارب الأربعة أشهر.

فقبل أربعة أشهر أصدرت وزارة الداخلية الأمريكية وثائق تنظم (سياسة مصادرة الأجهزة الإلكترونية الخاصة بالمسافرين) و التي تنص على أنظمة و تشريعات أبسط ما يمكن أن توصف بها بأنها ‘ تسلطيه ‘ ولا تحترم خصوصية الفرد!
فبحسب الأنظمة الجديدة، يحق للسلطات الأمريكية مصادرة أي جهاز يمكنه حفظ معلومات (كومبيوتر محمول، كفي، آي بود، هاتف جوال.. الخ) من أي مسافر و بدون ايه تهمة مسبقة أو ابداء سبب واضح، و لمدة غير محددة. و ان كان هذا يبدو جائرا، ففي الحقيقة ما ذكرته حتى الآن ليس هو الجزء الأسوأ.
فبحسب الأنظمة الجديدة أيضا، فإن للسلطات الأمريكية الحق الكامل في أن تطلع على محتويات هذه الأجهزة و تنسخها أو تتلفها.. بل و أيضا أن تعطيها لجهات أخرى سواءا كانت حكومية أو حتى جهات خاصة!!

لا أعتقد أن نظاما مثل هذا يحتاج لخبير في الخصوصية لكي يوصم بأنه انتهاك خطير و يهدد خصوصية الفرد. خصوصا و أني أشك كثيرا بأن إرهابيا محتملا سيحمل معه معلومات حساسة على أجهزة إلكترونية في المطار!

ختاما.. أحب أن أؤكد أن وضع نظام لإنتهاك خصوصية الفرد لا يعني بأي حال من الأحوال انتفاء هذا الإنتهاك!
تماما كما يقول الرئيس الأمريكي القادم (اوباما):

!You can put lipstick on a pig, but it’s still a pig

للمزيد حول الموضوع، إضغط هـنـا و هـنـا و هـنـا.

 

شكر و امتنان

30 Nov

أود أن أعبر عن خالص شكري و عظيم امتناني للجنة إدارة المؤتمر الدولي للسياحة و التسويق الإلكتروني، و المزمع إقامته في الـ 15 من ديسمبر القادم في شرم شيخ بمصر، و ذلك على تفضلهم بإختياري ضيفا على مؤتمرهم الموقر. كما أتقدم بالشكر الجزيل لسعادة الدكتور القاضي محمد محمد الألفي الذي أسعدني بتواصله و اهتمامه.

وددت حقيقة لو كان بمقدوري تلبية الدعوه، لكن ارتباطي المسبق مع مؤتمر آخر و في نفس الوقت حال دون ذلك للأسف.
إلا أني أتمنى أن يتوج المؤتمر الدولي للسياحة و التسويق الإلكتروني بنجاح كبير كما هو متوقع بإذن الله.
كما أدعوكم لزيارة موقع المؤتمر بالضغط
هـنـا.

 
 

Security through obscurity!

07 Nov

I have been involved in many tense (almost violant :mrgreen: ) debates about whether or not security through obscurity works!

As you might know, I strongly believe that in many cases it surely works, and I have talked about this issue long time ago in this Blog. I really don’t want to get through this again; however, I’ve just remembered an article I’ve read in Bruce Schneier’s Blog months ago that talks about the same issue. You might want to read it.


June 18, 2008
Security Through Obscurity
Sometimes security through obscurity works:

Yes, the New York Police Department provided an escort, but during more than eight hours on Saturday, one of the great hoards of coins and currency on the planet, worth hundreds of millions of dollars, was utterly unalarmed as it was bumped through potholes, squeezed by double-parked cars and slowed by tunnel-bound traffic during the trip to its fortresslike new vault a mile to the north.
In the end, the move did not become a caper movie.

“The idea was to make this as inconspicuous as possible,” said Ute Wartenberg Kagan, executive director of the American Numismatic Society. “It had to resemble a totally ordinary office move.”

[...]

Society staff members were pledged to secrecy about the timing of the move, and “we didn’t tell our movers what the cargo was until the morning of,” said James McVeigh, operations manager of Time Moving and Storage Inc. of Manhattan, referring to the crew of 20 workers.
From my book Beyond Fear, pp. 211-12:

At 3,106 carats, a little under a pound and a half, the Cullinan Diamond was the largest uncut diamond ever discovered. It was extracted from the earth at the Premier Mine, near Pretoria, South Africa, in 1905. Appreciating the literal enormity of the find, the Transvaal government bought the diamond as a gift for King Edward VII. Transporting the stone to England was a huge security problem, of course, and there was much debate on how best to do it. Detectives were sent from London to guard it on its journey. News leaked that a certain steamer was carrying it, and the presence of the detectives confirmed this. But the diamond on that steamer was a fake. Only a few people knew of the real plan; they packed the Cullinan in a small box, stuck a three-shilling stamp on it, and sent it to England anonymously by unregistered parcel post.
This is a favorite story of mine. Not only can we analyze the complex security system intended to transport the diamond from continent to continent–the huge number of trusted people involved, making secrecy impossible; the involved series of steps with their associated seams, giving almost any organized gang numerous opportunities to pull off a theft–but we can contrast it with the sheer beautiful simplicity of the actual transportation plan. Whoever came up with it was really thinking — and thinking originally, boldly, and audaciously.

This kind of counterintuitive security is common in the world of gemstones. On 47th Street in New York, in Antwerp, in London: People walk around all the time with millions of dollars’ worth of gems in their pockets. The gemstone industry has formal guidelines: If the value of the package is under a specific amount, use the U.S. Mail. If it is over that amount but under another amount, use Federal Express. The Cullinan was again transported incognito; the British Royal Navy escorted an empty box across the North Sea to Amsterdam — where the diamond would be cut — while famed diamond cutter Abraham Asscher actually carried it in his pocket from London via train and night ferry to Amsterdam.

Press here.

 

مركز التميز لأمن المعلومات

01 Oct

تم مؤخرا تدشين (مركز التميز لأمن المعلومات) بإشراف من جامعة الملك سعود، و دعم من قبل منظمات خدمية متخصصة و مؤسسات تعليمية ضخمة كجامعات بوردو و جورج ميسون في الولايات المتحدة الأمريكية و العديد من الجامعات السعودية كجامعات الامام و الملك عبدالعزيز و الأمير سلطان و غيرها.
هذا المركز يمثل برأيي نقلةً نوعية في مجال أمن المعلومات في المملكة العربية السعودية، و هو بمثابة اللبنة الأولى في صرح التفوق البحثي في هذا المجال بإذن الله.

يقدم المركز خدمات متعددة، ابتداءا بدعم متخصصي أمن المعلومات و تحفيزهم و المساعدة في توظيفهم و تهيئة مجتمع معرفي خاص بهم، و مرورا بانشاء مركز بحثي متخصص يضم نخبة من الخبراء و الأكاديميين، و ليس انتهاءا بتقديم خدمات استشارية للجهات الحكومية و غيرها. و يرأس المركز الدكتور خالد بن سليمان الغثبر، عضو هيئة التدريس في جامعة الملك سعود و الخبير المعروف في مجال أمن المعلومات.

أنصح و بإلحاح جميع متخصصي أمن المعلومات في المملكة العربية السعودية و باقي دول المنطقة، أن يبادروا بتسجيل عضوياتهم في المركز، لما يوفره المركز من خدمات متميزة لأعضائه تجدون تفصيلا وافيا لها في موقع المركز. و أن يسهموا بنشر موقع المركز و ابلاغ من يعرفوا من متخصصي أمن المعلومات عنه.

ولا أخفيكم ان وجود مركز مماثل في المملكة العربية السعودية كان بمثابة (أمنية) شخصية لم أكن أتوقع أن أراها تتجسد واقعا ملموسا و بهذه الاحترافية و التنظيم قبل سنوات من الآن، فالشكر الجزيل للقائمين على المركز و الداعمين له.

نشرة تعريفية عن المركز: إضغط هـنـا.
موقع المركز: إضغط هـنـا.
للتسجيل: إضغط هـنـا.

 
 

Lloyds is pants!

16 Sep

 أطلعني أحد الأصدقاء منذ أيام على قصة طريفة لا تخلو من تجاوزات مزعجة حدثت في بريطانيا قبل ما يقارب الأسبوعين..
فقد قام عميل مستاء من بنك Lloyds الشهير في بريطانيا و يدعى (ستيف جيتلي) ، قام بإختيار هذه الجملة ككلمة مرور للهاتف المصرفي:

 Lloyds is pants

و هذا تعبير بريطاني و يعني أن بنك Lloyds لا يعدو كونه قمامة (أكرمكم لله)! :mrgreen:
ستيف اختار كلمة المرور هذه عن تعبئة نموذج فتح الحساب بعد أن خلاف نشب بينه و بين البنك حول بوليصة تأمين اشتراها من البنك.
لكن ما حدث بعد ذلك كان أمرا غير متوقع، فعندما حاول ستيف الاتصال بالبنك لاجراء بعض العمليات المصرفية، تفاجأ بأن كلمة المرور الخاصة به قد تم تغييرها إلى:

 no it’s not

فحاول (ستيف) الاتصال بأحد موظفي خدمة العملاء ليخبره بذلك، ليفاجأ بالموظف يبلغه بأن كلمة المرور التي كان قد اختارها سابقا “لا تبدو مناسبة” و أن أحد موظفي البنك قد قام بتغييرها، و ان كانت كلمة المرور الحالية لا تعجبه، فعليه اختيار كلمة مرور جديده!
تعجب (ستيف) كيف يمكن للبنك تغيير كلمة المرور الخاصة به دون إخطاره، لكنه سأل موظف البنك فيما اذا كان بإمكانه إعادة كلمة المرور السابقة، و كانت الاجابة انه لا يمكنه ذلك، ثم سأل (ستيف) فيما اذا كانت كلمة pants هي المشكلة؟ حيث يمكنه تغييرها إلى rubbish! :mrgreen:
و بالطبع تم رفض ذلك، و طلب منه اختيار كلمة مرور بعيدة عن هذا المعنى، فقرر (ستيف) اختيار كلمة المرور التالية:

 Barclays is better

و Barclays هو بنك شهير منافس لـ Lloyds! :mrgreen:
ايضا تم رفض ذلك، بحجة ان هناك نظاما جديدا ينص على أن كلمة المرور يجب ان تتكون من كلمة واحدة فقط!
فأجاب (ستيف) بإنه يود إذاً أن يجعل كلمة المرور الخاصة به كلمة “censorship” و تعني “رقابة”! :mrgreen:
إلا أن حتى هذه الكلمة تم رفضها، بحجة أن كلمة المرور يجب أن لا تتعدى 6 أحرف!!
الأمر الذي أدى إلى شكوى تقدم بها (ستيف) إلى السلطات المسؤوله في بريطانيا.

البنك أصدر بيانا صحافيا بعد ذلك، اعتذر فيه من السيد ستيف و أكد على أن سياسة البنك ترفض تعديل كلمات مرور العملاء أو حتى الإطلاع عليها دون حاجه ملحة، و أن للعملاء مطلق الحرية في إختيار كلمات المرور الخاصة بهم. كما أكد البنك على أن الموظف الذي قام بتغيير كلمة المرور الخاصة بالسيد ستيف تم فصله من عمله في البنك.
للمزيد حول القصة، إضغط
هـنـا.

 
 

!Chrome جوجل من جديد.. هذه المره

13 Sep

دخلت جوجل في حرب تصريحات و جدالات كبيرة الأسبوع الماضي مع مجموعة من المهتمين بأمن المعلومات بسبب المتصفح الجديد لجوجل Google Chrome..
و السبب كان شروط الاستخدام التي وضعتها جوجل، و التي يلتزم بها كل مستخدم لمتصفحها الجديد. ففي إحدى الفقرات نجد نصا “مخيفا”:

11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services. By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services. This license is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

الكلام أعلاه يعني أن لجوجل حق التصرف الكامل بـ “كل” ما يمر عبر متصفحك..
و ذلك بإعتبار Chrome يمثل خدمه من خدمات جوجل!
و هذا يشمل بالطبع معلوماتك الشخصية و الخاصة و السرية، بالإضافة إلى نتاجك الفكري من نصوص و رسوم و صور.. الخ
و هذا النص، أبسط ما يقال عنه أنه “كارثة”!

طبعا جوجل قامت بإلغاء هذه الفقرة في الاسبوع الماضي (اضغط هـنـا)، و برر المسؤولون في جوجل وجود هذه الفقرة ابتداءا بأنه كان من باب “السهو”!!
فشروط الاستخدام لجميع خدمات و منتجات جوجل هي شروط موحدة، لذا يبدو أنه تم “نسيان” الغاء هذه الفقرة!
و أنا هنا أطرح تساؤلا بسيطا على المسؤولين في جوجل..
هل يمكنني أن أستغل شعارهم تجاريا، و من ثم أبرر ذلك بأني “نسيت” الفقرة التي تؤكد على أن شعار جوجل هو ماركة تجارية مسجلة؟
خصوصية مستخدمي الانترنت بدأت “تتلاشى” في ظل وجود خدمات مثل خدمات جوجل “المغرية”، و التي تخفي وراءها مؤسسة ضخمه “متعطشة” لأي معلومة عن أي شي!

Information is power.. power is money!

 
 

Now you can use CardSpace to log-in!

11 Sep

Apologies for the long absence, I suffered some busy and hard-going days!
I’ll be Blogging as frequent as before if not more! :)

………………………….

Good news for the Blog members, now you can use CardSpace to log-in!
CardSpace is one of the most prominent claim-based identity management solutions, and it mitigates the reliance on “passwords” to far extent!
Yeah it belongs to Microsoft.. but it is a quite good solution! :mrgreen:

To use CardSpace, you have to click on the CardSpace logo shown below in the log-in page.
And of course you must possess a CardSpace agent component on your machine (it comes with Vista). If you don’t have it, you can get one freely from Microsoft’s website.

 

The Blog accepts self-issued cards with email verification.

I believe this Blog is the first Arabic website that adopts CardSpace! 8)

 
 

Whitfield Diffie لقاء جميل مع

31 Jul

قبل اسبوع تقريبا، حظيت بشرف اللقاء مع أحد أشهر و أكبر الايقونات في عالم أمن المعلومات بشكل عام، و التشفير بشكل خاص.
ففي ردهات المؤتمر الأول لخريجي مجموعة أمن المعلومات في كلية هولوي الملكية، دار بيني و بين Whitfield Diffie حوار مطوّل حول بعض جوانب أمن المعلومات و أسعدني كثيرا أن أعرف تصوارته حول بعض الجوانب في هذا المجال.

 

Whitfield Diffie كان أول من تحدث – مع زميله Martin Hellmann – عن إمكانية التشفير و فك التشفير بمفتاحين مختلفين في ورقته الشهيرة جدا في العام 1977م و التي تحدثت عنها غير مره في هذه المدونة. مؤسسا بهذا الاكتشاف لعهد جديد من التشفير و أساليبه (كالـ PKI)، التي فتحت الباب على مصراعيه لعالم ضخم من التطبيقات الآمنة في العالم.
و أيضا، هو من طور العديد من برتوكلات التشفير المهمة جدا (كالـ DHKE) و التي تعتمد عليها بشكل حيوي معظم تطبيقات التشفير في الانترنت (كالـ SSL)..
و هو يشغل حاليا منصب نائب رئيس شركة Sun المعروفة.

تحدثنا عن أمور مختلفة، فهو مثلا يرى أن الثورة الهائلة في مجال تطوير مواقع الـ Web 2 ستنتهي قريبا!
و أن عهد التكسب من مواقع الانترنت التي تبدأ بدعم بسيط أو ما يعرف بالـ web startups، سيزول في أقل من عشر سنوات!

تحدثنا أيضا عن الـ Quantum Cryptography، و بحسب رأيه فإنها ليست من أساليب التشفير ولا يجب ان تسمى كذلك!
فالتشفير برأيه يجب أن يكون عملا مستقلا و أن لا يعتمد على وسيلة نقل الرسالة، الأمر المنتفي في حالة الـ Quantum Cryptography حيث يتم الاعتماد على خصائص الضوء في نقل الرسائل.
و بالمناسبة ضحك كثيرا حينما سألني ان كنت أعرف أول من أسس للـ Quantum Cryptography و أجبته بالنفي، حيث أخبرني أن أول من أسس لها كان Stephen Wiesner، لكن نجمه لم يسطع لأن شهرة والده Jerome Wiesner الذي كان رئيسا لـ MIT كانت تشتت هالته الاعلاميه عندما يذكر اسمه. و أخبرني أن Stephen هو من أخبره ذلك بنفسه و بإمتعاض! :mrgreen:

و الحديث عن الـ Quantum Cryptography قادنا إلى الحديث عن الـ Quantum Computing، و كان رأيه (و الذي أوافقه عليه بالمناسبة) أن مثل هذه التطبيقات لن ترى النور بشكل حقيقي قبل نهاية القرن الحالي!

و في موقف طريف، انضم للحديث أحد الأشخاص الذي بادر Diffie بالقول:
هل تعتبرون في Sun أن نظام التشغيل الخاص بكم Sun Solaris منتج ناجح؟.. فأنا لم أستخدمه في حياتي لأغراض شخصيه و لا أعرف أحدا من زملائي سبق له استخدامه لنفس الأغراض!
فأجابه Diffie:
اسمح لي بسؤالك.. هل تستخدم خدمات الموقع Google؟
أجابه:
بالطبع، يوميا!
فرد Diffie:
اذاً انت تستخدم Sun Solaris يوميا!
فكل خوادم Google تعتمد Sun Solaris كنظام تشغيل أساسي!
و أردف: في عالم اليوم، لا يجب أن تمتلك المنتج لتستخدمه… و في عالم الغد ربما حتى لن تملك جهاز حاسب لتستخدمه!! (في إشارة منه لتطبيقات الـ Grid Computing)

———

ختاما، أود أن أعتذر من كل زوار المدونة الكرام عن هذا الانقطاع الطويل عن الكتابة. سأحاول جاهدا أن أعاود الكتابة في المدونة و بشكل مستمر في القريب العاجل.

 
 

مؤتمر عالمي في القاهرة حول أمن المعلومات و الخصوصية

14 May

تلقيت قبل أيام رسالة كريمة تضمنت شهادة أعتز بها من سعادة المستشار (محمد محمد الألفي)، رئيس المحكمة بالقضاء المصري، جاء فيها:
سيادة الاستاذ الفاضل وليد الروضان،
السلام عليكم ورحمة الله وبركاته،
اشكر سيادتكم على الدور العظيم الذي تقوم به في التثقيف المجتمعي من خلال موقعكم العظيم…

و أنا بدوري أشكر سعادة المستشار على ثنائه الكريم و تواصله الجميل، و أرجو من الله أن أكون عند حسن ظنه و ظن الجميع.. :)

في رسالته، أشار سعادة المستشار إلى مؤتمر عالمي سيعقد في القاهرة في الفترة ما بين الثاني إلى الرابع من شهر يونيو القادم.
و للأسف لم أكن أعرف بأمر هذا المؤتمر من قبل، لاسيما أنه يُعنى بجانب مهم من جوانب أمن المعلومات قد يكون الأبرز حاليا، و هو الخصوصية و السرية في الفضاء السايبيري و كيفية حمايتهما قانونيا. و بزيارة سريعة لموقع المؤتمر الإلكتروني، يبدو المؤتمر جيدا حيث أن لجنة المؤتمر تضم نخبة من الأساتذة المعروفين في المملكة المتحدة و غيرها من الدول، و الأوراق البحثية المعلن عنها شملت عناوين تبدو مثيرة للاهتمام.

 

 للمزيد حول المؤتمر (SPCI2008)، إضغط هـنـا.

الاهتمام المتزايد في العالم العربي بقضايا أمن المعلومات و الخصوصية هو أمر يدعو للتفاؤل بلا شك. لكن هل ستستوعب الأنظمة الجنائية و القانونية العربية و بشكل فعّال قوانين و تشريعات كفيلة بحماية خصوصيتنا و سرية معلوماتنا في الفضاء السايبيري؟ .. ما رأيكم؟

 

!طابعات الليزر الملونة تخرق خصوصيتنا

08 May

طابعات الليزر الملونة تخرق خصوصيتنا.. هذه حقيقه قد لا يعرفها الكثير!

فمعظم طابعات الليزر الملونة صممت بحيث تُضمِّن في كل ورقة تقوم بطباعتها بيانات تجسسيه عن هذه الورقة.. أغلب الطابعات التي تعرفها تفعل ذلك.. هذا يشمل على سبيل المثال Canon و Xerox و HP و غيرها (اضغط هـنـا).

ما يحدث هو ان طابعة الليزر الملونة تقوم بوضع مصفوفة من النقاط الصفراء غير المرئية (يمكن رؤيتها في حال تم تعريض الورقة لضوء أزرق) على كل ورقة تقوم بطباعتها.. و هذه النقاط هي بمثابة معلومات يمكن اعادة استقرائها بسهولة و تتضمن رقم الصناعة التسلسلي للطابعة و تاريخ الطباعه و وقت الطباعه!

الهدف من وضع مثل هذه المعلومات على الأوراق.. هو بحسب المصنعين بغرض تسهيل التحقيق في جرائم التزوير.. خصوصا و ان هذه الطابعات تملك قدرة على طباعة أوراق ملونة بجودة عالية جدا.. كما يمكن استخدام هذه المعلومات في بعض عمليات الـ Forensics..

مؤخرا تمت اثارة هذا الموضوع في أوروبا، فتضمين مثل هذه المعلومات في الأوراق المطبوعة يعتبر خرقا لخصوصية المستخدمين بحسب بعض المهتمين في مجال الخصوصية، كما ان هذا العمل يعتبر خرقا للبند الثامن من اتفاقية حقوق الانسان، و ايضا خرقا للبند السابع من ميثاق الحريات و الحقوق الأوروبي.. و يبدو ان قضية قانونية سيتم رفعها قريبا ضد الشركات التي تقوم بذلك و تسوق طابعاتها في أوروبا..

 اذا أخذنا بالاعتبار ان هناك بعض جرائم التزوير التي قد تكشف فعلا باستخدام مثل هذه الأساليب..
قد يكون الحكم على الأمر محير هنا.. لذا اسأل.. هل انت مع أم ضد تضمين معلومات عن الورقة المطبوعه عليها و دون موافقة صاحب الطابعة؟
شخصيا.. انا ضد أي خرق لخصوصية المستخدم و تحت أي تبرير..!

للمزيد من المعلومات حول الموضوع: اضغط هـنـا و هـنـا.