RSS
 

هل بات اعتماد الأجهزة الحكومية على برامج المصادر المفتوحة “ضرورة”؟

30 Mar

لطالما دخلت في نقاشات مطولة مع الكثير من الزملاء حول رؤيتنا فيما يتعلق بالمصادر المفتوحة و المغلقة..
و كان رأيي دائما هو نفسه: لكل نظام أهميته و استخدماته ولا توجد أفضليه لأحدهما على الآخر..

فالفوائد المكتسبة من نشر و تطوير و استخدام برامج المصادر المفتوحة قد لا تخفى على أحد ربما.. بدءا من زهد الثمن و انتهاءا بما هو أهم من تبادل المعرفة حول البرنامج و زرع الثقة في مستخدم النظام من خلال امكانية التحقق المباشر من المصدر و دراسته و سرعة الإبلاغ عن الثغرات البرمجيه و تلافيها و اصلاحها.. الخ.

إلا أن المصادر المغلقة أيضا لها أهميتها، فالحفاظ على حقوق المبرمجين التجارية و حماية نتاجهم الفكري هو أمر من حقهم ولا يجب المساومة على ذلك، كما أن الحماية من خلال الإخفاء هي قاعدة أمنية معروفة: Security through obscurity..

لكن لنعد إلى السؤال الذي عنونت به هذه التدوينه..
فإن كان لكل نظام تطبيقه الخاص.. ما هو النظام الذي يناسب الأجهزة الحكومية المختلفة؟
سأجيب عن هذا السؤال من خلال خبر هام تداوله المهتمون بأمن المعلومات في الأشهر القليلة الماضية..
لكن قبل أن أتحدث عن الخبر..
أود أن أذكّر.. أن لأي تطبيق حكومي حساسيته و أهميته.. فمعظم هذه التطبيقات تبنى على معلومات و بيانات حساسه.. بعضها قد يمس خصوصية المواطنين و بعضها قد يتعدى ذلك، كالمعلومات الأمنية و السرية..

من المعروف أن معظم الدول الغربية المتطورة تكنولوجيا (كالولايات المتحدة الأمريكية و ألمانيا على سبيل المثال)، قامت بسن أنظمة صارمة تحتم على أجهزة الحكومة (خصوصا الأمنية) استخدام برامج مصادر مفتوحة حصرا.. و تمنع أي تعامل مع أي برامج مصادر مغلقة..!
و لكي نعرف ما إذا كان هذا الأمر مبررا أم لا..
دعونا نتأمل نتائج المشروع الضخم الذي تبنته الـ Department of Homeland Security أو الـ DHS.. و هي منظمة حكومية تعادل “وزارة الداخلية” في الولايات المتحدة الأمريكية..
المشروع كان يهدف لإعادة تدقيق مصادر (أكواد) كل البرامج ذات المصادر المفتوحة التي يتم استخدامها من قبل الـ DHS.. و تم الانتهاء منه مؤخرا بعد عمل استمر لعامين.. إلا أن نتائجه كانت صادمة للكثيرين!
فقد وجد بالمعدل: ثغرة “أمنية” واحده في كل 1000 سطر من الكود فقط!
و هذا أمر مقلق حقا!

إلا أن المفرح في هذا الخبر، هو عندما ندرك كم شخصا تمت حماية أمنه الشخصي عند إصلاح كل ثغرة!
و هذا هو مربط الفرس..
و لذا ارى و بدون تردد.. أن الأجهزة الحكومية عامة و الأمنية خاصة، يجب أن تعتمد و بنسبة 100% على برامج المصادر المفتوحة، خصوصا اذا كانت تنوي الانضواء تحت مظلة تطبيقات الحكومة الإلكترونية!

ختاما.. هذه احصائية عن عدد الثغرات التي وجدت في بعض البرامج التي تمت اعادة تدقيق مصادرها:

– Lunix-kernal 2.6: المصدر يحتوي على 3.639.322 سطرا من الكود. تم العثور على 913 ثغره!
تم اصلاح 452 منها، و حل 48 ثغرة بانتظار الاصلاح، فيما بقي 413 ثغرة تنتظر الحل ثم الإصلاح.

– Unix FreeBSD: المصدر يحتوي على 1.582.166 سطرا من الكود. تم العثور على 611 ثغره!
لم يتم اصلاح أيا منها، فيما تم حل 6 ثغرات بانتظار الاصلاح، و يبقي 605 ثغرة تنتظر الحل ثم الإصلاح.

– Apache Web server: المصدر يحتوي على 135.916 سطرا من الكود. تم العثور على 22 ثغره!
تم اصلاح 3 منها، و حل 7، فيما بقي 12 ثغرة تنتظر الحل ثم الإصلاح.

– OpenVPN: : المصدر يحتوي على 69.223 سطرا من الكود. تم العثور على ثغره واحده فقط، تم حلها لكن لم يتم إصلاحها حتى الآن.

– OpenSSL: المصدر يحتوي على 221.194 سطرا من الكود. تم العثور على 49 ثغره!
تم اصلاح 24 منها، و حل واحدة، فيما بقي 24 ثغرة تنتظر الحل ثم الإصلاح.

للمزيد حول نتائج مشروع الـ DHS لتدقيق أكواد برامج المصادر المفتوحة: إضغط هـنـا، و هـنـا.

 

NIST’s IDTrust’08 .. Good one!

10 Mar

Last week I presented a paper at NIST’s IDTrust symposium, Gaithersburg, USA.
I have to say that I have got impressed by the good organisation of the conference and the excellent quality of the refereed papers!
Even the attendees list was impressive!

It was a shame that I had to take off so quickly for some ”parenting” reasons! :mrgreen:
However, it was a very good opportunity to hook up with researchers and experts in the field of identity management.


N.B. : I’m not that short!
It’s the stand that was quite high!
:mrgreen:

I want to express my gratitude to the Chair (Kent Seamons) from Brigham Young University, for his support and for the lovely photos he took for me personally! 8)
I also want to thank the Local Arrangements Chair (Sara Caswell) from NIST. And last but no least, many thanks to (Neal McBurnett) from Internet2 and (Carl Ellison) from Microsoft for their kind words and precious contribution.

BTW, refereed papers and presentations slides can be found here.

 

ISC2 publishes the 2008 Resource Guide!

21 Feb

As I used to remind you every year since 2006 –> the ISC2 has published the Information Security Resource Guide for this year. GET A COPY!

To get a copy, click here.

 
 

!التوعية .. التوعية .. التوعية

18 Feb

وصلني عبر البريد الإلكتروني منذ مده مقطع صوتي يبدو أنه تم تداوله كثيرا بين مستخدمي الانترنت، و في المقطع الصوتي يبدو أحد أصحاب الثروات الضخمه مزهوا بثروته و هو يقوم بتسجيل مكالمته مع الهاتف المصرفي لأحد البنوك السعودية ليستعلم عن رصيده…
و انا هنا أستغرب كثيرا من هذا التصرف غير المسئول من هذا العميل!
فبإمكان أي شخص الآن استخدام أي برنامج مما يعرف بالـ Dial tone decoder و هي منتشره بكثره ليعرف رقم الحساب و الرقم السري و ببساطة شديدة!
في الوقت الذي اعرف ان الكثير من مستخدمي الهاتف المصرفي في أمريكا و بريطانيا مثلا يحرصون على ان لا يستخدموا الهواتف العادية ذات النغمة المعروفة خشية أن يكون هناك من يتنصت على المكالمة و يستعيد بعد الأرقام المهمه التي يدخلونها كالأرقام السرية..

و السؤال هو على من تقع المسئولية؟!
على البنك الذي يبدو جليا أنه لم يقم بتوعية عملائه بالمخاطر المتعلقة بالهاتف المصرفي بشكل جيد؟
أم على العميل الذي تصرف بسذاجه كبيرة؟
برأيي أن المسئولية مشتركة هنا، و ان كنت متأكدا انه في حال تم سرقة مبالغ من حساب هذا العميل فسيلقي باللوم كاملا على البنك..

نحتاج كثيرا لتنمية الحس الأمني لدى مستخدمي التقنية في الدول العربية..
للإستماع إلى المقطع الصوتي، إضغط
هـنـا.

و أرجو ممن يعرف صاحب هذا المقطع الصوتي، أن يهديه هذا الموقع.
و لمعرفة المزيد حول الـ Dial tone decoder، إضغط
هـنـا.

 

!الإعلامية Ping و Sun معركة

10 Feb

لاحظت مؤخرا أن أغلب (أو ربما كل) التدوينات هنا جاده، و لا أود أن أقول جافه!
لذلك سأكسر القاعده هذه المره بخبر طريف أضحكني كثيرا في الأسبوع الماضي، حتى لا يتبادر إلى أذهان الزوار الكرام اني لا سمح الله “ثقيل طينه”! :mrgreen:

قد شاء الله تعالى أن يكون تخصصي الدقيق، في مرحلة الدكتوراة، في إدارة الهوية الإلكترونية أو ما يعرف بالـ Identity Management.
و هذا المجال بقدر ما يحوي من تعقيدات في مفاهيمه و أنظمته، إلا أني لاحظت أن أغلب متخصصيه يملكون حسا فكاهيا ملفتا، ولا أعرف حقيقة سبب ذلك، لكن يندر أن أحضر مؤتمر أو ورشة عمل لمتخصص في هذا المجال دون أن أضحك مرارا خلال حديثه!
و ما حدث في الأسابيع القليلة الماضية من “حرب إعلامية” بين شركتي Sun و Ping ربما يكون خير شاهد على ذلك!

القصه بإختصار تتمثل في وجود شركتين متنافستين في مجال إدارة الهوية و توحيد الهوية (Identity management and federation)، هما شركتي Sun و Ping..

فـ Sun بموظفيها الـ 35 ألفا، لطالما فاخرت بنظامها الشهير لإدارة الهوية و المسمى Sun Access Manager، و اعتبرته الأفضل في السوق، و هو في الحقيقة من أفضل أنظمة إدارة الهوية.

إلا أن Ping الشركة الصغيرة التي تضم 72 موظفا فقط، أصبحت من أشهر الشركات في مجال إدارة الهوية، بل و اكتسبت زخما هائلا منذ سنتين تقريبا بعد دخولها بمشاريع دمج مع عدة أنظمة لإدارة الهوية مثل Liberty و CardSpace و Shibboleth و OpenID و غيرها، و أثبتت جدارة كبيرة في ذلك.

و يبدو أن Sun بدأت تخشى منافستها الصغيرة جدا Ping، فقد “مَللت” أنا شخصيا من كثرة ما أقرأ من اتهامات يوجهها منسوبي Sun إلى Ping في كل مناسبة، بأن Ping سرقت بعض الأفكار من منتجاتهم.

لكن الوضع تطور دراماتيكيا قبل أسبوعين تقريبا حينما قام Daniel Raskin مدير الإنتاج الشهير في Sun بوضع مقطع فيديو ساخر في مدونته يتهكم فيه من شركة Ping.. في المقطع يظهر موظف شرق آسيوي يحمل اسم Ping و يبدو “أبلها” و مهزوزا، و يقوم دانيال بسؤاله اسئلة متعدده فيها الكثير من التهكم:

[youtube]http://www.youtube.com/watch?v=LN8-YZhmLv4[/youtube]

.

Ping بدورها لم تسكت!
فبعد 5 أيام فقط، قام المدير التنفيذي لـ Ping السيد Andre Durand شخصيا بوضع مقطع فيديو في مدونته للرد على Sun، و كان ردا قويا مقتبسا من الفيلم الشهير (300)! :mrgreen:

إضغط هنا ]

.

و كان آخر أحداث هذه “المعركة الملحمية” كما يسمونها، قبل أسبوع، حيث قام دانيال مرة أخرى بوضع مقطع فيديو جديد في مدونته، و يبدو فيه يبحث عن السلام مع Ping! :mrgreen:

[youtube]http://www.youtube.com/watch?v=nMBdDIohXqk[/youtube]

أعرف جيدا أن المتحاربين تجمعهم علاقة ود و احترام متبادل.. فكثير من موظفي Ping سبق لهم العمل في Sun.. و مثل هذه المواجهات الإعلامية هي بالتأكيد من باب الترفيه و المزاح.. لكن لا تخلو بالطبع من رسائل مبطنه! :mrgreen:

أنا أيضا أحمل رسالة مبطنه داخل هذه التدوينه، و مفادها: لا تستفزونا نحن – متخصصي إدارة الهوية – فنحن ملوسنين! :mrgreen:

 

SP1 for Vista contains something fishy!

06 Feb

Microsoft has added a random number generator to the deployed service-pack for Windows Vista. This generator is called Dual_EC-DRBG, which is one of three types of random number generators standardised by NIST last year (click here). The generator is not enabled by default, and it’s not clear whether or not the user can enable it!

Adding this specific generator to Vista is somewhat fishy!
Not only because that this elliptic curve based generator is much slower than the other two types, but because it may has a backdoor for the NSA which designed it at the first place!
And I think it’s needless to say what the NSA is and what authority it has..

Bruce Schneier, the Information Security expert, talked about his concerns regarding this issue months ago!

Some of you may ask, how important these generators are anyway?
Well, to answer that, let me borrow Bruce’s words on this:
Random numbers are critical for cryptography:
for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency.

To read Bruce’s article, click here.
For more about the SP1, click
here.

 
 

Get an e-copy of the (Handbook of Applied Cryptography) for FREE!

03 Feb

Now, you can get an e-copy of one of the best Cryptography handbooks legally and absolutely free!

The (Handbook of Applied Cryptography) is available here.

 
 

صدور تفصيل لنظام مكافحة جرائم المعلوماتيه في السعودية

25 Jan

صدر اليوم و بشكل رسمي تفصيل لنظام مكافحة جرائم المعلوماتية كما كنت قد طالبت قبل عشرة أشهر تقريبا..
(اضغط هـنـا)..

و تفصيل النظام هو فيه مجمله جيد جدا، و يحمل أمورا مهمة تعكس اهتماما ملحوظا بهذا الجانب المهم في أي مجتمع متحضر في عالمنا اليوم…
و ان كنت أرى أن هناك أمورا في النظام كان ينبغي أن تصاغ بطريقة اخرى، لكن لا أود أن أكون over-critiquing خصوصا و ان النظام يعتبر وليدا..
و أعتقد أني هنا أتحدث بلسان شريحة كبيرة من المهتمين حين أطالب بأن تتم توعية المحققين و القضاة بشكل جيد في كل ما يتعلق بالأنظمة المعلوماتية المتوفرة.
و على الرغم من أن النظام ينص على أن تساعد هيئة الإتصالات بمتخصصيها في بعض جوانب التحقيق و التحليل و هذا بالطبع أمر جيد، لكن كنت أود أن يتم انشاء جهة جديدة و مستقلة، تكون متخصصه في التحقيق في جرائم المعلوماتية و الـ forensics كما هو الحال في معظم الدول المتقدمه.

و بمناسبة حديثنا عن نظام مكافحة جرائم المعلوماتية، أود أن أكرر مطالبتي بإصدار نظام يهتم بخصوصية المواطنين و يعامل كمرجعية وطنية في كل التعاملات التي تشمل حفظ او معالجة معلومات خاصة بالمواطنين أو المقيمين و في كل الجهات الخاصة و العامة.

للإطلاع على ما صدر اليوم، إضغط هـنـا.

 
 

(ISC)2 publishes the Hiring Guide!

21 Jan

The (ISC)2 has published recently the Hiring Guide, which I found quite useful..

 

The guide covers some essential subjects that need to be considered before hiring information security professionals such as: crafting a job description, certification requirement, screening, interviewing… etc.

To get the guide, press here.

 
 

!لفك الشفرات تخسر التحدي Colossus آلة

15 Jan

ربما يذكر بعضكم حديثنا قبل ما يقارب السنتين عن مركز Bletchley Park في بريطانيا و دوره في فك شفرات و رموز الألمان خلال الحرب العالمية الثانية و عن زيارتي للمركز، (إضغط هـنـا)..
المركز كان يستخدم جهاز يسمى Colossus لفك الرموز و الشفرات، و هذا الجهاز يعتبر من أقدم الأجهزة الحاسوبية و من أكثرها تقدما في وقته، و استطاع الانجليز بواسطته من فك آلاف الرموز أثناء الحرب العالمية الثانية داخل مركز Bletchley Park..

الجديد هو ما حدث قبل شهرين من تحدي مثير اهتم به معظم خبراء التشفير في العالم بشكل عام و في بريطانيا بشكل خاص..
التحدي يكمن في مسابقة أعادت جهاز Colossus للعمل بعد توقف دام أكثر من 60 عاما!
و التحدي كان يشمل جانبين:

أولا: يقوم فريق من الألمان الذين ساهموا بتشفير رسائل ألمانية أثناء الحرب العالمية الثانية، بتشفير ثلاث رسائل جديدة و بثها على موجات الراديو، و من نفس المركز الذي كانوا يستخدمونه للتشفير في الحرب العالمية الثانية في ألمانيا في مدينة Paderborn الألمانية. مستخدمين نفس طريقة التشفير و الآلة التي استخدموها اثناء الحرب و هي آلة Lorenz SZ42. مع العلم ان الرسائل الثلاث ستكون مقسمة إلى ثلاثة مستويات (صعب – صعب جدا – بالغ الصعوبة)..

ثانيا: يتم التنافس بين جهاز Colossus و جهاز حاسب حديث يستخدم نفس الطريقة في فك التشفير لمعرفة من سيكون الأسرع في فك شفرات الرسائل بعدها التقاطها من موجات الراديو، أجهزة الماضية العتيدة أم حواسيب الحاضر المتطورة!
و قد تم اختيار جهاز محمول بمعالج Pentium II لينافس جهاز Colossus، بإعتبار أن جهاز حاسب محمول بهذه المواصفات يقارب نوعا ما سرعة الـ Colossus..

و من أجل هذا الغرض تم بناء جهاز Colossus جديد، حيث انه لم يتم تصنيع سوى 10 أجهزه منه في السابق، و هي جميعها معطلة، و المشكلة كانت في أن بعض تفاصيل صناعته كانت سرية مما سبب بعض المشاكل لفريق اعادة التصنيع، إلا أنهم في النهاية تمكنوا من صناعة جهاز Colossus جديد..
الصورة في الأسفل هي للسيد Tony Sales الذي ترأس فريق إعادة تصنيع الـ Colossus يقف بجانب الجهاز الجديد، و كان قد سبق له العمل على الجهاز إبان الحرب العالمية الثانية..

و قد كان التحدي، الذي خسره جهاز Colossus بعد أن سبقه جهاز الحاسب المحمول بفك شفرات الألمان..
شخصيا لا أدري لماذا تعاطفت مع جهاز Colossus و وددت لو يكسب التحدي!
لكن ألا تتفقون معي بأنه من “المذهل” أن جهازا تم تصنيعه قبل أكثر من ستين سنه، ينافس جهازا تم تصنيعه قبل عدة سنوات و في عمليات رياضية معقدة!
خبر التحدي من الـ BBC هـنـا، و هـنـا خبر الهزيمة.

 

New Look!

14 Jan

I think that some of you might have got bored with the old look of the Blog…
So here it is.. a new look! 8)

 
 

!بتسريب معلومات المستخدمين Google تدعم شكوكي ضد Hushmail

31 Dec

لم يمض على حديثي السابق عن شركة جوجل العملاقة و خدماتها المتعددة شهر واحد، حتى صعقت بما قرأته مؤخرا عما قامت به شركة Hushmail الكندية والشهيرة جدا، و التي تقدم خدمة البريد الإلكتروني المشفر لعشرات الالاف من مستخدمي الانترنت.
Hushmail كانت في السابق تقدم الخدمة عن طريق تشفير الرسائل الالكترونية داخل أجهزة المستخدمين بإستخدام اكواد جافا، لضمان أنه لن يتمكن من قراءة الرسالة الإلكترونية أحد سوى الشخص الذي شفرت الرسالة من أجله، إلا انه في العام 2006م قررت الشركة تقديم الخدمة بتشفير الرسائل في سيرفرات الشركة بدعوى ان أكواد الجافا تسبب ضيقا لدى المستخدمين و تثقل كاهل المعالجات في الحواسب الشخصية. و هذا التحول يعني بطبيعة الحال انه لم يعد الوضع كما كانت تَعدُ الشركة عملائها بأن لن يتمكن أحد من قراءة الرسالة الإلكترونية سوى الشخص المرسل اليه، و ان كانت الشركة ترفض توضيح ذلك.
مؤخرا، تداولت وسائل الإعلام وثيقة صادرة قبل ثلاثة أشهر تقريبا من محكمة المقاطعه في شرق ولاية كالفورنيا الأمريكية، توضح الوثيقة أن شركة Hushmail قامت بتسليم الحكومة الأمريكية رسائل إلكترونية تكفي لملىء 12 اسطوانة مدمجة و تخص ثلاثة حسابات في الـ Hushmail!!
كما أكدت الوثيقة أن هذا الأمر كان قانونيا تحت بنود معاهدة التعاون المشترك بين كندا و الولايات المتحدة الأمريكية.
الحسابات الإلكترونية كما تدعي الوثقية تخص صينيين يعملون في بيع مواد كيميائية محظورة بطرق غير شرعية و أن الرسائل المفضوحة أسهمت في معرفة الكثير عنهم و عن مختبراتهم في أماكن مختلفة تحت الأرض.

 

هنا يبقى السؤال، لما لا تفعل جوجل نفس الشيء؟
ان كانت شركة “كندية” و خدمتها الأساسية هي توفير “الخصوصية” لعملائها، قامت بفضح معلومات هائلة عن عملائها!
أرجو ان يكون في هذا الخبر تدعيم لكلامي السابق، و نفي لتهمة التفكير بنظرية المؤامرة عني.
 للإطلاع على وثيقة المحكمة، إضغط
هـنـا.
و للمزيد حول الموضوع، إضغط
هـنـا.

 

How to break CAPTCHAs? .. use people!

31 Dec

Few days ago I’ve read an interesting article of how spammers break the CAPATCHA technique that is used widely to stop them. Apparently they use “naive” users to do so!
They would ask Internet users surfing some sites over the web to help tracking down the CAPTCHA code!
And they would use some attractive methods to motivate users, and it seems that it’s working quite well!

 

It’s worth mentioning here that Bruce Schneier has expected spammers to do so long time ago!
I think that such technique is much more reliable than using automated CAPTCHAs decoders!
To read the article, press
here.

 

!دروس في أمن المعلومات من الدميه باربي

16 Dec

تحدثنا قبل عدة أشهر عن الخطر الحقيقي الذي يتهدد الأطفال القصّر عند دخولهم لشبكة الانترنت بدون رقابة من الأهل، و أشرنا أيضا إلى أن وجودهم في المنزل لا يعني أنهم منعزلون عن العالم الخارجي في عالم اليوم، فبإمكانهم التعرف على أشخاص جدد و التحدث معهم، و هذا الأمر يجب أن لا يحدث بمعزل عن الأهل.. (إضغط هـنـا)

قبل اسبوعين تقريبا حظيت بشرف حضور محاضرة مهمة لخبير أمن المعلومات المصرفيه السيد (ريتشارد مارتن) حول المشاكل و الحلول الحديثة في عالم التعاملات البنكية عبر الانترنت..
و في معرض حديثه تحدث عن أن الحل لمعظم مشاكل التعاملات البنكيه عبر الانترنت من وجهة نظره يكمن في استخدام بطاقة البنك التي يستخدمها العميل لسحب النقود من آلة صرف النقود، استخدام نفس البطاقه لدخول موقع البنك و ذلك من خلال أجهزة قراءة البطاقات الذكيه و هي سهلة الاستخدام و منتشرة و رخيصة حيث يقوم البنك بتوزيعها على العملاء مع بطاقات البنك (بالمناسبة بنك باركليز في بريطانيا يتبع نفس الطريقة منذ أشهر، و خلال أشهر ستتبع معظم البنوك البريطانية نفس الطريقة)..
كما أشار إلى أن حلول استخدام ما يسمى بالـ physical security tokens باتت مطلوبه في أكثر من تطبيق في الانترنت (أعرف هذا مسبقا بالطبع بحكم أن تخصصي البحثي هو في إدارة الهوية، و مجالات ما بات يعرف بالـ usecr-centric IdMS)..

لكن مالم أكن أعرفه هو نظام التحقق من الهوية في موقع الدميه الشهيرة “باربي”!
في موقع باربي.. يوجد “حسب رأيي المتواضع”.. نظام من أفضل أنظمة التحقق من الهوية في الانترنت!
الطريقة ببساطه.. هي أن تشتري الفتاه قطعه صغيرة على شكل دمية باربي و هي بالطبع في نفس الوقت security token.. يمكن توصيلها بالجهاز بسهولة من خلال موصل الـ usb.. و هي في نفس الوقت تعتبر جهاز مشغل لملفات الـ mp3..
بعد شرائها.. يتم توصليها بالجهاز، ثم انشاء حساب في الموقع، و ربط الدميه بالحساب.. بحيث لا يمكن الدخول إلى الموقع و الاستفاده من خدماته مستقبلا إلا في وجود الدميه متصله بالجهاز..
التطبيق الأهم هو كالتالي.. يوفر الموقع خدمة “الدردشة”.. و لأننا لا نريد أطفالنا أن يتحدثوا مع أناس غرباء.. قام الموقع بتطوير نظام جميل جدا للتأكد من أطفالك يمكنهم “الدردشه” فقط مع الأطفال الذين يعرفونهم مسبقا.. كيف؟!
تقوم الفتاة بزيارة صديقتها في منزلها و تحضر معها الدميه الخاصه بها.. ثم تقوم بربط دميتها التي أحضرتها بحساب صديقتها من خلال جهاز صديقتها.. و بهذه الطريقة يمكن للفتاتين التحدث معا من خلال الموقع مستقبلا!

 
 

هناك تطبيقات أخرى للدميه و فيها حلول مبتكرة، لكن ما يهمنا هنا أن وجود تطبيقات من هذا النوع يعتبر حلا مناسبا لدرجة كبيرة لمعظم المشاكل التي تكلمنا عنها سابقا..
السؤال.. أين نحن من هكذا تطبيقات!؟
للمزيد، يمكنكم زيارة الموقع بالضغط
هـنـا.

 

!Flexspy ..التجسس بأبسط الطرق

15 Dec

ربما سمع بعضكم عن البرنامج الشهير للتجسس على اختراق الهواتف النقالة و المعروف بإسم Felxspy..
و هو لمن لا يعرفه برنامج صغير الحجم.. يتم زرعه في جوال الضحيه عن طريق أكثر من وسيلة (ارساله داخل رسالة ملتميديا أو بلوتوث مثلا).. ليمكّن مرسله من معرفة “كامل” تفاصيل جهاز الضحية.. مثلا يمكنه الاطلاع على سجل المكالمات كاملا و جميع الرسائل النصيه و رسائل الملتميديا المرسلة و المستقبله..
بل أكثر من ذلك.. يمكن للمتجسس أن يأمر البرنامج أن يتدخل عندما يقوم هو بالاتصال على الضحيه ليمنع الهاتف من أن يرن و يقوم بالاجابة الفورية على الاتصال، مما يعني أن المتجسس بإمكانه التنصت في أي وقت على الضحيه و سماع ما يقوله و ما يدور حوله!

الجديد ليس في وجود برنامج تجسس عبر الهاتف بهذا الشكل البسيط، فهذا أمر متوقع منذ البداية..
الجديد (و المشكله)، هو أن هذا البرنامج يباع بشكل تجاري في عديد من البلدان منها بريطانيا!
فهو يباع كبرنامج يمكنك من التحكم بجهازك المحمول ”الثاني” عن بعد!!

و هنا نطرح السؤال المهم..
كيف يمكننا أن نرسم خطا وضحا.. بين برامج التجسس و برامج التحكم عن بعد!
هذ تساؤل قديم نشأ منذ ظهور الجيل الأول من برامج التحكم بأجهزة الحاسب عن بعد (و هي الآن موجودة بكثرة في السوق).. و لعل وجود معايير واضحه لتصميم البرامج و قبولها في السوق يمنع طرح أي برنامج يمكن أن يستخدم لاختراق أجهزة الآخرين دون علمهم.. هو الحل الأنجع في رأيي.. و ان كان منتجي هذه البرامج لا يؤيدون ذلك تماما!
للمزيد حول المعلومات التقنيه عن Flexspy و كيفية حماية جهازك الجوال منه، إضغط
هـنـا.