RSS
 

Archive for December, 2007

!بتسريب معلومات المستخدمين Google تدعم شكوكي ضد Hushmail

31 Dec

لم يمض على حديثي السابق عن شركة جوجل العملاقة و خدماتها المتعددة شهر واحد، حتى صعقت بما قرأته مؤخرا عما قامت به شركة Hushmail الكندية والشهيرة جدا، و التي تقدم خدمة البريد الإلكتروني المشفر لعشرات الالاف من مستخدمي الانترنت.
Hushmail كانت في السابق تقدم الخدمة عن طريق تشفير الرسائل الالكترونية داخل أجهزة المستخدمين بإستخدام اكواد جافا، لضمان أنه لن يتمكن من قراءة الرسالة الإلكترونية أحد سوى الشخص الذي شفرت الرسالة من أجله، إلا انه في العام 2006م قررت الشركة تقديم الخدمة بتشفير الرسائل في سيرفرات الشركة بدعوى ان أكواد الجافا تسبب ضيقا لدى المستخدمين و تثقل كاهل المعالجات في الحواسب الشخصية. و هذا التحول يعني بطبيعة الحال انه لم يعد الوضع كما كانت تَعدُ الشركة عملائها بأن لن يتمكن أحد من قراءة الرسالة الإلكترونية سوى الشخص المرسل اليه، و ان كانت الشركة ترفض توضيح ذلك.
مؤخرا، تداولت وسائل الإعلام وثيقة صادرة قبل ثلاثة أشهر تقريبا من محكمة المقاطعه في شرق ولاية كالفورنيا الأمريكية، توضح الوثيقة أن شركة Hushmail قامت بتسليم الحكومة الأمريكية رسائل إلكترونية تكفي لملىء 12 اسطوانة مدمجة و تخص ثلاثة حسابات في الـ Hushmail!!
كما أكدت الوثيقة أن هذا الأمر كان قانونيا تحت بنود معاهدة التعاون المشترك بين كندا و الولايات المتحدة الأمريكية.
الحسابات الإلكترونية كما تدعي الوثقية تخص صينيين يعملون في بيع مواد كيميائية محظورة بطرق غير شرعية و أن الرسائل المفضوحة أسهمت في معرفة الكثير عنهم و عن مختبراتهم في أماكن مختلفة تحت الأرض.

 

هنا يبقى السؤال، لما لا تفعل جوجل نفس الشيء؟
ان كانت شركة “كندية” و خدمتها الأساسية هي توفير “الخصوصية” لعملائها، قامت بفضح معلومات هائلة عن عملائها!
أرجو ان يكون في هذا الخبر تدعيم لكلامي السابق، و نفي لتهمة التفكير بنظرية المؤامرة عني.
 للإطلاع على وثيقة المحكمة، إضغط هـنـا.
و للمزيد حول الموضوع، إضغط هـنـا.

 
No Comments

Posted in InfoSec Articles, InfoSec News

 

How to break CAPTCHAs? .. use people!

31 Dec

Few days ago I’ve read an interesting article of how spammers break the CAPATCHA technique that is used widely to stop them. Apparently they use “naive” users to do so!
They would ask Internet users surfing some sites over the web to help tracking down the CAPTCHA code!
And they would use some attractive methods to motivate users, and it seems that it’s working quite well!

 

It’s worth mentioning here that Bruce Schneier has expected spammers to do so long time ago!
I think that such technique is much more reliable than using automated CAPTCHAs decoders!
To read the article, press here.

 
No Comments

Posted in InfoSec Articles

 

!دروس في أمن المعلومات من الدميه باربي

16 Dec

تحدثنا قبل عدة أشهر عن الخطر الحقيقي الذي يتهدد الأطفال القصّر عند دخولهم لشبكة الانترنت بدون رقابة من الأهل، و أشرنا أيضا إلى أن وجودهم في المنزل لا يعني أنهم منعزلون عن العالم الخارجي في عالم اليوم، فبإمكانهم التعرف على أشخاص جدد و التحدث معهم، و هذا الأمر يجب أن لا يحدث بمعزل عن الأهل.. (إضغط هـنـا)

قبل اسبوعين تقريبا حظيت بشرف حضور محاضرة مهمة لخبير أمن المعلومات المصرفيه السيد (ريتشارد مارتن) حول المشاكل و الحلول الحديثة في عالم التعاملات البنكية عبر الانترنت..
و في معرض حديثه تحدث عن أن الحل لمعظم مشاكل التعاملات البنكيه عبر الانترنت من وجهة نظره يكمن في استخدام بطاقة البنك التي يستخدمها العميل لسحب النقود من آلة صرف النقود، استخدام نفس البطاقه لدخول موقع البنك و ذلك من خلال أجهزة قراءة البطاقات الذكيه و هي سهلة الاستخدام و منتشرة و رخيصة حيث يقوم البنك بتوزيعها على العملاء مع بطاقات البنك (بالمناسبة بنك باركليز في بريطانيا يتبع نفس الطريقة منذ أشهر، و خلال أشهر ستتبع معظم البنوك البريطانية نفس الطريقة)..
كما أشار إلى أن حلول استخدام ما يسمى بالـ physical security tokens باتت مطلوبه في أكثر من تطبيق في الانترنت (أعرف هذا مسبقا بالطبع بحكم أن تخصصي البحثي هو في إدارة الهوية، و مجالات ما بات يعرف بالـ usecr-centric IdMS)..

لكن مالم أكن أعرفه هو نظام التحقق من الهوية في موقع الدميه الشهيرة “باربي”!
في موقع باربي.. يوجد “حسب رأيي المتواضع”.. نظام من أفضل أنظمة التحقق من الهوية في الانترنت!
الطريقة ببساطه.. هي أن تشتري الفتاه قطعه صغيرة على شكل دمية باربي و هي بالطبع في نفس الوقت security token.. يمكن توصيلها بالجهاز بسهولة من خلال موصل الـ usb.. و هي في نفس الوقت تعتبر جهاز مشغل لملفات الـ mp3..
بعد شرائها.. يتم توصليها بالجهاز، ثم انشاء حساب في الموقع، و ربط الدميه بالحساب.. بحيث لا يمكن الدخول إلى الموقع و الاستفاده من خدماته مستقبلا إلا في وجود الدميه متصله بالجهاز..
التطبيق الأهم هو كالتالي.. يوفر الموقع خدمة “الدردشة”.. و لأننا لا نريد أطفالنا أن يتحدثوا مع أناس غرباء.. قام الموقع بتطوير نظام جميل جدا للتأكد من أطفالك يمكنهم “الدردشه” فقط مع الأطفال الذين يعرفونهم مسبقا.. كيف؟!
تقوم الفتاة بزيارة صديقتها في منزلها و تحضر معها الدميه الخاصه بها.. ثم تقوم بربط دميتها التي أحضرتها بحساب صديقتها من خلال جهاز صديقتها.. و بهذه الطريقة يمكن للفتاتين التحدث معا من خلال الموقع مستقبلا!

 
 

هناك تطبيقات أخرى للدميه و فيها حلول مبتكرة، لكن ما يهمنا هنا أن وجود تطبيقات من هذا النوع يعتبر حلا مناسبا لدرجة كبيرة لمعظم المشاكل التي تكلمنا عنها سابقا..
السؤال.. أين نحن من هكذا تطبيقات!؟
للمزيد، يمكنكم زيارة الموقع بالضغط هـنـا.

 
No Comments

Posted in InfoSec Articles

 

!Flexspy ..التجسس بأبسط الطرق

15 Dec

ربما سمع بعضكم عن البرنامج الشهير للتجسس على اختراق الهواتف النقالة و المعروف بإسم Felxspy..
و هو لمن لا يعرفه برنامج صغير الحجم.. يتم زرعه في جوال الضحيه عن طريق أكثر من وسيلة (ارساله داخل رسالة ملتميديا أو بلوتوث مثلا).. ليمكّن مرسله من معرفة “كامل” تفاصيل جهاز الضحية.. مثلا يمكنه الاطلاع على سجل المكالمات كاملا و جميع الرسائل النصيه و رسائل الملتميديا المرسلة و المستقبله..
بل أكثر من ذلك.. يمكن للمتجسس أن يأمر البرنامج أن يتدخل عندما يقوم هو بالاتصال على الضحيه ليمنع الهاتف من أن يرن و يقوم بالاجابة الفورية على الاتصال، مما يعني أن المتجسس بإمكانه التنصت في أي وقت على الضحيه و سماع ما يقوله و ما يدور حوله!

الجديد ليس في وجود برنامج تجسس عبر الهاتف بهذا الشكل البسيط، فهذا أمر متوقع منذ البداية..
الجديد (و المشكله)، هو أن هذا البرنامج يباع بشكل تجاري في عديد من البلدان منها بريطانيا!
فهو يباع كبرنامج يمكنك من التحكم بجهازك المحمول ”الثاني” عن بعد!!

و هنا نطرح السؤال المهم..
كيف يمكننا أن نرسم خطا وضحا.. بين برامج التجسس و برامج التحكم عن بعد!
هذ تساؤل قديم نشأ منذ ظهور الجيل الأول من برامج التحكم بأجهزة الحاسب عن بعد (و هي الآن موجودة بكثرة في السوق).. و لعل وجود معايير واضحه لتصميم البرامج و قبولها في السوق يمنع طرح أي برنامج يمكن أن يستخدم لاختراق أجهزة الآخرين دون علمهم.. هو الحل الأنجع في رأيي.. و ان كان منتجي هذه البرامج لا يؤيدون ذلك تماما!
للمزيد حول المعلومات التقنيه عن Flexspy و كيفية حماية جهازك الجوال منه، إضغط هـنـا.

 
No Comments

Posted in InfoSec Articles

 

!هي ثغرة مقلقة Google toolbar خدمة التدقيق اللغوي في الـ

09 Dec

كتبت كثيرا عن جوجل فيما سبق و بينت دوما قلقي الشديد و شكي الكبير تجاه نوايا القائمين عليه (انظر على سبيل المثال هـنـا وهـنـا و هـنـا و هـنـا)..
لكن ما عرفته مؤخرا و “بالصدفه” عن طريقة عمل احدى خدمات جوجل “المتعدده”.. زاد من حدة هواجسي تجاه جوجل و ما تسعى إليه!

ربما يعرف الجميع عن خدمة التدقيق اللغوي للغة الإنجليزية (Spell Check) التي يوفرها شريط جوجل (Google Toolbar) الذي يدمج مع المتصفح كما هو موضح في الصورة أدناه..

هذه الخدمة أصبحت جزءا من “عادات” تصفح الانترنت و كتابة النصوص داخل المتصفح لدى الكثيرين.. و أولهم أنا!
و كنت طوال الوقت.. و “بسذاجة” اعتقد أن التدقيق يتم داخل جهازي..
بمعنى أن النص الذي أطلب أن يتم تدقيقه لا يغادر جهازي!
لكن ما عرفته مؤخرا.. هو و بكل المقاييس.. صدمة!

فبعد بحث قصير، عرفت ان التدقيق يتم بالصورة التالية..
عندما تطلب ان يتم تدقيق نص معين، يقوم Google Toolbar بإرسال رسالة على صيغة XML الى سيرفر جوجل (http://www.google.com/tbproxy/spell?lang=en&hl=en)..
الرسالة تحوي قطعتين من المعلومات..

القطعة الأولى.. هي جميع الكلمات التي قمت سابقا بطلب تجاهلها من التدقيق في المستقبل، و هي موجودة في ملف داخل جهازك، يمكنك الوصول إليه بكتابة الأمر التالي في خانة التطبيق Run:
notepad “%HOMEPATH%\Application Data\Google\User Dictionary.txt”

أما القطعة الثانية.. فهي كامل النص الذي تود ان يتم تدقيقه!!
هذا صحيح.. كل ما تكتبه، سواءا كان رسالة إلكترونية خاصة، او كلمة مرور، أو معلومات حساسه، سيتم إرساله إلى سيرفرات جوجل.. بمجرد ان تطلب التدقيق اللغوي!
يتم ارسال النص على الشكل التالي:

لا أعرف لما افترضت سابقا بأن النصوص التي أطلب تدقيقها لا تغادر جهازي!
لكن الأمر الذي أثق منه، هو ان جوجل ملزمة ببيان ذلك للمستخدمين!!
كان ينبغي ان يكون هناك رسالة للمستخدم حين طلب خدمة التدقيق.. تنبهه إلى ان النص المطلوب تدقيقه سيغادر جهازه!

من يعرفني شخصيا، يدرك تماما أني لست من المعتقدين بنظريات المؤامره.. لكن ما اعرفه عن جوجل يوما بعد يوما.. يزيد من شكوكي حول مساعي خفيه لتكوين أكبر قاعدة بيانات استخباريه في تاريخ البشرية!
و قبل أن أتهم بالمبالغة.. اسمحوا لي أن أسألكم سؤالا بسيطا..
لنفترض مثلا أنك تقدمت بطلب الحصول على تأشيرة دخول للولايات المتحدة الأمريكية.. و ان الحكومة الأمريكية ترتبط بعلاقات تبادل معلومات مع جوجل تحت مسمى مكافحة الإرهاب مثلا (لا أعتقد أنهم بحاجة لمبررات أصلا)..
سؤالي هو.. ما الذي ستعرفه الحكومه الأمريكية عنك؟
كلماتك المفتاحية التي استخدمتها في البحث في جوجل.. رسائلك الإلكترونية في الجي-ميل.. مقاطع الفيديو التي شاهدتها او بحثت عنها في يو-تيوب.. المواقع الجغرافية التي بحثت عنها في جوجل-إيرث.. بل و حتى النصوص التي كنت قد طلبت تدقيقها كاملة.. الخ!
أنا أؤكد لك.. أن هذه المعلومات عنك.. هي كنز.. ستعجز حتى أعتى أجهزة المخابرات في العالم الحصول عليه!
كنز.. سيكون من السذاجه.. عدم الاستفادة منه!

 
11 Comments

Posted in InfoSec Articles

 

!شركة الإتصالات السعودية و انتهاك خصوصية السعوديين

06 Dec

شركة الإتصالات السعودية هي أكبر شركة إتصالات في المملكة العربية السعودية و من أضخم شركات الإتصالات في المنطقة.. و ما يهمني هنا هو تسليط الضوء على مدى التزام الشركة بالحفاظ على خصوصية عملائها خصوصا في السعودية.. حيث ان الشركة حسب رأيي المتواضع لم تصل حتى للحد الأدنى من الالتزام بالحفاظ على المعلومات الشخصية للعملاء!
سأشير هنا إلى مثالين فقط (أملك العديد من الأمثلة) لتدعيم رأيي في الموضوع..

المثال الأول،

هو الحادثة التي باتت معروفة في المملكة العربية السعودية بحادثة (أبو كاب).. و هذه الحادثة بإختصار لمن لا يعرفها هي قضية قتل.. واجه المتهم الرئيسي فيها “فيصل العتيبي” و الشهير بأبو كاب حكما بالقصاص.. حيث انه تعرض لحادث مروري شنيع و هو يمارس “التفحيط” في مدينة جده، مما أدى لمقتل ثلاثة من أصحابه كانوا معه في السيارة.. ليقوم بعد ذلك أهل المتوفين باتهام “أبو كاب” بقتل من كانوا معه في السيارة بسبب تهوره في القياده..
ما يهمنا هنا هو ما حدث في حيثيات الادعاء و الدفاع أمام القضاء السعودي.. فقد فاجأ محامي الادعاء في القضيه الجميع حين أطلع القاضي على بيان تفصيلي لمكالمات “أبو كاب”، كان قد تحصل عليه من شركة الاتصالات السعوديه.. ليثبت للقاضي أن أبو كاب هو من اتصل على المتوفين يوم الحادثة و طلب منهم الذهاب معه و ليس العكس!
و السؤال المؤلم هنا.. كيف تحصل المحامي على هذه الوثيقة دون إذن من صاحب الخط أو القضاء أو حتى السلطات التنفيذية!؟

المثال الثاني،

يتمثل في خدمة تقدمها الشركة، تُمثل في أبهى صورها أشد أنواع امتهان خصوصية العملاء!
الخدمه تسمى خدمة “أرقامي”.. حيث يقوم العميل بإرسال رسالة نصية للشركة تحوي رمزا معينا.. لتقوم الشركة بسحب كامل معلومات دليل الهاتف في جهاز العميل، بدعوى أن هذه النسخه هي نسخة إحتياطيه، حتى لا يفقد العميل دليل الهاتف الخاص به في حال تعطل أو سرقة جهازه الجوال!
و المشكلة هنا تتمثل في عدة نقاط:
أولا: عدم توعية العميل بخطورة مثل هذه الخدمة و ان دليل الهاتف الخاص به سيكون في متناول موظفي شركة الاتصالات!
ثانيا: عدم التحقق الكامل من “أهلية” العميل لطلب الخدمة!
فالعميل قد يكون قاصرا لا يعي أهمية الخصوصية، أو قد يكون شخصا آخر غير صاحب الخط (التحقق يكون من خلال كلمة مرور)!
فقبول الطلب يتم بمجرد استقبال الشركة للرسالة النصية!
ثالثا: و هذه هي أهم نقطه.. لا يوجد التزام حقيقي من الشركة بالحفاظ على خصوصية العميل!
كل ما يمكنك الحصول عليه هو إجابات حول الموضوع في قسم الاسئلة الشائعة في موقع الخدمه (إضغط هـنـا).. أو عبارات مثل “تلتزم” الشركة بكذا و كذا في شروط الاستخدام و الاشتراك (إضغط هـنـا)، دون وجود أرضية قانونية لتبعات الاخلال بالالتزامات من قبل الشركة..!!!

الأمر بالطبع لا يقف عند شركة الاتصالات السعودية، فالبنوك مثلا في المملكة العربية السعودية ليست أفضل حالا!
على سبيل المثال، انتشر مؤخرا مقطع فيديو مصور لاثنين من موظفي أحد البنوك يقومون باستخدام اجهزة الجوال لتصوير معلومات حساب أحد الشخصيات المشهورة مباشرة من خلال شاشاتهم!

ما نحتاجه في المملكة هو (قانون لحماية الخصوصية).. قانون واضح و مفصل و يعامل كمرجعية قانونية و كأرضية صلبة لقضايا انتهاك الخصوصية!
تأخرنا كثيرا في هذا الخصوص، اعتقد جازما أن 90% من دول العالم قامت بسن أنظمة حماية الخصوصية على شكل قوانين Data Protection Act أو غيرها.. في الولايات المتحدة الأمريكية مثلا يوجد أكثر من 10 قوانين لحماية الخصوصية و كل قانون يختص بتطبيق معين كقانون حماية خصوصية معلومات المرضى مثلا.. صحيح ان قوانين “الباتريوت” التي سنت مؤخرا هناك لمواجهة الارهاب تتناقض مع بعض هذه القوانين.. إلا أن التناقض محدود فقط في أحقية الأجهزة الاستخباراتيه هناك بالإطلاع على بعض المعلومات الخاصة!
بإنتظار آرائكم..

 
6 Comments

Posted in InfoSec Articles

 

!مايكروسوفت تحدث نظام التشغيل الخاص بك.. بدون اذنك

01 Dec

لا أعلم ان كنتم تشعرون بالحنق الذي أشعر به عندما أكتشف ان نظام التشغيل الخاص بي قد تم تحديثه دون أن أشعر و بدون إبلاغي فضلا عن إذني!
في الشهر الماضي قامت مايكروسوفت بتحديث عدة ملفات في نظامي التشغيل XP و Vista دون إذن المستخدمين أو إبلاغهم قبل عملية التحديث، حتى و ان كانوا قد اختاروا أن (يتم إبلاغهم قبل التحديث أو أن لا يتم تحديث أنظمة التشغيل الخاصه بهم) من لوحة التحكم!

الحقيقة المره هي انه و بالرغم من أن أنظمة التشغيل هذه خاصة بنا، و قمنا بدفع ثمنها الباهظ لمايكروسوفت، فإن مايكروسوفت يحق لها تحديث النظام متى شاءت و بدون إبلاغ مستخدم النظام حسب الشروط و الأنظمة لوندوز (و التي سأستغرب ان علمت أن مخلوقا قد قرأها كاملة سوى محامي مايكروسوفت الذين كتبوها)!

و في الواقع المشكلة لا تكمن فقط في مسألة حق التصرف في النظام المبتاع و كيفية التحكم به، بل تتعدى ذلك لمخاوف أكبر كان قد تحدث عنها خبير أمن المعلومات الشهير (بروس شناير) قبل شهر تقريبا، من أن هناك خطرا حقيقا يكمن في احتمال أن يكتشف أحد المخترقين المخربين كيفية عمل نظام التحديث الخاص بمايكروسوفت أو أن يكسر نظام التشفير المستخدم في عملية التحقق المتبادل ما قبل عملية التحديث!
و في حال حدث ذلك، سنجد المخترقين “يسرحون و يمرحون” في أجهزتنا.. دون أن نعلم نحن و تعلم جدراننا النارية بذلك!
للمزيد، ثلاث مقالات في نفس الموضوع: هـنـا، هـنـا و هـنـا.

 

 
2 Comments

Posted in InfoSec Articles