As I used to remind you every year since 2006 –> the ISC2 has published the Information Security Resource Guide for this year. GET A COPY!
To get a copy, click here.
Archive for February, 2008
!التوعية .. التوعية .. التوعية
18
Feb
وصلني عبر البريد الإلكتروني منذ مده مقطع صوتي يبدو أنه تم تداوله كثيرا بين مستخدمي الانترنت، و في المقطع الصوتي يبدو أحد أصحاب الثروات الضخمه مزهوا بثروته و هو يقوم بتسجيل مكالمته مع الهاتف المصرفي لأحد البنوك السعودية ليستعلم عن رصيده…
و انا هنا أستغرب كثيرا من هذا التصرف غير المسئول من هذا العميل!
فبإمكان أي شخص الآن استخدام أي برنامج مما يعرف بالـ Dial tone decoder و هي منتشره بكثره ليعرف رقم الحساب و الرقم السري و ببساطة شديدة!
في الوقت الذي اعرف ان الكثير من مستخدمي الهاتف المصرفي في أمريكا و بريطانيا مثلا يحرصون على ان لا يستخدموا الهواتف العادية ذات النغمة المعروفة خشية أن يكون هناك من يتنصت على المكالمة و يستعيد بعد الأرقام المهمه التي يدخلونها كالأرقام السرية..
و السؤال هو على من تقع المسئولية؟!
على البنك الذي يبدو جليا أنه لم يقم بتوعية عملائه بالمخاطر المتعلقة بالهاتف المصرفي بشكل جيد؟
أم على العميل الذي تصرف بسذاجه كبيرة؟
برأيي أن المسئولية مشتركة هنا، و ان كنت متأكدا انه في حال تم سرقة مبالغ من حساب هذا العميل فسيلقي باللوم كاملا على البنك..
نحتاج كثيرا لتنمية الحس الأمني لدى مستخدمي التقنية في الدول العربية..
للإستماع إلى المقطع الصوتي، إضغط هـنـا.
و أرجو ممن يعرف صاحب هذا المقطع الصوتي، أن يهديه هذا الموقع.
و لمعرفة المزيد حول الـ Dial tone decoder، إضغط هـنـا.
!الإعلامية Ping و Sun معركة
10
Feb
لاحظت مؤخرا أن أغلب (أو ربما كل) التدوينات هنا جاده، و لا أود أن أقول جافه!
لذلك سأكسر القاعده هذه المره بخبر طريف أضحكني كثيرا في الأسبوع الماضي، حتى لا يتبادر إلى أذهان الزوار الكرام اني لا سمح الله “ثقيل طينه”! 
قد شاء الله تعالى أن يكون تخصصي الدقيق، في مرحلة الدكتوراة، في إدارة الهوية الإلكترونية أو ما يعرف بالـ Identity Management.
و هذا المجال بقدر ما يحوي من تعقيدات في مفاهيمه و أنظمته، إلا أني لاحظت أن أغلب متخصصيه يملكون حسا فكاهيا ملفتا، ولا أعرف حقيقة سبب ذلك، لكن يندر أن أحضر مؤتمر أو ورشة عمل لمتخصص في هذا المجال دون أن أضحك مرارا خلال حديثه!
و ما حدث في الأسابيع القليلة الماضية من “حرب إعلامية” بين شركتي Sun و Ping ربما يكون خير شاهد على ذلك!
القصه بإختصار تتمثل في وجود شركتين متنافستين في مجال إدارة الهوية و توحيد الهوية (Identity management and federation)، هما شركتي Sun و Ping..
فـ Sun بموظفيها الـ 35 ألفا، لطالما فاخرت بنظامها الشهير لإدارة الهوية و المسمى Sun Access Manager، و اعتبرته الأفضل في السوق، و هو في الحقيقة من أفضل أنظمة إدارة الهوية.
إلا أن Ping الشركة الصغيرة التي تضم 72 موظفا فقط، أصبحت من أشهر الشركات في مجال إدارة الهوية، بل و اكتسبت زخما هائلا منذ سنتين تقريبا بعد دخولها بمشاريع دمج مع عدة أنظمة لإدارة الهوية مثل Liberty و CardSpace و Shibboleth و OpenID و غيرها، و أثبتت جدارة كبيرة في ذلك.
و يبدو أن Sun بدأت تخشى منافستها الصغيرة جدا Ping، فقد “مَللت” أنا شخصيا من كثرة ما أقرأ من اتهامات يوجهها منسوبي Sun إلى Ping في كل مناسبة، بأن Ping سرقت بعض الأفكار من منتجاتهم.
لكن الوضع تطور دراماتيكيا قبل أسبوعين تقريبا حينما قام Daniel Raskin مدير الإنتاج الشهير في Sun بوضع مقطع فيديو ساخر في مدونته يتهكم فيه من شركة Ping.. في المقطع يظهر موظف شرق آسيوي يحمل اسم Ping و يبدو “أبلها” و مهزوزا، و يقوم دانيال بسؤاله اسئلة متعدده فيها الكثير من التهكم:
[youtube]http://www.youtube.com/watch?v=LN8-YZhmLv4[/youtube]
.
Ping بدورها لم تسكت!
فبعد 5 أيام فقط، قام المدير التنفيذي لـ Ping السيد Andre Durand شخصيا بوضع مقطع فيديو في مدونته للرد على Sun، و كان ردا قويا مقتبسا من الفيلم الشهير (300)!
[ إضغط هنا ]
.
و كان آخر أحداث هذه “المعركة الملحمية” كما يسمونها، قبل أسبوع، حيث قام دانيال مرة أخرى بوضع مقطع فيديو جديد في مدونته، و يبدو فيه يبحث عن السلام مع Ping!
[youtube]http://www.youtube.com/watch?v=nMBdDIohXqk[/youtube]
أعرف جيدا أن المتحاربين تجمعهم علاقة ود و احترام متبادل.. فكثير من موظفي Ping سبق لهم العمل في Sun.. و مثل هذه المواجهات الإعلامية هي بالتأكيد من باب الترفيه و المزاح.. لكن لا تخلو بالطبع من رسائل مبطنه!
أنا أيضا أحمل رسالة مبطنه داخل هذه التدوينه، و مفادها: لا تستفزونا نحن – متخصصي إدارة الهوية – فنحن ملوسنين!
SP1 for Vista contains something fishy!
06
Feb
Microsoft has added a random number generator to the deployed service-pack for Windows Vista. This generator is called Dual_EC-DRBG, which is one of three types of random number generators standardised by NIST last year (click here). The generator is not enabled by default, and it’s not clear whether or not the user can enable it!
Adding this specific generator to Vista is somewhat fishy!
Not only because that this elliptic curve based generator is much slower than the other two types, but because it may has a backdoor for the NSA which designed it at the first place!
And I think it’s needless to say what the NSA is and what authority it has..
Bruce Schneier, the Information Security expert, talked about his concerns regarding this issue months ago!
Some of you may ask, how important these generators are anyway?
Well, to answer that, let me borrow Bruce’s words on this:
“Random numbers are critical for cryptography:
for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency. ”
To read Bruce’s article, click here.
For more about the SP1, click here.
Get an e-copy of the (Handbook of Applied Cryptography) for FREE!
03
Feb
Now, you can get an e-copy of one of the best Cryptography handbooks legally and absolutely free!
The (Handbook of Applied Cryptography) is available here.