في الثالث عشر من شهر مارس لهذا العام 2009، قام التلفزين البريطاني BBC بشراء BotNet مكونة من أكثر من 21000 جهاز حاسب آلي. تم عرض كيفية التحكم بهذه الأجهزة وتنفيذ الأوامر المختلفة في برنامج Click الأسبوعي الذي يعنى بالحديث عن الأمور التقنية. تجدر الإشارة إلى الـ BotNet هو مصطلح يطلق على مجموعة من الأجهزة المخترقة، والتي يتحكم بها المخترق عن بعد لتنفيذ أوامر مختلفة. هذه الأجهزة المخترقة قد تكون في أي مكان في العالم، كما أنه من الممكن أن يتحكم فيها من غير علم صاحبها. كان الهدف من هذه الحلقة هو تبيين مدى فعالية هذه الشبكة وخطورتها على كثير من المنظمات، كما احتوت الحلقة يعد نهايتها على بعض المعلومات البسيطة حول كيفية حماية جهازك من الاختراق واستخدامه من قبل هذه الشبكات.

يمكنك الاطلاع على كامل الحلقة من هنا.

الجدير بالذكر أن هذه الحلقة سببت العديد من المشاكل لـ BBC وذلك لاختراقها Computer Misuse Act والذي ينص على أن أي عملية اختراق لأي جهاز في العالم جريمة يعاقب عليها النظام إذا كان المخترق يقوم بهذه العملية من داخل المملكة المتحدة. قد سبب هذا العمل الحرج الكبير للأعضاء المشاركين بالبرنامج. كما كتبت العديد من الجرائد والمدونات المتخصصة حول هذا الموضوع واختلفت الآراء بين من يدعو إلى معاقبة هؤلاء على الجريمة التي ارتكبوها، وبين آخرين على النقيض تماماً يبررون لهم عملهم كون الهدف منه كان التعليم وليس التخريب. عموماً القضية ما زالت لم يفصل فيها بعد، والآراء فيها ما زالت قابلة للأخذ والرد.

هذه التدوينة ستثرى كثيراً بآرائكم وملاحظاتكم، هل ترى أن ما عملته هذه القناة لا يعد جريمة حتى لو خالفت نص القانون، بما أن الهدف منها كان تعليمي؟؟!

Is you cell phone tapped? To get a flavor of what I meant by tapped check this video from here which will explain every thing, and don’t be surprised this business has been running for years.

It is more surprising to know that these phones can be cheaply bought from many places; check this for example on eBay. Moreover, you can by the software only and install it on the targeted mobile and do all sort of things; check this web site for example www.flexispy.com, which is one of the most well-know website who provide this service. It is important to know that this is illegal to do in many countries and you might be prosecuted for spying on someone.

After that. you’ll really realize that our privacy is under real threat and we should be more conscious  about securing our devices. However, if you’re in doubt that you phone is taped have a look at this extracted paragraph from Indianapolis news, whom prepared this video, on some trivial checks:

“Based on WTHR’s test, here are some subtle signs that could suggest your cell phone is being secretly tapped:

• Cell phone battery is warm even when your phone has not been used
• Cell phone lights up at unexpected times, including occasions when phone is not in use
• Unexpected beep or click during phone conversation”

Sorry for not blogging frequently, that due to the fact that I’m really busy doing my Masters at RHUL.

As usual, I’d really like to see your thoughts and comments.

كتبت في موضوع سابق عن عدد الثغرات الأمنية التي تم إصلاحها في النسخة 2.8 من وورد بريس. إذا كنت تملك مدونة ومهتماً بأمن مدونتك فيمكنك تجربة هذه الأداة التي تساعدك في إضفاء بعض الحماية لمدونتك. تقوم هذه الأداة بعمل مسح على بعض الخصائص لمدونتك مثل: أسماء الجداول في قاعدة البيانات لديك، إخفاءك لمعلومات مدونتك التقنية مثل إصدار وورد بريس الذي تستخدم، نوع السيرفر وغيرها.

كما تقدم هذه الأداة خدمة معرفة مدى قوة كلمة المرور التي تستخدمها، وغير ذلك من الخصائص المفيدة. يجدر بالذكر أن هذه الأداة لاتقدم الحماية الكاملة لمدونتك وإنما تساعدك في إضافة بعض الخصائص الأمنية لها.

يمكنك تحميل هذه الأداة من هنا.

رأيكم؟

تمكن مجموعة من الباحثين من Princeton University الأمريكية من التوصل إلى طريقة لقراءة بيانات الذاكرة العشوائية RAM لجهاز حاسب آلي حتى بعد إغلاقه، واسترجاع أغلب البيانات فيه. طبعاً من المعلوم أن ذاكرة الجهاز تحتفظ بالمعلومات مدة بسيطة بعد إغلاق الجهاز تتراوح ما بين عدة ثوان إلى عدة دقائق. وللحفاظ على هذه البيانات مدة أطول قام الفريق بتبريد الذاكرة ببخاخ يدوي بسيط ومن ثم أخذها ووضعها في جهاز آخر لقراءة هذه البيانات. قام الفريق أيضاً بتطوير برنامج لقراءة هذه البيانات واسترجاع نسبة كبيرة من البيانات التي اختفت.

من المعلوم أن ذاكرة الجهاز تحتوي على جميع صورة كاملة  للجهاز قبل إغلاقه والتي تحتوي على أي مفتاح تشفير أو كلمة مرور استخدمت والتي تكون مخزنة في مكان معين من الذاكرة، قام هذا الفريق بتطوير برنامج للبحث عن هذه المفاتيح والحصول على نسخة منها. هذه المفاتيح تشمل كلمة مرور نظام التشغيل Vista أو مفتاح التشفير المستخدم في برنامج TrueCrypt وغيرهما الكثير. لا أطيل عليكم في شرح هذه هذه الفكرة وإنما أترككم مع هذا الفيديو الذي أعده فريق البحث العلمي:

هذه التجربة وضعت كثير من الأجهزة في خطر في حال أنها سرقت بحيث يستطيع المخترق الحصول على المعلومات المخزنة في ذاكرة الجهاز، وبخاصة إذا كان الجهاز في وضع Sleep mode.

للاطلاع على تفاصيل التجربة يمكنك زيارة رابط الجامعة من هنا. كما يمكنك الاطلاع على الورقة العلمية المنشورة عن هذه التجربة من هنا.

رأيكم؟؟

قام فريق من الهاكرز بالعمل على اختراق موقع Strong Web Mail للفوز بالجائزة التي تحدثت عنها سابقاً (يمكنك الاطلاع عليها من هنا). يدعي هذا الفريق أن الموقع لم يكن آمناً بما فيه الكفاية، حيث اكتشفوا وجود عدد من الثغرات والتي استطاعوا من خلالها اختراق الموقع والحصول على بيانات البريد الالكتروني المعلن عنه. وقد أثبتوا اختراقهم للسيرفر بإعلانهم ما يحتويه تقويم البريد المعلن عنه في اليوم 26 من الشهر الحالي.

للاطلاع على المزيد من التفاصيل يمكنك زيارة هذه الصفحة.

خدمة جديدة طرحتها شركة Strong Web Mail للحصول على بريد الكتروني غير قابل للاختراق، حسب ما تدعيه في موقعها. ولإثبات ذلك قامت الشركة بوضع جائزة بقيمة 10,000$ لمن يستطيع اختراق هذا البريد الإلكتروني:
اسم المستخدم : CEO@StrongWebmail.com
كلمة المرور       : Mustang85

تعتمد هذه التقنية على إضافة مستوى آخر من الأمان للتحقق من المستخدم وذلك بأن يقوم المستخدم بحفظ رقم هاتف خاص به عند التسجيل في هذه الخدمة. عند رغبة المستخدم بتسجيل الدخول إلى حسابه، يحدد أحد هذه الأرقام التي أدخلها وبعد ذلك في غضون ثوان يأتيه اتصال من أحد الخوادم المستخدمة في الخدمة ويقوم بإعطائه ثلاثة أرقام يقوم بإدخالها، أو يرسل له رسالة نصية بهذه الأرقام.

أطلقت هذه الخدمة في بداية عام 2009، ويمكن لأي شخص أن يسجل فيها ويحصل على بريد الكتروني خاص به برسم شهري يبدأ من 4.99$. إذا كنت ما زلت ترغب بالحصول على 10,000$ باختراق هذا البريد الالكتروني فيمكنك الحصول على التفاصيل من هنا.

رأيكم في هذه الخدمة؟ وهل تعتبر فعلاً مستحيلة الاختراق؟

“احم هويتك” (Protect Your Identity) عنوان مقال كتبه أحد المتخصصين ذكر فيه 12 ممارسة صحيحة لحماية الهوية من السرقة والاحتيال. المقال رائع ويحتوي على عدد من النصائح لمستخدمي الحاسب في كيفية حماية بياناتهم وهويتهم من السرقة. هذه النصائح هي:

1. لا تستعجل.
   عند دخولك لموقع يطلب منك التسجيل وتعبئة بياناتك، قم بتعبئة الخانات الإلزامية فقط. انتبه كذلك إلى إلغاء خيار مشاركة بياناتك مع جهات أخرى (قد يكون بالتأشير أو بإلغاء التأشير من صندوق معين، فكن حذراً).

2. لا تنشء حساباً شخصياً.
   عند رغبتك بالحصول على خدمة من موقع معين، إذا لم يكن هذا الحساب جزء من عملية مستمرة تتطلب بياناتك الصحيحة، فقم بتعبئة الخانات بأي بيانات للحصول على الخدمة فقط، أو قم باستخدام الموقع التالي www.bugmenot.com حيث يوفر بيانات تسجيل مسبقة للعديد من المواقع بحيث يمكنك استخدامها من دون إعطاء أي بيانات شخصية عنك.

3. ابحث عن القفل.
   عند دخولك لموقع للقيام بعملية مالية، ابحث عن القفل، في أسفل المتصفح، وعن (https) في بداية خانة العنوان. وجود القفل ليس بالضرورة ضماناً لأمان الموقع، وإنما غياب القفل هو بالضرورة علامة لعدم أمان هذا الموقع.

4. لا تقع فريسة للـ (Phishing).
   إذا وصلك بريد الكتروني من بنك أو أي مؤسسة مالية، ويرغب منك بالضغط على رابط موجود بالرسالة لأي سبب كان، فقم مباشرة بتجاهل هذا البريد والذهاب إلى موقع البنك أو المؤسسة المالية مباشرة، والبحث عن الموضوع الذي كان سبباً في إرسال هذا الإيميل إليك. إذا لم تجد الموضوع فقم بمراسلة البنك مباشرة وإخبارهم بما حدث.

5. لا تقع فريسة للـ (Phishing) أيضاً.
   متصفحا (Internet Explorer 7) و (Firefox 2) مدمج بهما أداة لاكتشاف مواقع الـ (Phishing) بالبحث عن الموقع في القائمة السوداء الخاصة بهذه المواقع، أو تحليل لمحتويات الموقع مباشرة إذا لم يكن موجوداً بالقائمة. تأكد من تفعيل هذه الخاصية وأخذها بعين الاعتبار.

6. ابحث بأمان.
   عند البحث في محركات البحث، من المفيد أن تقوم بتحميل أداة (site-safety) والتي تقوم العديد من شركات أمن المعلومات بتوفيرها. هذه الأداة تعطيك لون أحمر في نتائج البحث عند المواقع الغير آمنة. من المفيد أن تقوم بتحميل هذه الأداة والاستفادة منها.

7. تحكم بنفسك.
   من الممكن أن تستخدم أداة للتحكم في البيانات التي تقوم بإرسالها، بحيث تضع لك قائمة بالبيانات التي ترغب في حمايتها، وعند قيامك بإرسال أو كتابة هذه البيانات في إيميل أو برامج محادثة فإن هذه الإداة إما أن تمنع إرسالها أو تقوم استبدالها ببيانات أخرى. هذه الأداة مفيدة لبعض الأشخاص فربما تفكر في استخدامها.

8. استخدام بطاقات الائتمان (one-shot).
   توفر العديد من شركات بطاقات الائتمان، بطاقات للاستخدام لمرة واحدة. الرقم الموجود بهذه البطاقات صالح لعملية شراء واحدة فقط. فكر باستخدام هذه البطاقات خاصة عند الشراء من المواقع غير المشهورة أو عند التعامل مع مواقع لأول مرة، أو استخدمها في كل عمليات الشراء على الانترنت، إذا رغبت بذلك.

9. ثقّف عائلتك.
   ثقف زوجتك/زوجك وأبناءك عند استخدامهم لجهاز الحاسب ودخول الانترنت بعدم إعطاء بياناتهم لأي جهة أو موقع، والحذر عند القيام بذلك. كما يمكنك استخدام بعض البرامج الأسرية للتحكم بهذه الاستخدامات.

10. أمّن نفسك.
    ليست كل المخاطر من الانترنت فقط، انتبه من الأشخاص أو البرامج التي من الممكن أن يقوموا بنسخ بياناتك والحصول عليها. احرص على قفل جهازك أو إغلاقه عند الابتعاد عنه، كذلك قم باستخدام كلمات مرور معقدة لجعل الحصول على هذه البيانات أصعب.

11. فكّر من خارج الصندوق.
    لا تصدق كل ما يأتيك عن طريق البريد، وقم كذلك بإتلاف الأوراق قبل رميها في حالة احتوائها على أي بيانات خاصة عنك.

12. تعلم المزيد.
    هناك العديد من المواقع المتخصصة التي تعلمك كيف تكون قابلاً للاختراق؟ وكيف تقوم بحماية نفسك.

يمكنك الاطلاع على كامل المقال باللغة الانجليزية من هنا.

أسعد بأي نصائح أخرى لديك تود إضافتها أخي القارئ، أو ملاحظاتكم حول هذه النصائح.