الخوف و التخويف و أمن المعلومات

يحصل متصفحوا الانترنت و مستخدموا الحاسوب على الكثير من النصائح و التحذيرات عند الاتصال بالانترنت.

من الامثلة الشائعة:

1. لاتعطي معلومات شخصية لأي شخص.
2. لاتشارك كلمة السر مع أحد
3. قم باستخدام برامج مكافحة الفيروسات.
4. لاتستخدم الشبكات العمومية للمعاملات المصرفية على الانترنت
5. لاتستخدم برامج لاتعرف مصدرها
6. انتبه من الهندسة الاجتماعية والاحتيال و مواقع النصب
7. لا و لا و لا

قائمة طويلة  لدرجة ان المؤسسات يجب ان تصدر سياسة أمن معلومات   يتبعها موظفيها لحماية المعلومات الخاصة بهذه الشركة من السرقة أو العبِث. وطبعا يكون هناك عقوبات وغرامات مالية وقد يصل الموضوع  للفصل من العمل. وهذه القائمة تصل للبيوت حيث تجد دائما ذلك الشخص في كل عائلة ينبهك ويحذرك من خطورة الانترنت عليك و على عائلتك.

حتى الأطفال لهم نصيب، فهناك دائما محاذير من شبكات التواصل الاجتماعي. و الخوف من التواصل مع مجرمين الانترنت و المسيئين للأطفال. ولنكن صريحين فهناك بعض العائلات العربية التي تمنع الإناث من الانترنت كنوع من اتباع التقاليد المضادة للحرية الزائدة.

قائمة طويلة تصل الى البيع والشراء، الناس تعي الآن ان استخدام بطاقات الاعنماد (الكردت كارد) يجب ان يتم في أماكن آمنة وأن يراقب البائع عند الاستخدام. وعند سحب النقود من آلات الصرف الآلية (ATM) تجد الشخص يلتفت يمينا ويسارا ويغطي المفاتيح عند طباعة رقم التعريف الشخصي.

نتائج هذه التخويفات كثيرة منها:

1.  أصبحت ما أسميها عقيدة الخوف هي المسيطرة في مجال أمن المعلومات. حيث أصبحت أنظمة أمن المعلومات (برمجيات و أجهزة و طرق إدارية) تبنى على هذه العقيدة. حيث تصمم هذه الأنظمة لمنع وصول أي شي إلى أي شي آخر . ثم يتم السماح فقط بدخول أشياء محددة.
2. انعدام الثقة بين المستخدمين و شركات البرمجيات و الهاردوير. حاول الدخول في نقاش لينوكس أ و ماكريوسف ويندوز. مكافي أو نورتون.  من منا لم يسمع أحدهم يحلف أغلظ الأيمان انه في  كل الهواتف المحمولة يوجد هناك رقاقة صغيرللتجسس تعمل حتى في انعدام وجود بطارية؟ . من منا لم يسمع أحدهم يحلف أغلظ الأيمان ان شركات أمن المعلومات تدفع للمبرمجين لتصنيع الفايروسات و البرمجيات الخبيثةاا
3. صرف المليارات على برامج و أجهزة و استشارات ادارية في مجال أمن المعلومات
4. تقليل درجة أداء انظمة المعلومات بسب كثرة القيود الامنية و البرامج و تعقيد أمن المعلومات. حيث أصبح موضوع ( أمن المعلومات ضد استخدام المعلومات) تحديا إضافيا يجب حله رغم صعوبته.
5. أصبح بند الإختراق و سرقة المعلومات اساسيا يوضع بجانب الكوارث الطبيعية و الحرائق والحروب عند وضع سياسات النسخ الاحتياطي وخطط الازمات و المواقع الرديفة.
6. أصبحت الحرب الالكترونية لها جيوشها و كتائبها و عصاباتها وتنظيماتها التي تعتمد على ضعف أمن المعلوات تشكل خطرا حقيقيا قد يسبب أزمات سياسية

النتائج كثيرة و لكن من المستفيد منها هل هي صناعة أمن المعلومات. هل هم عصابات الانترنت و المافيا . هل المستخدم العادي يستفيد من الخوف لحماية معلوماته وامواله ؟ هل فعلا يحتاج الموضوع كل هذا الخوف.

كتاب كثر تطرقوا للموضوع في عدة كتب :

1. Beyond Fear – Schneier on Security
2. Secrets & Lies by Bruce Schneier
3. The Myths of Security

عزيزي القارئ:

أتمنى منك ان تقوم بالانتباه عند الاتصال بالانترنت و عدم التوسوس الشديد. فالموضوع بسيط. كما يوجد مجرمين و طماعين وأشرار في العالم الطبيعي؛ فإنهم بشكل طبيعي سيتواجدون على الانترنت.

هل كل البيوت فيها كاميرات مراقبة؟ كلا

هل تسرق البيوت او المحال التي فيها كاميرات مراقبة ؟ طبعا

هل هناك حصن آمن بنسبة ١٠٠٪ ؟ كلا

هل تتذكر النصائح تعيدها لك السيدة الوالدة عندما تخرج من البيت للعب في الخارج أو المدرسة ؟

-يا بني لا تكلم الغربا و لاتاخد منهم شي

-يا بني لا تبعد كثيرا عن البيت

-يا بني ارجع قبل الساعة ٦

-يابني انتبه من السيارات  وتأكد من خلو الشارع عند المرور

وبالرغم من كل هذه الأمور يضيع أطفال ويختطف أطفال من داخل البيوت و يحدث الكثير من حوادث السير في وجود الاهل . نلاحظ معا وقوع الحوادث السيئة رغم التحذيرات و التنبيهات

وجهة نظري ان الانسان العادي اذا اتبع الارشادات العامة عند الاتصال بالانترنت فهو في امان معقول ومع هذا لابد أن يقع ضحية حوادث أو سرقات للبعض . اما الشركات فبعضها يحتاج إلى نسبة أمان أعلى من المستخدم العادي لحماية بيانات العملاء والموظفين. واتمنى منكم المحافظة على بياناتكم الشخصية وملفاتكم بشكل يسهل الوصول اليه ولكن آمن.

وتفضلوا بقبول فائق الاحترام

ANONYMOUS (انونيموس) المخترقين الناشطون

التدوينه التالية ليست تدوينة تاريخية عن انونيموس. حيث يمكن الحصول على هذه المعلومات من ملف ويكيبيديا. هذه التدوينة مجرد محاولة لاسقاط الضوء على هذه المجموعة. او رؤوس اقلام.

– تكونت ٢٠٠٣ تقرييا

– ليست مجموعة موحدة تحت قيادة مركزية ولا يوجد قائد واحد.

-تتكون من مجموعات لامركزية بطريقة سرية منظمة.

-لاتتبع اي دولة

-تحيرت كثيرا خلال محاولتي ايجاد ترجمة او مصطلح عربي يصلح ان يكون معنى لكلمة hacktivist. في قاموس اوكسفورد تعني الكلمه: الشخص الذي يحصل على تصريح بالدخول الى ملفات كمبيوتر او شبكات لايملك صلاحية الدخول اليها لتحقيق اهداف سياسية او اجتماعية.

– لهم ظهور علني (يلبسون اقنعة جاي فوكس مثل فيلم فانديتا) ونظموا عدة احتجاجات علنية

-قاموا بتوزيع برمجيات للمساعدة في الهجمات المنظمة لحجب الخدمات.

-قاموا بعدة هجمات واختراقات ونشر معلومات كان لها تأثر كبير سياسيا واعلاميا واقتصاديا في مواضيع كثيرة مثل:

1. مهاجمة المواقع الاسرائلية خلال قصف غزة ٢٠١٢
2. حرية المعلومات على الانترنت
3. قضايا استغلال الاطفال على الانترنت
4. مساندة مواقع megaupload و wikipedia و thepiratesbay

-لا يوجد طريقة معينة للانضمام اليهم

-لمتابعة اخبارهم مباشرة على توتير[email protected]

1. هل هم جيدون هل هم سيئون؟
2. هل هم روبين هوود رقمييون؟
3. لماذا تكرههم معظم الحكومات؟
4. هل هم الشكل الجديد للمستقبل في الحرب المعلوماتية؟
5. هل نيتهم صادقة ام هناك اطماع في نفوذ او نقود؟

اسئلة تدعوا للتفكير ولايمكن الاجابة عليها في سطر او مقالة. الاجابة تعتمد على وجهات نظر وطريقة الرؤية الى الموضوع واقتناعات.

وشكرا لكم على المتابعة اللطيفة

اختراق موقع قناة الجزيرة الاخبارية (www.aljazeera.net)

تم اختراق موقع قناة الجزيرة الاخبارية اليوم (4-سبتمبر-2012) من قبل مجموعة الراشدون (Al-Rashedon) وتم تبديل الصفحة الرئيسية بصفحة تحمل توقيع المحموعة. ورسالة خاصة إلى الجزيرة:
“ردا على موقفكم ضد سوريا (الشعب والحكومة ) والدعم الخاص للجماعات الارهابية المسلمة ونشر الاخبار الكاذبة وملفقة. تم اختراق موقعكم وهذا هو ردنا عليكم.”

نفهم من الرسالة ان مجموعة الراشدون ساخطة على القناة الاخبارية وطريقة تغطيتها للاحداث في سوريا.

طبعا الخبر يظهر اهمية امن المعلومات وخصوصا عربيا حيث اصبحت الحرب الالكترونية مجالا يسبب اضرارا مادية وتجارية وغيرها.
واتمنى لكم دوام الصحة والعافية

البنك العربي- سياسة امن المعلومات (الوعي العربي في الحماية ج3)

من أهم العوامل التي تجعل العميل يفضل بنكا على اّخر: عامل الأمان. ما زلت أحاول أن أفهم كممثل عن مجتمع الحماية العربي مدى وعينا في هذا المجال. أخترت البنك العربي لأنه أحد أقدم المؤسسات المالية عربيأ (تأسس 1930). ولابد أن الشعور بالامان لعب دورا كبيرا حتى يبقى البنك مستمرا. http://www.arabbank.jo
لا أدعي الخبرة المالية ولا أعرف التاريخ المالي للبنك ولكن قررت أن ادرس اهتمام البنك بأمن المعلومات وحمايتها.  باستخدام جوجل والبحث عن ” البنك العربي و أمن المعلومات ” وجدت الصفحة التالية:

http://www.arabbank.jo/ar/securitystatment.aspx

عند قراءة الصفحة ستجد أن البنك يوجه هذه الصحة إلى عملاء البنك

 “أمن معلوماتك
إن المحافظة على سرية وأمن معلوماتك الشخصية من أهم الأولويات في البنك العربي حيث اتخذنا التدابير المناسبة لحماية سرية معلوماتك الشخصية ووقايتها من الدخول غير المصرح به، إذ أن حماية معلوماتك الشخصية تعتبر مسئولية كل موظف من موظفينا. 

ويقوم البنك العربي بشكل متواصل بمتابعة التطورات المتعلقة بحماية المعلومات وتحديث عملياته وإجراءاته لضمان الالتزام بأعلى ممارسات الصناعة المصرفية في هذا المجال. وسواء اخترت التعامل معنا من خلال مراكزنا المالية/فروعنا، أو أجهزة الصراف الآلي، أو الخدمات المصرفية عبر البنك الناطق أو الإنترنت، فإننا نلتزم بالمحافظة على حماية معلوماتك سواء عند جمعها أو استخدامها أو مشاركتها. “

يسمي البنك هذه المقالة  كاملة بسياسة  أمن المعلومات مع انها فعليا تمثل بعض التحذيرات المهمة جدا لتوجيه العميل إلى طرق الاستخدام الامن للأنترنت حتى يستخدم البيئة المصرفية على الشبكة بشكل مريح واّمن.  من أهم التحذيرات :

1- حماية كلمة السر

2- التحذير  من سرقة بياناتك الشخصية عبر الإنترنت “Phishing” .

3-استخدام المواقع الالكترونية الموثوقة

4-  تأكد ان المتصفح يستخدم HTTPS عن الدفع ببطاقة الائتمان

5- استخدام firewall شخصي

6- إغلاق المتصفح بعد أي عملية شراء ( أعتقد القصد مسح الكوكيز وتاريخ التصفح والكاش)

نصائح مهمة وتهم مستخدمي الانترنت خلال القيام بأي عمليات تبادل اموال عبر الانترنت.

ثم يعود البنك إلى سياسة أمن المعلومات موضحا كيف سيوفر لك الامان من طرفه:
“ان الحفاظ على سرية وأمن معلوماتك الشخصية والمالية من أهم المسؤوليات المناط بنا. ستبقى معلوماتك في حماية نظرا للتدابير الأمنية المتخذة مثل: التشفير/الترميز، وتوثيق الدخول، وبرامج الحماية من الفيروسات، وبرامج كشف الدخول غير المصرح به، الموجودة الأنظمة والخدمات التي نقدمها.” 

طبعا  كما تلاحظ عزيزي القارئ يتحدث البنك عن  أدوات تقنية في أمن الشبكات والانظمة. , و لكن كمهتمين بالموضوع فنحن نعرف ان الموضوع لايقتصر على ذلك . فأمن المعلومات يعتمد على 1- التقنية 2- الناس 3- الطريقة . أنا لا أطلب من البنك وصع اسما موظفين أو ان يحصلوا على ISO 27001. ولكن اتمنى ان يهتموا بهذه التفصيلة الصغيرة .

في نفس الصفحة يتحدث البنك عن خصوصية المعلومات ويوفر رابطا إلى صفحة أخرى تحدث عن خصوصية معلومات العميل وسريتها وكيف يتعاملون مع المعلومات و مع أي الجهات يشاركونها. ويتعهد البنك بخصوية المعلومات ودقتها.

http://www.arabbank.jo/ar/privacypolicy.aspx

طبعا كأي بنك..يقدم البنك العربي بروتوكول HTTPS  و captcha…

لنلخص ما حصلت عليه :

1- البنك العربي يتعهد بأمن و خصوصية و دقة المعلومات

2- يقدم التوعية الازمة للمستخدمين

3- يستخدم أدوات لحماية الشبكة والانظمة

4- يستخدم بروتوكول HTTPS للعمليات المصرفية على الشبكة

ما لا م يعد البنك بتوفيره :

1- الاجراءات الامنية القياسية على مستوى الموظفيين و المستخدمين

2- توافرية المعلومات  (مثلا خدمة مصرفية على الشبكة لاتتوقف الا بنسبة 0.000009 %

3-  الإجراءات التي على المستخدم اتباعها في حالة حصول سرقة لبطاقته او حسابه او اي خرق

4- لم يذكر البنك اعتماده على أي من المواصفات العالمية لأدارة أمن المعلومات (مثلا 27001)

وأعود واذكر… ربما البنك يتبع أفضل الاجراءات ولكن لم ينشرها بشكل جيد… وهذا ليس بهجوم على البنك أو دعوة لمحاولة الاختراق وطبعا ليست دعاية… طبعا اخترت البنك العربي لأنه يدار ويقدم خدماته من موظفين عرب إلى عملاء عرب.. وليس كأغلب البنوك الاخرى…

الرجاء مشاركتنا في هذا الموضوع عن البنوك والمصارف العربية لزيادة وعي الناس ولتعم الفائدة …

ودمتم بود….

مركز الاستجابة لطوارئ الحاسب الآلي – دولة الامارات (الوعي العربي في الحماية ج2)

مازلت ابحث في الوعي العربي عن امن المعلومات والحماية. وطبعا بحكم تواجدي في دولة الامارات فسأحول ان انقل لكم مايدور هنا..

من المبادرات الجميلة في المنطقة قيام دولة الامارت بإنشاء مركر لمراقبة الجرائم الاكترونية بشكل مركزي من قبل مختصين وخبراء في هذا المجال.  وطبعا هذا المركز موجود تطبيقا  لقانون منع الجرائم الالكترونية الذي يمكن الاطلاع عليه في : http://www.aecert.ae/laws-ar.php

مركز الاستجابة لطوارئ الحاسب الآلي

قامت هيئة تنظيم الاتصالات بإنشاء  مركز الاستجابة لطوارئ الحاسب الآلي (aeCERT )  ويمكن زيارة موقعهم : http://www.aecert.ae  للمزيد من المعلومات

مهمة المركزالرئيسية :

• دعم البنية التحتية للاتصالات ونظم المعلومات والمحافظة عليها من تهديدات الجرائم الأمنية على الانترنت.
• بناء ثقافة آمنة ومحمية من جرائم تقنية المعلومات في دولة الإمارات العربية المتحدة.

قام هذا المركز بإقامة عدد من المؤتمرات في مجال امن المعلومات أهمها (BLACKHAT Abu DHabi). كما قام المركز بتنصيب مصيدة أمنية (honeypot) للقيام بدراسة البيانات والهجمات الموجهة إلى خارج ومن داخل دولة الامارات.

طبعا أكثر ماجذب اهتمامي هو شخصية سالم الكرتونية وانشاء موقع خاص له يحوي اشادات مفيدة ومبسطة عن امن المعلومات وفقرات تلفزيونية ارشادية  يمكن الاطلاع على هذه الشخصية على : http://www.salim.ae

طبعا لن يمكن قياس ايجيابيات او سلبيات المركز لأنه جديد نسبيا.

واقبلوا فائق الاحترام …

ملاحظة:
الجزء الاول من هذا الموضوع : http://www.security4arabs.com/2011/12/14/uae-security

وللموضوع بقية

برنامج أمن المعلومات الحكومية – أبوظبي (الوعي العربي في الحماية ج1)

تقوم حكومة أبوظبي في دولة الامارات بعدة مبادرات لمحاولة تحسين خدماتها الحكومية.. من المبادرات التي تجذب اهتمامنا في مجتمع الحماية العربي هي مبادرة انشاء مركز أبوظبي للأنظمة الالكترونية والمعلومات. من إحدى وظائف هذا المركز هي نشر الوعي بخصوص امن المعلومات في الدوائر الحكومية والخاصة عن طريق وضع إطار عمل تتبعه جميع الدوائر والجهات التي تتعامل معها.

طبعا الاطار جميل وشامل وكما أرى يحتاج لوقت طويل لأنه يشمل مجالات عديدة يجب تغطيتها من جانب كل مؤسسة

طبعا الصورة تعود ملكيتها للمركز ويكمن الحصول على مزيد من المعلومات او التواصل مع المركز من خلال موقعهم

http://adsic.abudhabi.ae

وللحصول على الوثائق التي يمكن من خلالها تطبيق هذا الاطار الدخول على http://adsic.abudhabi.ae/Sites/ADSIC/Navigation/AR/Projects/information-security.html

في الموقع هناك عدة وثائق يمكن الحصول عليها وهي فعلا مفيدة ويمكن تطبيقها في اي مؤسسة حتى لوكانت غير حكومية او خارج إمارة ابوظبي.  وانصص جميع من يعمل في مناصب ادراية وامن المعلومات قراءة هذه الوثائق المكتوبة طبعا من قبل خبراء في المجال. 

مثلا لكي تستطيع التعامل مع اي جهة حكومية في ابوظبي يجب ان تكون متوافقا مع المعايير الموضوعة من قبل الهيئة . طبعا هذا شيء تحمد عليه حكومة ابوظبي ويبين الوعي لأهمية المعلومات وامنها كمصدر لتحسين وزيادة دقة الخدمات.

واقبلوا فائق الاحترام….

ملاحظة: هذا المقال سيكون الاول في جولة حول الوعي العربي بالنسبة لأمن المعلومات ( اختيار أبوظبي سببه اني من سكانها )

الأطفال والايباد…. كيف نحمي اطفالنا من الايباد؟ وكيف نحمي الايباد من الأطفال

حينما كنت صغيرا (5 سنوات).. كانت العائلة الكريمة تقيس تقدمنا عقليا في مجال التكنولوجيا بناء على أساس قدرتنا على برمجة جهاز التسجيل VCR او ال VHS…. ثم جاء الجيل الجديد و صار المقياس الجديد هو جهاز الحاسب الاّلي …

اما الاّن فولدي الصغير (32 شهر حاليا).. لايحتاج لأمتحان بسبب سهولة استعمال وبرمجة الاجهزة الرقمية .. خصوصا الاّيباد ..فالتعرف على امكانيته والقدرة السريعة على التعلم اصبحت في متناول الجميع … وأنا أعتقد ان فوائد استعمال الاّيباد كثيرة وايضا مضاره أكثر…

ابني يستخدم الاّيباد لمدة ساعة يوميا (ويتم انتزاع الجهاز منه انتزاعا بعد ملحمة درامية ) … ولحماية الجهاز من العبث و التخريب قمت بوضع كلمة دخول و إلغاء القدرة على مسح البرامج…

ولكن بعد إعادة التفكير وجدت انني لم أرى الموضوع من منظار ابني… فهو يلعب احيانا ويتعلم الحروف احيانا ويرسم احيانا… ولكن ماذا يحدث عندما يكتشف انه يقدر على البحث عن فيديو كرتون في اليوتيوب .. او ان يتصح الانترنت … او ربما فتح حساب على احدى المواقع الاجتماعية…. هل سأقدر على حمايته …ماهي الاجراءات المطلوبة.. المدة الكافية للإستخدام… هل فعلا يحتاج ابني الايباد كوسيلة ترفييهية او تعليمية…

فقررت ان أجعل هذه المقالة للتفكير والبحث عن حل..

المحاور التي يجب ان تحل :

1-أمن وسلامة الاطفال عند استخدام هذا الجهاز (مهم جدا وقد يؤثر على الاطفال جسديا واجتماعيا وامنيا)

2- أمن الجهاز وحماية البيانات من عبث الاطفال (ليس بذات الاهمية لسهولة حفظ البيانات وسرعة الاسترجاع) ولذلك لن اتطرق إليه لأننا إذا حللنا المشكلة الاولى فالثانية تحل ضمنيا.

3- محاولة إيجاد حل وسط عند استعمال هذه الاجهزة .. من حيث عدد ساعات الاستخدام… طرق اختيار البرامج المقبولة..

أمن الاطفال وسلامتهم

لن أحاول في هذا السياق جعل الموضوع موضوع تحذير وتنبيه (او فيلم رعب). ولكن مخاطر استخدام هذه الاجهزة كثيرة :

1. جسديا :
• عندما يجلس الطفل لساعات متواصلة متسمرا فهذا غير طبيعي بالنسبة للأطفال لإحتياجهم للحركة المستمرة
• زيادة الوزن
• إجهاد العين بسبب النظر المستمر إلى نقطة واحدة
• التأخر في النشاطات البدنية والألعاب اليدوية التي تنمي مهارات انسانية مهمة لأي طفل
2. نفسيا:
• قد يتكون عند الطفل مرض الادمان على استخدام هذه الاجهزة و قد يؤدي هذا المرض إلى إدمان اشياء اخرى مثل إدمان الانترنت و  إدمان الالعاب الالكترونية و إدمان مواقع التواصل الاجتماعية.
• فقدان القدرة على التواصل مع أقرانه من الاطفال او حتى عائلته وجها لوحه
• الانطواء والعزلة
3. أمنيا:
• قد يستخدم المحرمين هذه الاجهزة للتلاعب بعقل الاطفال وإدراجهم إلى امور مثل (المخدرات ..الشرب..أو حتى لجرائم جنسية)
• قد يستخدم الطفل برمجيات يقدم فيه معلومات شخصية  او حتى صور او ملفات شخصية عن نفسه او عن عائلته دون العلم بوجود خدعة او مخطط موضوع عن طريق الهندسة الاجتماعية للإحتيال على الناس
4. ثقافيا وعلميا:
• الانترنت البوابة السحرية لكل الثقافات.. هل تعتقد ان الطفل و فضوله لن يحاولا التعرف إلى الثقافات المختلفة وهذه الثقافات سيكون لها تأثير سلبي إذا لم تكن هناك رقابة او توجيه صحيح.
• الانترنت عموما تحوي جميع ما وجد من مواد إباحية وخلاعية يمكن تحصيلها متعمدا او حتى بالخطأ
• قد يأخر الانشغال بتوافه الامور على الايباد الطفل عن تحصيل العلم الفعلي في المدرسة او البيت
5. ماديا:
• قد يستعمل الطفل بالخطأ اودون قصد او بعد التعرض لعملية إحتيال بيانات بطاقات الإعتماد المخزنة على الجهاز

الحلول المقترحة

1. زرع الوازع داخل الطفل وتنبيهه الدائم إلى كل هذه المخاطر
2. توجيه الطفل على سؤال اهله قبل استخدام برنامج او موقع جديد
3. المراقبة (ليست بطريق الخفر ومراقبة الشاسة او التجسس) بل بجعل الطفل يدرك انك تراقبه لتحميه وجعله يشاركك تجاربه عن طريق السؤال الدائم والتأكد من ان كل شيء يفعله جيد
4. جدولة ساعات الاستخدام (والتفريق بين ساعات اللعب وساعات استخدام هذا الجهاز للدراسة). فمثلا منع الطف من اللعب في ايام الدراسة والسماح له باستخدامه يوم الخميس والجمعة مثلا.  أو السماح للطفل حين يكبر باستخدام الجهاز للتواصل مع اصدقائه لمدة ساعة مثلا يومين في الاسبوع.
5. وضع كلمة سر لجعل الاطفال يدركون انه يجب ان يعودوا إليك عند استخام الجهاز,
6. أخذ نسخة احتياطية بشكل دوري
7. عدم حفظ بيانات شخصية او ارقام بطاقات الاعتماد ان امكن في هذه الاجهزة
8. استخدام خصائص القيود او  خاصية “قيود الاهل” “Parental control”  لمنع الطفل من الدخول على بيانات او برامج معينة او العبث..فمثلا على الايباد يمكن التحكم ببعض الخواص. الرجاء  زيارة هذه الصفحة لمزيد من المعلومات: http://support.apple.com/kb/ht4213

طبعا الهدف من هذه المقالة ليس الايباد فقط ولكن جميع الاجهزة المماثلة. لن أحاول ان امنع طفلي من استخدامها فهي كما أرى لعبة كأي لعب بالنسبة للطفل ولكن لها مخاطر أكثر. واذا حرمته منها قد أجعله يتأخر عن أقرانه. لذلك مسؤولية الاهل تنحصر في المراقبة والتوجيه وتغيير الاعدادات لجعل هذا الايباد مكان لطيفا وجميلا واّمنا للإطفال.

انتل تدعي تصميم نظام امني مضاد لهجمات (اليوم-صفر)

intel

صرح المدير الفني التنفيذي جستن راتنر ان انتل تعمل على تصميم نظام أمني مضاد لهجمات (اليوم-صفر) وان الشركة ربما ستقدم النظام في نهاية العام الحالي.

طبعا نتذكر قيام انتل بالاستحواذ على شركة مكافي المتخصصة في الحماية  في شهر 8 من السنة الماضية.  إلا ان انتل صرحت ايضا ان انتل تعمل على النظام قبل مكافي.

طبعا رغم تخصص انتل في السيليكون و الاجهزة إلا انها و بحكم صناعتها للمعالجات التي تعتبر جزء من النظام فإنها قدمت لأمن المعلومات الكثير من التعديلات المهمة:

1982: قدمت معالج 80286 الذي يحوي يعتبر اول معالج بخاصية حماية الذاكرة

1985: قدمت معالج 80386 الذي يقوم بتفصيل  وتقسيم ال paging file  لحمايته من الاستخدام الزائد عن الحد (buffer overflow)

2004: اخذت انتل من AMD  فكرة البت الغير قابل للتطبيق (None executable bit) للتفريق بين البيانات الموجودة في الذاكرن عن طريق تعليمها ب XD اذا كانت مجرد ملفات او قيم. و ازالة العلامة XD اذا كانت لبرنامج يمكن تنفيذه.

طبعا هي اضافات بسيطة لمجال امن المعلومات ولكنها مهمة.

حاولت ان اجد على الشبكة اي تصميم لنظام مضاد لهجمات (اليوم 0) ولكن لم أجد. طبعا فهمي  الشخصي لموضوع هذه الهجمات والذي اشاهده يوميا انها  اي طريقة لاستغلال ثغرة لم يكتشفها أحد سوى منفذ الهجوم (سواء كان فيروس, او هجمة لحجب الخدمة , او buffer overflow). نظريا يمكن تنفيذ هجوم من خلال الشخص الذي اكتشف الثغرة ولكن كيف يمكن الدفاع اذا لم يكن المدافع يعرف الثغرة. هل ستقدم انتل نظام منع اختراق اخر فقط او برنامج مكافحة فيروسات في داخل معالجتها.

ام ان انتل فعلا وجدت توجها جديدا سيغير وجه لعبة امن المعلومات كما تدعي ؟

قطع الانترنت بكبسة زر !! دعوة إلى نقاش بناء لإيجاد حل

تحية للشعب المصري والتونسي الذي فتح اذهان الجميع على موضوع محدودية الاتصال بالانترنت.  خلال الاحداث الجارية في مصر و تونس لاحظنا قيام المزودين بقطع خدمات الانترنت عن المستخدمين كنوع من انواع قطع طرق الاتصالات للحد من المسيرات الاحتجاجية (تدوينة بشار عن  قطع الانترنت في مصر ). كما انه معروف ان بعض الدول  حول العالم (حتى في امريكا) ( هذا الرابط يبين كل الدول التي تقوم بحجب المواقع) تقوم بحجب مواقع  تختلف وتعارض الحكومة او الدين او الاخلاق.

رغم محاولات الامم المتحدة جعل حق الانترنت كحق اساسي من حقوق الانسان كالهواء والماء إلا اننا رأينا كيف تم قطع الانترنت بكبسة زر واحدة عن مصر.

اود ان ادعوكم للنقاش والتفكير  عن البنية التحتية للانترنت ( يمكن اتباع هذا الرابط لنبذة سريعةعن البنية التحتية). رغم ان كل مباديء التوافرية في امن المعلومات تحاول إلغاء المركزية و نقاط الضعف من خلال زيادة عدد الوصلات والاجهزة وتوزيع الشبكات على عدة مناطق جغرافية للحماية من الكوارث الطبيعية و الاخطاء الانسانية التي قد تسبب عطلا مدمرا يقطع الخدمة. إلا انه حتى الاّن لا بد ان تمر الانترنت من خلال نقاط مركزية تتجكم بها الدول و تسيطر عليها  ثم تقدمها للناس كخدمات اتصال. هل هذا الشيء يجعلك تشعر بالامن و الراحة ام بانك دائما مراقب.

هل  تعتقدون ان هناك محاولات لتغيير البنية التحتية. هل مثلا الاتصالات اللاسلكية قد تكون هي الحل لانترنت لايمكن قطعه بكبسة زر ؟ ام ان الانترنت ستبقى هكذا ؟

الرجاء وضع الافكار البناءة والهادفة لأنك كأنسان مهتم بأمن المعلومات وحمايتها يجب ان تكون على علم بمن يسيطر على الانترنت. الرجاء الابتعاد عن ذكر الدول والاّراء السياسية حتى لانخرج عن الموضوع.

مقدمة و تجربة شخصية مع امتحان CISSP ( شهادة محترف أمن نظم المعلومات )

نبذة:

شهادة  (CISSP (Certified Information System Security Professional) هي شهادة مستقلة في أمن المعلومات تمنح من قبل International Information Systems Security Certification Consortium أو اختصارا  2(ISC) . الشهادة الممنوحة تعطى للمرشحين بعد أن يحققوا ثلاث متطلبات رئيسة:

1- النجاح في الامتحان الذي سنلقي عليه الضوء لاحقا

2- ان يملك خبرة تساوي على الأقل خمس سنوات في أمن المعلومات وان يثبت عن طريق شخص اخر يحمل اي شهادة من  2(ISC)  انه فعلا يملك الخيرة الكافية

3- ان توافق على اخلاقيات  2(ISC)  المهنية الخاصة بأمن المعلومات والتي تضمن انك ستعمل على حماية المعلومات من اجل مصلحة المجتمع العامة.

تعتبر هذه الشهادة متقدمة وكما يقول الناس بريستيج كبير لحاملها. وحتى الان يحملها  اكثر من 70,000 شخص فقط وهم في تزايد.

الفائدة من الشهادة والدوافع للتقدم إلى الامتحان:

عمليا كما تعرفون لاتثبت الشهادات شيئا عن الشخص الحامل لها إلا انه درس المادة المقررة للإمتحان و نجح فيه. ما عدا شهادة مهندس ريد هات محترف (RHCE)  التي تثبت فعليا ان حاملها عليم بأغوار ريدهات  لينوكس .  ولكن الدافع الفعلي للحصول على  CISSP بجب ان يكون من احد الاسباب التالية و يجب ان تكون صريحا مع نفسك.فإذا كنت لا تحتاج ل CISSP فلا داعي لتضييع الوقت و المال والمجهود. الاسباب الفعلية للحصول على CISSP:

1- ان المكان الذي تعمل فيه يتطلب الحصول على هذه الشهادة مثل وزارة الدفاع الامريكية و Mcafee التي تشترط على موظفيها الحصول على الشهادة.

2- انت او انتي من محبي مجال امن المعلومات وتعمل فيه او قريب منه و تعتقد انها ستفيدك وتثري معلوماتك وتدفع مسيرتك المهنية

3-تريد ان تتقدم في مهنة امن المعلومات إلى المجال الإستشاري والاداري

نجاحك في هذه الشهادة يثبت انك تحب هذا المجال وانك خصصت وقتا ليس بالهين للتحضير ودراسة الامتحان.. طبعا لا ادعي ان الامتحان سوف يعطيك الخبرة اللازمة ولكنه يثبت انك عمليا تملك الادوات و اللغة المناسبة كمحترف امن المعلومات.

الخطوة الاولى: التسجيل

الامتحان رغم التقدم التكنولوجي الهائل فإنه ما زال يعقد في غرفة مراقبة على ورقة امتحانية. لذلك سوف تلاحظ انه في الدول العربية لاتعقد  الامتحانات إلا 4 مرات سنويا على الأكثر في مراكز محدودة. مثلا في الامارات حيث أعيش لا يعقد إلا في مركز واحد في دبي في أكاديمية اتصالات التي تبعد عني 169 كم. فلذك يجب التخطيط للإمتحان مسبقا والتسجيل له عن طريق الدخول إلى https://www.isc2.org والتسجيل في الامتحان والدفع إلكترونيا او حوالة مالية. اتمنى من القراء الاعزاء ان يخططوا وقتهم مليا قبل الحجز ودفع تكاليف الامتحان وان يتأكدوا فعليا من مقدرتهم على تخصيص وقت ثلاثة إلى ستة اشهر للدراسة الجدية للإمتحان.

تكاليف الامتحان

هي 549$ اذا سجلت مبكرا قبل شهر من موعد الامتحان و 599$ عند التسجيل المتأخر. اما لتأجيل الإمتحان فيكلف 100$  لذلك احب ان اصر على نقطة ان تكون متأكدا من موعد الامتحان المحجوز وانك تستطيع فعليا التواجد فعلا وانك اتحت لنفسك وقتا كافيا للدراسة. و لإعادة الامتحان في حال عدم النجاح فإنك ستدفع المبلغ نفسه. ويمكنك إعادة الامتحان 3 مرات اي وقت ولكن في حال الرسوب في الثالثة فإنك تحرم من الامتحان لمدة سنة للتأكد من أنك ستفكر قبل التقدم لللإمتحان مرة أخرى

الخطوة الثانية: مادة الامتحان والدراسة والتحضير

الامتحان سيكون في ما يسمونه ببنية  المعرفة العامة  (Common Body of Knowledge)  او CBK التي ما هي إلا عبارة عن 10 مجالات يحاولون ان يضموا فيها كل المعارف العامة عن امن المعلومات والمجالات هي:

مادة الامتحان

1- إدارة امن المعلومات و المخاطر

2- حماية الشبكات وانظمة الاتصالات

3- حماية الانظمة وهندستها

4- البرمجة الامنة (يعنى الاساليب التي تتبع وتستخدم لجعل اانظمة امنة ابتداء منذ التصميم الاولي حتى نضمن ان النظام فيه اقل عدد من الثغرات

5- حماية المواقع (Physical security )

6-  علم التشفير

7- القوانين الخاصة بالحماية و أخلاقيات الحماية

8-  disaster recovery planing and business continuity

9- access control  (التحكم بالوصول ..بروتوكولات مثل CHAP  VPN IPSEC)

10- عمليات  الحماية (مثل طرق ادارة logs  و مكافححة الفيروسات و IPS)

طبعا أفضل ان اترك المجال مفتوحا للقراء للذهاب والتعرف على هذه المجالات العشرة باللغة الانجليزية لغة الامتحان سواء المتقدمين للإمتحان او كنوع من الفضول.  طبعا لاحظت من دراستي ان ال CBK يتماشى ويتناسق مع معايير ISO 27001 واعنقد ان هذا هو احد اهم اسباب اعتبار الشهادة مهمة. لأنها تهتم بجودة أمن المعلومات فنيا و إداريا.

الدراسة و التحضير

من خلال تحضيري للإمتحان فإن بعض المراجع التي سأضع روابطها  بعد قليل تنصح بأن يخصص الشخص 180 ساعة دراسة جدية على مدى ثلاثة إلى ستة اشهر لأن الشخص الذي سيدرس في مادة واحدة لمدة اطول سيفقد التركيز ويفقد الاهتمام وربما الدافع وراء الدراسة. , وبعض المراجع تحدد فقط 60 يوما للدراسة (يعني ساعتين فى الايام العادية و 6-8 ساعات في عطل نهايات الاسبوع). طبعا هذه ارقام تقريبية. انا من خلال حسبة لما درسته فأتوقع اني خصصت 180-200 ساعة مقسمة على ثلاثة اشهر. طبعا كل واحد حسب قدراته ودرياته بأمن المعلومات يمكن ان يحدد المدة اللازمة لدراسته.طبعا هذا الامتحان لايمكن التحضير له من خلال حفظ الاسئلة لأنه وبسبب اتفاقية السرية بين الشركة الممتحنة والممتحن فلا يجوز لأحد ان يفصح اي من الاسئلة. طبعا انا خلال دراستي لم أجد اي مصدر قدم لي اسئلة تشبه الامتحان حتى بنسبة 30%. اسئلة الامتحان صعبة وتتحدى العقل  وتدفع للتفكير ولم امر بتجربة مثلها.

الدورات

هناك دورات تدريبية مكثفة تكون مكملة للدراسة الذاتية الشخصية. للأسف ولظروف العمل لم استطع ان احضر إحداها ولذلك لا يمكن ان اشرح الكثير عنها. ولكني اتصور انها ستكون مفيدة جدا.

اهم الكتب والمواقع

طبعا كل الكتب تحوي اقراص وامتحانات تجريبية لتقييم وضعك قبل الدراسة وبعد الدراسة

1- CISSP for dummies

هذا الكتاب استخدمته قبل ان اتعمق في المواضيع العشرة لأنه يلخص كل ما تحتاجه كما راجعته قبل فترة اسبوعين من الامتحان لمراجعة سريعة

2- CISSP All-in-One Exam Guide, Fifth Edition

مؤلفة الكتاب هي السيدة شون هاريس  (Shon Harris )   وتعتبر اهم المعلمين في شهادة CISSP وتملك اسلوبا لطيفا وشيقا في تقديم المعلومة. وانا حصلت على فيديو تعليمي من 30 ساعة لها عن CISSP واستفدت منه جدا ويمكنك الحصول عليه من امازون.

يعتبر هذا الكتاب المرجع الرئيسي  لكثير من الناس ولكني وهذا رايي الشخصي وجدته يروي تفاصيل لاداعي لها  وللعلم فهناك ناس يعتمدون على هذا المرجع بشكل اساسي ويقرأونه أكثر من مرتين !

انا شخصيا أعتمدت على الكتاب كمرجع للتفاصيل التي لا أفهمها

3-CISSP: Certified Information Systems Security Professional Study Guide

اول كتاب اشتريته ل CISSP واعتمدت عليه كمرجع اساسي بعد مشاهدة فيديو شون هاريس. وهو لايتميز كثيرا على المراجع السابقة ولكنني ارتحت للغة المؤلف السلسة.

4- Official (ISC)2 Guide to the CISSP CBK, Second Edition ((ISC)2 Press)

هذا الكتاب الرسمي  من 2(ISC) وهو مكتوب من قبل 10 من العلماء والمحترفين في مجال امن المعلومات وهو جاف ولغته عليمة جدا وفي صميم الامتحان وهو المرجع الثاني لي انا

5-CISSP Practice Exams (All-in-One)

وجدت هذا الكتاب بالصدفة لشون هاريس مرة اخرى وهو عبارة عن اسئلة تدريبية في الامتحان واستخدمته في اخر اسبوع قبل الامتحان لمعرفة مواطن الضعف عندي ومحاولة تقويتها.

6- موقع cccure.org الذي أفادني جدا. هذا الموقع يديره احد الاشخاص الذين نجحوا في الامتحان ويريد ان يشارك تجربته وسوف تجد الاف المشاركات التي توضح تجارب شخصية مع الامتحان بالاضافة  لما يقارب 1000 سؤال مجاني للتدرب. وهناك منتدى من خلاله يمكن ان تسأل اي سؤال تتخيله عن الموضوع.

البعد الاجتماعي

طبعا الدراسة كانت ممتعة بالنسبة لي  لأني احب هذا المجال ولكن ابتعدت عن عائلتي وابني الرضيع وأعز اصدقائي  بسبب العمل والدراسة خلال مدة ال3 اشهر. كانت صعبة علي وعليهم ولكنني اعلمتهم سبب تقصيري واشكر لهم مسانداتي.

التحضير النفسي

لأنني انهيت الماجستير الخاص بي في سنة 2007 خفت انني سأكون خاملا وكسولا لذلك قمت بالدراسة والحصول على شهادة Security+  من  CompTIA كنوع من التحمية وبالنسبة لي كانت فكرة جيدة وقد وجدت ان كثيرا من الناس ينصحون بهذا الإجراء.

التخطيط للسفر

كما ذكرت قد يكون الامتحان بعيدا عن مكان اقامتك لذلك يجب ان تكون قد خططت للسفر مسبقا وتدبرت مكانا للإقامة اذا لزم الامر.

الاسبوع الأخير

قبل الامتحان باسبوع أخذت اجازة من العمل وحبست نفسي على طريقة الثانوية العامة وصارت حياتي CISSP فعليا. حللت الكثير من الاسئلة وركزت على مواطن الضعف وحاولت تقويتها.

اليوم الأخير

في اليوم الاخير قبل الامتحان بناء على النصائح التي وجدت انها مفيدة فأني لم ألمس كتابا وذهبت لأتمشى و حضرت مباراة كرة قدم كاملة! لأنه فعليا أي شيء ستحاول فهمه او دراسته سيشوش عليك وقد تفقد الثقة في نفسك قبل الامتحان. طبعا ينطبق هذا الموضوع على صباح الامتحان لإنه اذا كان هناك شيء لم تفهمه خلال الشهور الماضية فلن تفهمه خلال ساعات قليلة.

المرحلة الأخيرة: يوم الامتحان و ما بعده

الامتحان من 250 سؤال متعدد الخيارات. وعادة يكون هناك 4 خيارات فقط 2 منها خطأ  او اثنان متشابهان  إلى حد محير. 25 سؤال من ال 250 سؤال توجد كنوع من البحث العلمي ولاتحسب من علامات الامتحان ولا يتم تحديدها .. لاتحمل كل الاسئلة نفس العلامة فالاسئلة الاصعب لها وزن اكبر في العلامة.

طبعا ينصح ان تجيب على الاسئلة بعقلية المدير لا المهندس أو الفني. للأسف لم اجد اي مصدر على الانترنت يشبه الاسئلة الحقيقية كما انني ممنوع من نشر اي سؤال قابلته في الامتحان.

الامتحان يبدأ على التاسعة صباحا  تماما لذلك يجب ان تكون على الساعة الثامنة متواجدا في قاعة الامتحان وربما كان مفيدا ان تحضر بعض الشطائر و المياه المعلبة لتأكلها خلال الامتحان. الامتحان 6 ساعات متواصلة و اي فرصة او فترة راحة ستأخذها ستحسب من الست ساعات ! لذلك يجب ان تأخذ الحذر حين التوقف للإستئذان للذهاب إلى دورة المياه او لشرب الما او تناول شئ خفيف.  انا اخذت ثلاث فترات راحة خلال الست ساعات. واخر مرة نظرت إلى الساعة كانت 2:30 بعد الظهر وكان باق لي 20 سؤال تقريبا.

متلازمة ما بعد الامتحان

طبعا بعد الامتحان ستكون متأكدا انك رسبت و ستكون قلقا. وما يزيد الطين بلة ان النتائج لن ترسل لك إلا بعد 4-6 اسابيع. فلا تقلق وتأكد انك  تحضرت بدون تقصير وحضر نفسك نفسيا ان لا تستسلم وان تخطط لجولة اخرى  لتنجح في المحاولة التالية بإذن الله.  خلال فترة الانتظار اخرج مع الاصدقاء خصص وقتك للعائلة  وربما كنوع من الاحتياط ابقى على اتصال مع مادة الامتحان.

نصيحتين اخيرتين لوجه الله عز و جل

1-اذا كنت تحتاج هذه الشهادة وتملك الخبرة و الوقت والمال او قامت الشركة التي تعمل بها بابتعاثك   انصحك ان تقدم للإمتحان دون تردد فقط تحلى بالصبر والإعداد الجيد

2-  تابع هذا الفيديو يجب عليك التسجيل في موقع(www.cccure.org)

http://www.cccure.org/modules.php?name=Web_Links&l_op=viewlink&cid=167

السيد كليميت صاحب الموقع يقدم اهم النصائح التي اتبعتها لتحضير للإمتحان.

ملخص تجربتي

20/8/2010 حصلت على Security Plus من  compTiA

13/09/2010سجلت حجزت للإمتحان و بدأت الدراسة

6/12/2010 توجهت إلى اكاديمية اتصالات وحبست نفسي في غرفة الفندق التابعة لهم

10/12/2010 توقفت عن الدراسة

11/12/201 يوم الامتحان استخدمت كل الوقت المتاح من 9 ص إلى 3 بعد الظهر

29/12/2010 وصل ايميل اني نجحت ويجب ان اقدم اوراقي معتمدة من CISSP اّخر

3/1/2011 قمت بإرسال الاوراق المعتمدة

04/02/2011 حصلت على لقب CISSP

طبعا التجربة طويلة ومليئة بالتفاصيل الرجاء للمهتمين ان لاتترددوا بالاستفسار وتقديم التعليقات لتعم الفائدة

وشكرا واسمحوا لي على طول المدونة والتقصير في المعلومات

سامر