محتويات التصنيف: "أخبار عامة"
تعرّف على نادي امن المعلومات بجامعة الاميرة سميّة للتكنولوجيا
قامت جامعة الأميرة سميّة قبل أربعة سنوات بطرح برنامج لدراسة الماجستير في تخصص أمن المعلومات والجرائم الإلكترونية. ونظراً لأهميّة هذا المجال في وقتنا هذا، ورغبةً من الطُلاب بتطويره على مستوى الجامعة وخارجها، قام مجموعة من الطُلاب بإنشاء نادي جامعي علمي بعنوان “نادي أمن المعلومات”.
أسّس النادي في نهاية شهر نوفمر 2014 ويرأسه حالياً الطالب محمد زكريا، وينوب عنه شريكه المؤسس محمد الجولاني، هذا وقد إنطلق النادي وبكل فخر تحت إشراف الدكتور علي الشمري.
أعضاء النادي هم من طُلاب الماجستير تخصص أمن المعلومات والجرائم الإلكترونية في الجامعة، وكذلك طلاب البكلوريوس المهتمين في هذا المجال. كما ويجري دراسة إمكانية الإنتساب للنادي من المهتمين سواء طلاب أو باحثين من خارج الجامعة.
يهدف النادي إلى تكوين مجتمع (Community) لجميع المهتمّين في هذا المجال ودعمهم، من خلال تقديم الشروحات اللازمة، الكتب، المحاضرات الإضافية، ورشات العمل، جلسات حوارية، الدورات والعديد من النشاطات الأخرى. كما يطمح النادي بأن يكونَ مرجعاً أساسياً للطلاب في الجامعة في مجال أمن المعلومات، وأن يكون أيضاً مرجعاً أساسياً
للمهتمين في هذا المجال من خارج الجامعة.
بدأ النادي أُولى نشاطاته مع بداية شهر ديسمبر الحالي بإقامة ورشة عمل عن مقدمة لإستخدام لغة “بايثون” (للمبتدئين في اللغة) وذلك لأن النادي يهدف الى إقامة ورشة عمل قريباً تكون متقدمة أكثر وتهتم بجانب إستخدام لغة البرمجة بايثون في أمن المعلومات. ورشة العمل وبفضل من الله، حازت على إهتمام جميع أعضاء النادي وكذلك زوار من خارج الجامعة. لمعرفة المزيد من التفاصيل عن الورشة السابقة، وما تم تقديمه فيها، بالإضافة الى جميع الأكواد البرمجية التي كتبت يمكن مراجعة روابط التواصل الإجتماعي للنادي.
لمتابعة النادي على مواقع التواصل الاجتماعي أو إرسال أي إقتراحات أو إستفسارات هنا عناوين النادي على توتير و فيسبوك
ملاحظة: كاتب هذا المقال هو محمد زكريا – رئيس نادي أمن المعلومات.
بلو كايزين تنظم النسخة الرابعة لمؤتمر CSCAMP بالقاهرة
يعود في الفترة من السابع عشر الي الثالث والعشرون من نوفمبر المؤتمر الاول من نوعه و المتخصص فى مجال تامين المعلومات فى الشرق الاوسط و شمال افريقيا (Cairo Security Camp ) او مؤتمر القاهرة لأمن المعلومات
يضم مؤتمر كايرو سيكيوريتي كامب في النسخة الرابعة منه العديد من الخبراء في مجال امن المعلومات سواء العرب منهم او الاجانب الذين تكبدوا عناء الحضور لمشاركة الخبرات ومناقشة الاستراتيجيات الحديثة في مجال امن المعلومات
يتميز المؤتمر هذا العام بالقاء الضوء علي دور الجهات المختلفة في الحفاظ علي امن المعلومات . ولذلك يتميز المؤتمر هذا العام بحضور ممثل من وزارة الداخلية وهو العميد مهندس / عبد الرحمن رضوان رئيس جهاز مباحث الانترنت في جمهورية مصر العربية
يضم المؤتمر هذا العام طرق متعددة لمشاركة الافكار فبجانب المحاضرات المتنوعة من خبراء امن المعلومات المقسمة علي اكثر من غرفة كما سيضم المؤتمر تدريب فى مواضيع حديثة و مفصلة عن تكنولوجيا امن المعلومات. منها علي سبيل المثال (جاستين سيرل) الخبير العالمي الذي يحاضر في اشهر المؤتمرات العالمية مثل Blackhat و Defcon و صاحب اشهر توزيعة في مجال اختراق تطبيقات الويب و هي توزيعة الساموراي
المؤتمر ملئ بالفاعليات العديدة مثل مسابقات الهاكرز ( CTF ) و المعرض وغيرها و لمعرفة أكثر عن المؤتمر رجاء زيارة الموقع الرسمي للمؤتمر علي الرابط التالي
صدور العدد التاسع من مجلة Security Kaizen
مجلة سيكروتي كايزن هي مجلة مجانية متخصصة في مجال امن المعلومات و تصدر كل ثلاثة اشهر من قبل شركة Bluekaizen في مصر و بعد نجاح الأعداد السابقة من المجلة قد صدر العدد التاسع للمجلة هذا الشهر و الذي يضم الكثير من المقالات المميزة من خبراء في امن المعلومات و اليكم تغطية سريعة لأهم المقالات بالمجلة و التي ننصحكم بقرائتها .
– حوار حصرى و مميز مع مؤسس و مدير شركه Kaspersky
– كيف استطاعت الـ FBI القبض على بعض اعضاء مجموعة Anonymous
– مراجعة لكتاب Trojan Horse
– تغطية لأخر اخبار امن المعلومات و الحوادث الأمنية
– نظام المكافئات المالية من جوجل و اكتشاف الثغرات
– ثغرة خطيرة و ضعف امني في تطبيق توتير للبلاك بيري
– اكتشاف الثغرات في احد تطبيقات Barracuda Networks
– كيف يتم محاربة الأسبام في موقع Facebook
– اخر التقارير الصادرة من EG-CERT لعام 2012
– المزيد من الاخبار واحداث الانشطه لـ Bluekaizen
لتحميل المجلة بصيغة PDF
إطلاق شركة iSecur1ty للحلول الأمنية
منذ فترة قد تم إفتتاح موقع iSecur1ty المتخصص بأمن المعلومات والذي يتناول أهم أمور الحماية وإختبار الإختراق ويقدم برنامج iSecur1ty Podcast وهو أول برنامج صوتي عربي يتناول أمور الحماية وإختبار الإختراق و اليوم قد جاء افتتاح شركة Isecur1ty للحول الأمنية الموجة للشركات و التي تقدم مجموعه من الحلول الأمنية مثل إختبار الإختراق والتحقيق الجنائي الرقمي وتقديم الإستشارات الأمنية و التدقيق لـ Source Code الخاص بالتطبيقات .
و من الجدير بالذكر ان القائمون على الشركة نخبة من الخبراء في مجال امن المعلومات و ان من اهداف الشركة هو تقديم حلول امنية مميزة و احترافية تلبي إحتياج الشركات المتزايد لهذة الخدمات .
و للأطلاع على خدمات الشركة يمكن ذلك من خلال الرابط التالي www.isecur1ty.com
مشروع Hackme للتدريب على ثغرات تطبيقات الويب
عن المشروع
مشروع Hackme أو اخترقني, هو مشروع مجاني يسمح لك بالتدريب على فحص واستغلال ثغرات الويب كمان يمكنك من رفع تطبيقات ويب مصابة بثغرات لكي يقوم الأخرين باختراقها و التدرب عليها. تعمل التطبيقات على سحابة معزولة ومأمنة كما أنها موجهة لجميع الطبقات من الهواة إلى الباحثين وغيرهم. تدعم بيئة المشروع تطبيقات الويب المبنية بلغة الـ php و قواعد بيانات MySQL.
تم بناء هذا المشروع عن طريق شركة eLearnSecurity و التي تقدم العديد من دورات الحماية. تستطيع أن تستعرض أخر التطبيقات المصابة واختراقها للتدريب من هنا.
السؤال: إذا كنت مبرمج طبيقات الويب, هل ستساهم في هذا المشروع ؟
صدور عدد جديد من مجلة اختبار الاختراق – 4/2012
صدر عدد جديد من مجلة اختبار الإختراق.* يحتوي العدد على العديد من المقالات تركز على اختراق تطبيقات الويب. فيما يلي ملخص لهذا العدد:
-بوابات خلفية في CSS. CSS تعدد لغة وصفية لكيفة ظهور صفحة الويب والصور والخطوط التي تتضمنها. هذا المقال يغطي طرق يستخدمها المهاجمون عند اختراقهم لأنظمة عبر زرع بوابات خلفية داخل CSS. كذلك يغطي طرق العثور على مثل هذه البوابات.
-كيف تختبر برامج اداة المحتوى (CMS) المشهورة. اي شخص يستطيع بناء موقع خاصة به بسهولة. العديد من هذه المواقع لها نفس الشكل وبنية الصفحة مع اختلاف في الألوان والشعارات. هذا المقال يغطي برامج ادارة محتوى شهيرة مثل ورد برس، جملة ودروبال وغيرها وكيف يمكن عمل فحوص اختبار لها.
-اطارات العمل والتطبيق الجيد للتصميم. اطارات العمل عبارة عن طرق تسعى لحل مشاكل عبر بنية مجرّدة للبرامج يمكن اعادة استخدامها في وظائف عامة. هذا المقال يناقش بعض النقاط التي ينبغي ان تأخذ بعين الاعتبار من أجل الوصول الى حل مثالي.
-لماذا التقييم الآلي للثغرات(Automated Vulnerability Assessment) غير كافي. في السنوات الأخيرة اعتبر الكثيرون ان اجراء تقييم آلي للثغرات، يمكن أن يتبع عمل فحص اختبار، كافيان لتأكيد وجود ثغرات داخل نظام معلوماتي. هذا المقال يشرح أهمية أن يرافق الاثنان بعملية تدقيق للتطبيقات.
-ادارة فريق فحوص اختبارات ناجح. الصورة العامة لفرق فحوصات الاختبار هي صورة سلبية تظهر هذه الفرق على انها عبارة عن مهوسين تقنيين بعدين عن اهداف العمل. هذا المقال يطرح بعض النصائح التي تساعد فرق فحصوص الاختبار في تغيير هذه الصورة.
-احذر من سلبيات الهندسة الاجتماعية. بعد فترة من الأهمال ادركت الشركات والمدققون أهمية الهندسة الإجتماعية خصوصا وانها استخدمت في العديد من الهجمات الناجحة. ولهذا اصبح العديد يطلب ان تشمل الاختبارات على الهندسة العكسية. هذا المقال يطرق نصائح من أجل القيام بهندسة اجتماعية ناجحة.
—-
* تأخرت مراجعتنا لهذا العدد لظروف طارئة. إن شاء الله المراجعات القادمة ستكون متوفرة بشكل أسرع.
** مجلة اختبار الاختراق تصدر في بولندا باللغة الانجليزية وهي تتطلب اشتراك سنوي. هناك عرض للاشتراك لمدة سنة بالمجلة مقابل 133 دولاراً.
*** مجتمع الحماية العربي يقوم بالتعاون مع مجلة اختبار الاختراق وسيتم طرح مسابقات عامة في المجتمع برعاية المجلة.
–
كسر حماية ايفون بإقل من دقيقتين
اصدرت شركة Micro Systemation اصدارة جديدة من اداة تعرف باسم XRY تستطيع كسر حماية العديد من الهواتف الذكية مثل ايفون، اندوريد وبلاك بيري. الالية التي تعمل بها هذه الاداة تقوم اولاً على كسر النظام عبر ما يعرف ب Jailbreaking، بعد ذلك تقوم الأداة بهجوم brute-force لكسر مفتاح الدخول حتى الوصول الى الكلمة الصحيحة. العملية تبدأ من 0000 إلى 9999. وهي عملية لا تستغرق وقتاً طويلاً. أقل من دقيقتين.
بعد عمل jailbreak والحصول على مفتاح الدخول، يمكن الوصول الى كافة البيانات المخزّنة على النظام، من سجل المكالمات، والرسائل، الى عناوين الاتصال وحتى المفتاتيح التي نقرها المستخدم اثناء استخدام لمحموله.
هذا النظام لا يستطيع في الوقت الحالي كسر حماية iPhone 4S و iPad 2 وما بعدها.
الفيديو التالي يظهر عملية ميزات الاداة
هذه الأجهزة متوفرة لأجهزة الأمن. استخدام المفتاح المتقدم يساعد على جعل عملية الكسر اصعب وتستغرق وقت أطول.
ملاحظة: الشركة وضعت فيديو يظهر عملية كسر الحماية خطوة بخطوة ولكن قامت بعد ذلك بحذفه من قناتها على يوتيوب.
مجموعة أنونيموس تعلن عن توزعتها الخاصة
ملاحظة: هذه التوزيعة ليست خاصة بأنونيموس وعلى الأغلب تحتوي على برامج تجسس
نعم أعلنت مجموعة الهاكرز الشهيرة عن توزيعتها بإصدارها الأول Anonymous و التي أطلقت عليها Anonymous OS. التوزيعة مبنية على نظام Ubuntu بالإصدار 11.10 و بسطح مكتب Meta Desktop. و هاهي قائمة بالبرامج الموجودة فيها
– ParolaPass Password Generator
– Find Host IP
– Anonymous HOIC
– Ddosim
– Pyloris
– Slowloris
– TorsHammer
– Sqlmap
– Havij
– Sql Poison
– Admin Finder
– John the Ripper
– Hash Identifier
– Tor
– XChat IRC
– Pidgin
– Vidalia
– Polipo
– JonDo
– i2p
– Wireshark
– Zenmap
…and more
كما أنه الأمر لا يخلو من الدعابة عند تركهم لهذا التنبيه
Anonymous-OS Live is an ubuntu-based distribution and created under Ubuntu 11.10 and uses Mate desktop.
Created for educational purposes,
to checking the security of web pages.
Please don’t use any tool to destroy any web page 🙂
If you attack to any web page,
might end up in jail because is a crime in most countries!
*** The user has total responsibility for any illegal act. ***
وهنا بعض لقطات الشاشة منها
و أخيرا , رابط التحميل
فيروس المحكمة الشرعية
انتشر في الآونة الأخيرة فيروس يصيب حواسيب المستخدمين في السعودية يستخدم أسلوب التخويف. حيث يقوم بإظهار رسالة للمتسخدم تخبره بأنه خالف تشريعات المملكة بزيارته لمواقع اباحية واحتواء الحاسوب على مواد إباحية ولهذا تمّ حظر اتصال الحاسوب. لإزالة الحظر على المستخدم دفع مبلغ 300 دولار غرامة. الدفع يتم عبر كاش يو. ويتمّ تهديد المستخدم بتحويله للمحكمة إذا لم يقم بدفع المبلغ خلال 24 ساعة.
وفقاً للمحقق الجنائي عبد الله العلي فإن طريقة التخلص من هذا الفيروس تتم من خلال الضغط على مفتاح F8 بعد إعادة تشغيله للدخول في الوضع الآمن مع دعم الشبكة (Safe Mode With Network). وعمل مسح كامل للحاسوب (المسح من خلال أحد برامج مكافحة الفيروسات).
هذه احدى الحيل التي يستخدمها المحتالون لخداع المستخدمين. يتمّ استخلال عامل الخوف من اجل اجبار المستخدم على القيام بشيء بدون تفكير. إعطاؤه مدّة زمنية يتمّ من أجل تعزيز الخوف لديه وجعله يتصرف دون تفكير. لغة الرسالة نفسها تكشف عن أنها علمية احتيال. فهناك الفاظ لا يمكن ان تستخدمها جهة رسمية مثل “سكس” أو أخطاء إملائية “ذات محتوى الإباحة”. كذلك لن تقوم جهة رسمية بالطلب بتهديدك “ونمسح جميع المعلومات من كمبيوترك” إلخ.
دراسة لبتديفندر تتوقع زيادة البرمجيات الخبيثة بنسبة 23% في عام 2012
وفقاً لشركة بتديفندر فإن البرمجيات الخبيثة ستزيد بنسبة 23% في عام 2012 الى 90 مليون عينة، أي أكثر بحوالي 17 مليون مقارنة بنهاية عام 2011.
هذه البيانات تشكل جزءاً من تقرير بتديفندر حول التهديدات الالكترونية، و الذي يتطلع الى المستقبل و يتوقع تطور البرمجيات الخبيثة على الشبكات الاجتماعية مثل الفيسبوك و تويتر و حتى على اجهزة الهواتف المحمولة بالإضافة الى نمو في الجريمة الالكترونية.
يتوقع التقرير أيضاً انواعاً جديدة من البرمجيات الخبيثة و الاحتيال الالكتروني التي تركز على الشبكات الاجتماعية في 2012، بينما ستزيد البرمجيات الخبيثة المصممة خصيصاً لأنظمة أندرويد عدد التهديدات ضد الهواتف الذكية و الاجهزة الللوحية. ( يمكن تحميل التقرير كاملاً من هنا على شكل ملف pdf)
“سيشهد عام 2012 نمواً هائلاً في البرمجيات الخبيثة، و يعود ذلك الى انتشار الشبكات الاجتماعية و اغراءاتها،” يقول محلل التهديدات الالكترونية في بتديفندر Bogdan Botezatu، و الذي قام بتحرير هذا التقرير. “سيزداد عدد البرمجيات الخبيثة المخصصة لنظام أندرويد بشكل ملحوظ لكن بدءاً من قاعدة أقل بكثير من البرمجيات الخبيثة.”
هذا التقرير هو حصيلة عام كامل من الكشف و الحماية و الازالة للبرمجيات الخبيثة حول العالم، كما انه يتضمن مراجعة لأكثر 10 برمجيات خبيثة خطورة في عام 2011، بالإضافة الى تغطية عن حركات الاختراق و سوء استغلال الشهادات الرقمية. و يشمل التقرير ايضاً تحليلاً للرسائل الالكترونية المزعجة و التي شكلت 75.1% من عدد الرسائل الالكترونية المرسلة حول العالم العام الماضي.