أرشيف الكاتب: AHMAD

مفاهيم مغلوطة في بروتوكول HTTPS

مرحبا مرة أخري, قبل البدأ في هذه التدوينة أود الاعتذار عن عدم الكتابة في مدونتي العربية عن المواضيع الخاصة بأمن المعلومات وذلك لأن المواضيع التي اكتب عنها عادة ما تكون بها معلومات تستلزم قراءة متخصص في الموضوع وفي المدونة العربية لا اجد كمية التفاعل التي اجدها في مدونتي باللغة الانجليزية على أي حال موضوع اليوم يهم المستخدم الغير تقني لمحاولة تصحيح بعض المفاهيم الخاصة ببروتوكول HTTPS .. قبل البدأ في الموضوع سأحاول تقسيم التدوينة للحديث اولا عن ماهو البروتوكول الى ان اصل إلى مغزى التدوينة وذلك لأني افترض انك لاتعلم أي شيء عن هذا البروتكول

على بركة الله نبدأ,  في الوقت الحالي أو بمعنى أصح عندما بدأ استخدام شبكة الانترنت ولدت الحاجة لاستخدام بروتوكول لتصفح الصفحات الخاصة بالويب ليتمكن المستخدم العادي من استخدام المتصفح في هذه العملية, فوجدوا انه يجب استحداث بروتوكول(طريقة) لتتمكن الخوادم(servers) من معالجة الطلب (Request) ومن ثم تحميل الصفحة للمستخدم وهذا بالفعل ماحدث فالان عند طلب اي موقع عبر شبكة الانترنت نستخدم هذا البروتوكول مثال: http://almorabea.net  وأغلب الاحيان لايستلزم كتابتها من قبلنا لأن المتصفح سيضيفها على أي حال من غير تدخل من المستخدم .. فهذا البروتوكول هو الذي يرسل لطلب صفحات الانترنت.

لكن بعد فترة من الوقت أكتشف الخبراء التقنين ان هذا البروتكول غير آمن !! مامعنى غير آمن ؟ بمعنى أن الطلب الذي يرسل (Request) يمكن لأي شخص يقع في منتصف الطريق ان يعترضه ويرى محتوى الصفحة او البيانات المرسلة من خلاله وقائمة الاشخاص الذين يمكن اعتراض الاتصال كبيرة تبدأ من مقدم الخدمة الخاص بك ومقدم الخدمة الخاص بالسيرفر ولاتنسى جارك الذي يعتبر نفسه هاكر واعترض شبكتك بالفعل يمكنني ترك التدوينة الان والحديث عن قائمة الاشخاص الذين يمكنهم اعتراض الاتصال لكني لا اعتقد اني سأقوم بذلك الان حفاظا على صحتك :D .. خلاصة الكلام ان هذا البروتكول غير امن لتصفح البيانات المهمة مثل بريدك او حساباتك في مواقع التواصل او البنك الخاص بك  ولذلك اتت الحاجة الى استخدام بروتكول امن ومن هنا استحدثوا بروتكون HTTPS وتم زيادة حرف S  وذلك تعني Secure .. وطريقة عمل البروتكول كالتالي قبل البدأ بتحميل الموقع الذي طلبته يتم انشاء اتصال مشفر بينك وبين الموقع وبالتالي جميع البيانات المرسلة من قبلك او المستقبلة من الموقع تكون مشفرة بطريقة معينة (لا أريد أن ادخلك بالتفاصيل الخاصة بالتشفير) ..وبالتالي تكون بياناتك نوعا ما بأمان ..

الان وصلت لأهم جزء في التدوينة:

اذا وصلت هنا فالحمد لله على تحملك لدرس التاريخ السابق لكن دائما أريد ان تكون مدرك لجميع التفاصيل في حالة سألك صديقك عن البروتوكول يمكنك تقمص شخصية الخبير في البروتكولات كحال أغلب المتخصصين بأمن المعلومات العرب :D .. رجوعا الى التدوينة ورجاء خاص حاول استيعاب الجزء القادم لأنه اهم جزء ..

استخدامك لبروتكول HTTPS لايعني انك امن 100% في الحقيقة لايجب ان تتصرف على انك امن بصورة كاملة دائما ضع في اعتبارك ان هناك خطأ ما .. بروتكول HTTPS يمكن اعتراضه اذا كان هناك شخص ما على الشبكة الخاصة بك عن طريق وضع شهادة مزورة, وهنالك العديد من الطرق لكن هذا لايعني ان لا تستخدمه بل يجب على استخدام وتحويل جميع المواقع إلى HTTPS ..

بروتوكول HTTPS مصمم ليضمن لك ان اتصالك مع الموقع الذي طلبته صحيح بمعنى اذا ذهبت إلى https://emample.com ستجد أن الشريط الذي يوجد به الرابط تحول إلى secured كالصورة التالية

لكن هذا لايضمن لك أن الموقع آمن من أي ثغرات أمنية هذا يضمن لك فقط أن اتصالك مع الموقع مشفر وهذا خطأ شائع. أغلب الناس يظنون أنه اذا وجد علامة القفل(secured) يظنون أن الموقع امن 100% وهذا خطأ

في الوقت الحالي ظهرت بعض الاخطار مثل علامة (secured) تعني أن الموقع تم التعرف عليه لكن لايعني بالضرورة أنك بالفعل في المكان الصحيح بمعنى انك اذا طلبت موقع almorabea.net وتم وضع علامة secured لايعني انك بالفعل في almorabea.net ربما تم توجيهك الى موقع اخر مثلا example.com  وتم التلاعب بمعلومات dns ولكن هذه العملية تطلب جهد لتغييرها فلا تقلق منها في الوقت الحالي لكن فقط للعلم بالشيء..

الخلاصة:

ليس مغزى التدوينة هو تخويفك أو جعلك تستغني عن هذا البروتكول انما هي لارشادك وتوعيتك بما يدور حولك من أخطار فليس من المنطقي أن تحدث هذه التغيرات وأنت كما أنت لاتعلم عنها أي شيء .. أكرر دائما عند طلبك لأي موقع تأكد أن الموقع يخدم لك عبر بروتكول HTTPS لتضمن تشفير اتصالك مع الموقع الذي طلبته وهنالك عدة اضافات ممكن اضافتها على متصفحك ليتم توجيهك تلقائيا إلى النسخة المشفرة من الموقع  مثل اضافة  HTTPS Everywhere تجدها على متصفح كروم و فايرفوكس.

لقائي في اذاعة مونت كارلو الفرنسية عن برنامج Crypto Ghost النسخة الثانية

في هذا اللقاء تحدثت عن الاضافات الجديدة في برنامج Crypto Ghost  ومنها :

1- اضافة خاصية مسح البيانات الوصفية للصور (Metadata) وذلك لجعل ارسال الصور اكثر امانا وعدم ارسال اي معلومات اضافية داخل الصور

2- تعديل على الواجهات لجعلها أكثر سهولة على المستخدمين

3- اضافة اللغة الأسبانية على البرنامج .. الان البرنامج يدعم اللغات التالية (العربية, الانجليزية,الأسبانية)

رابط اللقاء : اضغط هنا

 

هل تم بالفعل كسر خوارزمية Diffie Hellman بمفتاح تشفير ١٠٢٤بت ؟

في الآونة الاخيرة ظهرت الكثير من الاشاعات تفيد أن وكالة الأمن القومي NSA قد قامت بكسر خوارزمية Diffie Hellman  لانشاء وتأسيس مفاتيح التشفير .. العميل السابق لوكالة الأمن القومي NSA ادوارد سنودن   قد وضح في الملفات المسربة أن وكالة الأمن القومي قد قامت بالفعل من فك تشفير العديد من الشبكات الخاصة VPN  و العديد من البيانات الخاصة ببروتوكول SSH .. وذكر جيمس بامفورد في مقالته في موقع Wierd  بعنوان “The NSA Is Building the Country’s Biggest Spy Center (Watch What You Say)”  أن وكالة الأمن القومي أنها تقدمت بالفعل في الحوسبة وذلك نفس الكلام الصادر من الملفات المسربة التي سربها  ادوارد سنودن.  وذلك يعني أنه أصبح بامكان وكالة الامن القومي العمل على كسر بعض خوارزميات التشفير ومنها Diffie Hellman بمفتاح تشفير يبلغ طوله 1024-بت .. إلى الان لم توثق هذه المعلومات لكن ان كان بالفعل قد استطاعت وكالة الامن القومي من كسر مفتاح التشفير فإن أغلب المواقع والخدمات التي تستخدم هذا التشفير ومنها خدمات VPN  واغلب المواقع التي تستخدم بروتوكول HTTPS  سيتم فك تشفير البيانات الصادرة منها .. كيف تعمل هذه الخوازمية .. من أهم العوامل التي تتحكم بقوة الخوارزمية هي الاعداد الاوليه Prime Number التي يتم استخدامها في الخوارزمية .. في الوقت الحالي أغلب الخدمات تستخدم نفس العدد الأولي وهذا معناه أنه اذا تم فك تشفيره فإن أغلب الخدمات ستكون في مشكلة كبيرة .. بالاضافة إلى أن هذه الخوارزمية يتم استخدامها في اغلب البروتوكولات المعروفة ومنها HTTPS,SSH,IPSec وأي خدمة تعتمد على بروتوكول TLS  للعمل.. من أهم الاختراقات لهذه الخوارزمية هي :

١- Logjam attack against the TLS protocol

٢- Threats from state-level adversaries

** يمكنك رؤية حديثي في اذاعة مونتو كارلو عن هذا الموضوع **

أنصحك بقراءة نفس التدوينة من مدونتي الانجليزية وذلك لأن بها معلومات تقنية أكثر وقد شرحت كيفية عمل الخوارزمية ويمكنك رؤيتها هنا 

 

لقائي في اذاعة مونت كارلو الفرنسية عن برنامج Crypto Ghost

monte

تشرفت بلقائي في اذاعة مونت كارلو مع الاستاذة نايلة الصليبي للحديث معها عن التشفير و عن  برنامج Crypto Ghost ويمكنكم سماعها عن طريق الرابط التالي : goo.gl/PTetFw

نصائح بسيطة لاختيار مشروع تخرج ناجح

في هذه التدوينة اردت كتابة بعض النصائح والارشادات  التي رأيت أنها باذن الله ستفيد اي شخص مقدم على تنزيل مشروع التخرج وسأعرض بعض الصعوبات التي واجهتها في مشروعي وكيفية التخلص منها  . بسم الله نبدأ

عند قيامك بتنزيل مشروع تخرج يجب عليك معرفة أن هذا المشروع هو واجتهك للعالم الخارجي و للوظيفة فأي مدير شركة سيسألك عن مشروع تخرجك وماهو الجزء الذي أسند لك في هذا المشروع فدائما ضع هذا الشيء في محور اهتماماتك .

سأحاول تقسيم هذه التدوينة على ثلاثة أقسام

القسم الأول : هو عبارة عن الامور التي تفعلها قبل البدأ في المشروع

القسم الثاني : هو عبارة عن الامور التي تفعلها  بعد البدأ في المشروع

القسم الثالث : هو عبارة عن الأمور التي تفعلها في نهاية المشروع

———–

القسم الأول : هو عبارة عن الامور التي تفعلها قبل البدأ في المشروع : 

في البداية أنا أنصحك قبل البدأ في المشروع هو التفكير في مجالك الذي اخترته لنفسك بمعنى اذا كان اهتمامك ومجالك في “امن المعلومات” يجب عليك اختيار مشروع تابع لهذا المجال او اذا كان لديك مجال آخر يجب عليك اختيار مشروع تابع لهذا المشروع وذلك لأن هذا المشروع سيعمق ويأصل لك المفاهيم التابعة لهذا المجال وأيضا ستتمكن من العمل على مشروع حقيقي وبيانات حقيقية وليس بيانات وهمية مثل تعاملك في بعض المواد .  بعد اختيارك لفكرة المشروع امكث بضعة أيام للتفكير في اختيارك ولا تتسرع بعرض الفكرة أبدا . فكر دائما في احتياج المستخدم لهذه الفكرة وطريقة عرضك لها .. وابدأ ايضا بالبحث عن مشاريع مقاربة لمشروعك لرؤية ماذا اذا كانت فكرتك تحل مشكلة موجودة فعلا أم هي مشكلة لاتهم المستخدمين بدرجة كبيرة.

بعد اختيارك لمشروع معين أهم شيء تفكر فيه هو التفكير في قدراتك الشخصية بمعنى اذا أردت عمل برنامج ” محاسبة”  لشركة معينة فكر هل انا متمكن من لغة برمجة معينة ؟ , هل كان لدي بعض المشاكل التي واجهتني في برنامج سابق مماثل واستطعت حلها ؟ , الشيء الثاني فكر في البرامج والخدمات التي ستحتاجها لربط برنامجك هل هي فعلا متوفرة لديك و تستطيع العمل بها ؟  هذه بعض الأسئلة التي يمكنك سؤالها لنفسك وثق تماما بأن هذه الأسئلة لايستطيع أحد الرد عليها غيرك

أهم خطوة الان هو اختيار فريقك الذي سيشاركك عمل هذا البرنامج . نصيحة لاتختار فريقك على أساس الصداقة أبدا . ربما يوجد لديك أصدقاء في تخصصك لكن ليسوا على قدر كافي من المعرفة ليتمكنوا من مساعدتك فهؤلاء تجنهبهم قدر الأمكان لأنهم ببساطة لن يعملوا وستتحمل المشروع كامل بنفسك وربما لن يكون برنامج قوي بما في الكفاية . اختار شخص يكون قد تعاملت معه في الماضي ورأيت امكانياته , اختار شخص يكون له علم في تقنية معينة تفيدك في برنامجك.  اذا كان لايوجد أشخاص تستطيع الاعتماد عليهم  تحمل المشروع بنفسك من غير فريق فهذا أفضل لك من وجود أشخاص لن يعملوا معك (لكن في هذه الحالة راجع فكرتك ومشروعك ورؤية هل تستطيع عمله لوحدك او لا وانصحك بتصغير مشروعك وثق تماما مشروع صغير يمكنك انجازه والانتهاء منه افضل من مشروع كبير لايمكنك الايفاء يه ).

لاتختار مشروع على اساس انك ستتعلم التقنية التي يحتاجها المشروع في وقت تنفيذك للمشروع بمعنى لا تختار مشروع معين على أساس تعلم لغة برمجية في وقت تنفيذك للمشروع وثق تمام أنك ستقضي الوقت بالتعلم ومحاولة اصلاح الأخطاء لأنك جديد على هذه التقنية  وسينقضي وقت اتمام المشروع وانت لمن تنجز شيء

أريد اعطائك آخر نصيحة في هذا الجزء وهي بعد اكمل جميع النقاط السابقة . اكتب في صفحتين  هذه المحاور وحاول الاجابة عليها لتتمكن من تصور كامل المشروع :

1-  ملخص عن مشروعك 6 إلى 7 أسطر

2-  مقدمة عن مشروعك

3- بعض المشاريع القريبة من مشروعك

4-  كيف ستحل المشاكل الموجودة في المشاريع السابقة القريبة من مشروعك

5- ماهي الاضافات الجديدة التي ستضيفها في مشروعك

———–

القسم الثاني : هو عبارة عن الامور التي تفعلها بعد البدأ في مشروعك : 

عند البدأ في االمشروع حاول تقسيم احتياجات المشروع ومعرفة في أين تريد البدأ بمعنى اذا كان مشروعك ييتعامل مع قواعد البيانات وبيتعامل مع الانترنت فقسم الجزء والاحتياجات التي تريدها للعمل مع الانترنت كجزء منفصل وافعل هذا الاجراء مع كل قسم لديك .

عند حصول أي خطأ أو مشكلة في المشروع فلا تجزع لأنه هذا شيء عادي جدا . عند حصول اي مشكلة حاول البدأ في تجربة بعض الحلول التي ترى أنها مناسبة ودون أنك جربت هذه الحلول لعدم تضييع وقتك في المستقبل في تجربة نفس الحلول مرة أخرى,  اذا لم تجد حل حاول التواصل مع بعض الخبراء في مجالك مثلا دكتور تثق به أو شخص تعرف أنه خبير في مواقع التواصل الاجتماعي وثق بأن الجميع سيحاولوا مساعدتك .. اذا لم تستطع ايجاد حل اترك هذا الجزء واذهب إلى جزء آخر من مشروعك (رأيت فائدة تقسيم المشروع من البداية) ومن ثم ارجع للمشكلة مرة أخرى لعلك تجد حلا لها .

اذا رأيت انه يمكنك اضافة ميزة جديدة في البرنامج لاتستعجل باضافتها حاول الانتهاء من كافة الاجزاء أولا ثم ابدأ في العمل على الاضافة وذلك لأن الاضافة ربما تحتاج بعض العمل عليها وهذا سيأخذ من وقتك وربما لن تتمكن من اكمال برنامجك الاساسي الذي وعدت باكماله.

———–

القسم الثالث : هو عبارة عن الأمور التي تفعلها في نهاية المشروع : 

عند الانتهاء من المشروع حاول تجربه البرنامج مرارا وحاول تنزيل البرنامج لدى أصدقائك ليتمكنوا من تجربته وابداء آرائهم في المشروع واعطائك بعض النصائح والكلمات التشجيعية

حاول نشر البرنامج وعمله مجانا ليتمكن الجميع من تجربة البرنامج وابداء آرائهم

حاول عمل موقع الكتروني تشرح فيه فكرة مشروعك وبعض الخصائص التي يعملها المشروع وذلك ليتمكن ليس فقط الاشخاص العاديين من تقييم مشروعك بل و الخبراء سيتمكنوا من اعطائك بعض الافكار والتوجيهات  التي ربما تفيدك في المستقبل

———–

ملاحظات أخيرة : 

1- لا تسلم المشروع لشخص ليقوم بعمله بالنيابة عنك أبدا لان هذا المشروع سينعكس عليك في النهاية . وثق بانه اذا لم تعمل المشروع بنفسك لن تتمكن من معرفة خصائص المشروع وصعوباته وان سألك احدهم عنه لن تتمكن من الاجابة عنه أبدا ناهيك عن ان المشروع سيتم ركنه ولن تستفيد منه أبدا لأنك وبكل بساطة لم تتعب عليه ولاتعرف حقه

2- اختار مشروع تريده وتؤمن به ولاتختار مشروع فقط لتتمكن من اجتياز المادة او المشروع فقط لانه كما قلت لك هذا المشروع هو عبارة عن واجهتك للعالم الخارجي و للوظيفة بالتحديد.

3- حاول كتابة جميع الصعوبات والاخطاء التي واجهتك لأنه في حالة رجوعك للبرنامج بعد فترة ستنسى الصعوبات التي واجهتك ولن تستطيع تطويره بسهولة .

———–

هذه بعض النصائح التي أتمنى أن تفيدك في مشروعك تخرجك .. وفقك الله مقدما

 

تم نشر هذا الموضوع في تصنيف غير مصنف بتاريخ بواسطة .

برنامج Crypto Ghost لتشفير الملفات وحفظ الخصوصية

logo

بحمد الله أخيرا انتهيت من تطوير النسخة الأولى من برنامج Crypto Ghost الذي أخذ حيز و وقت كبير في السنة الماضية لتطويره , برنامج Crypto Ghost كان مشروع تخرجي من كلية الحاسبات وتقنية المعلومات – جامعة الملك عبدالعزيز , فكرة البرنامج بكل بساطة هي أن البرنامج يقوم بتشفير الملفات وذلك لمحاولة حفظ خصوصية المستخدمين و ارسال الملفات عبر برامج التواصل الاجتماعي في سرية تامة ويجعل شركات هذه البرامج لاتستطيع قرائة محتوى هذه الملفات ,  ولقد سمعنا كثيرا عن الاختراقات التي تصيب الشركات ونشر المخترقين ملفات وبيانات المستخدمين . فمن هنا تكمن أهمية البرنامج , البرنامج يستخدم خوارزميات حديثة في التشفير ويمكن لأي شخص رؤية ومراجعة المنهجية الخاصة بالبرنامج ,, البرنامج ليس برنامج ربحي بأي شكل كان ولايحتوي على أي دعايات بالاضافة لامكانية الاشخاص من مراجعة البرنامج و الاشارة لأي خطأ أو تعديل للبرنامج لنتكمن من حفظ خصوصيتنا ببرامج مفتوحة المصدر. البرنامج يدعم اللغة العربية, ويحتوي على صفحات  بسيطة جدا ليتمكن أي مستخدم من التعامل مع البرنامج ولايشترط أن يكون خبير تقني ليتمكن من استخدام البرنامج . يوجد شرح بالفديو عن آليه استخدام البرنامج بالكامل .

موقع البرنامج :

www.cryptoghost.com

تحميل البرنامج :

https://play.google.com/store/apps/details?id=net.almorabea.cryptoghost

تم نشر هذا الموضوع في تصنيف غير مصنف بتاريخ بواسطة .

طريقة حذف فايروس Shortcut المتواجد في الأقراص الصلبة

واحدة من أكثر الفايروسات انتشارا على أجهزة الكمبيوتر الشخصي “PC” هو فايروس Shortcut Virus  وهو الذي يحول الملفات والمجلدات إلى ملفات اختصارات أو في بعض الاحيان يحول ايقونة Flash Memory  إلى اختصار أيضا وفي أغلب الاحيان يعطب الملفات والمجلدات … وهو عبارة عن فايروس ينتشر بسرعة هائلة في الجهاز وخصوصا اذا تم نقله على وحدة تخزين مثل CD, USB .. هنا سأحاول وضع طريقة لحذف الفايروس وازالته من جهازك بكل سهولة

صورة الملفات والمجلدات بعد اصابة الفايروس له :

1

صورة USB  بعد اصابة الفايروس له :

2

طريقة اصلاحه بسيطة جدا :

لنفرض أن USB المعطوب هو القرص  D: مثال فقط  في حالتك اكتب القرص المصاب لديك

1- اذهب إلى ابدأ ثم اكتب CMD

3

ستظهر لك النافذة التالية :

4

اكتب حرف القرص المراد اصلاحه في هذا المثال سنكتب D: ومن ثم انقر على زر Enter

5

اكتب الأمر التالي  :     attrib -s -r -h *.* /s /d /l    ومن ثم انقر على زر Enter

6

ثم اكتب الامر التالي لحذف ملفات الفايروس

7

أتمنى أن تكون هذه التدوينة قد أفادتك ولو وبالقليل اذا كان لديك اي استفسار يمكنك كتابته لي بالتعليقات أو يمكنك ارسال بريد الكتروني وسأحاول الرد عليك في أقرب وقت ممكن

تم نشر هذا الموضوع في تصنيف غير مصنف بتاريخ بواسطة .

طريقة حذف الدعايات (Ads) و الصفحات التي تعمل تلقائيا (Pop up messages ) على متصفح Google Chrome

أعتقد أن الدعايات والاعلانات المزعجة التي تظهر تلقائيا في المتصفح تزعج المستخدم بسبب كثرتها وعملها تلقائيا من غير رغبة المستخدم بها .. في هذه التدوينة سأحاول وضع بعض الحلول التي بمشيئة الله ستحاول منعها من الظهور لك .

في متصفح قوقل كروم (Google Chrome) يمكنك الذهاب إلى الاعدادات

1

ومن ثم اذهب إلى قائمة Extensions

2

القائمة التي تظهر لك في اليمين هي عبارة عن البرامج الموجودة مسبقا لديك ستكون مختلفة في جهازك عن الصورة .. حاول النزول إلى آخر الصفحة ستجد خيار مكتوب عليه Get more extensions  اضغط عليه

3

ستظهر لك هذه الصفحة

4

في هذه الصفحة يمكنك كتابة اسم البرنامج adblock وستظهر لك قائمة بالبرامج المتوفرة اختار هذا البرنامج

5

حمل على جهازك البرنامج الذي بجانبه علامة الصح  بالضغط على Free+ الان هذا البرنامج سيحجب أي اعلان في أي صفحة تزورها.  انتهى الجزء الاول  من التدوينة  وهو عبارة عن حجب الاعلانات في الصفحات

الجزء الثاني : حجب الصفحات المنبثقة والتي تعمل تلقائيا عند زياراتك لمواقع معينة (Pop up messages)

ادخل في البداية على الاعدادات (Settings)

1

ومن ثم توجه الى آخر الصفحة ستجد خيار مكتوب عليه Show advanced settings

6

واذهب إلى قائمة Privacy  واختار Content Settings

7

ستظهر لك قائمة طويلة توجه إلى Pop-ups  وفعل الخيار الثاني

8

هذه الطريقة ستحد من ظهور الصفحات التلقائية .

 

أتمنى أن تكون هذه التدوينة أفادتك ولو بالقليل اذا كانت المشكلة الى الان موجودة ولم تحل بالطريقة السابقة يمكنك التواصل معي لتجربة حل آخر . اذا كان لديك اي استفسار يمكنك كتابته في قسم التعليقات بالاسفل

 

 

 

 

تم نشر هذا الموضوع في تصنيف غير مصنف بتاريخ بواسطة .

الشهادة الرقمية لـبرنامج Superfish الخاص بأجهزة Lenovo

في اليومين الماضية كانت أكثر الأخبار في عالم أمن المعلومات هو الشهادة الرقمية لبرنامج Superfish لأجهزة لينوفو(Lenovo) دعني أحاول شرح الموضوع بصورة أدق نوعا ما لكن في البداية دعني أوضح بعض المفاهيم التي ستكون متواجدة في حديثنا :

رجل في المنتصف (Man In The Middle Attack) : في التشفير أو في أمن المعلومات هذا نوع من الاختراق ويتعين في تسلل شخص بين متحاورين داخل الشبكة فمثلا أحمد يخاطب محمد عبر الشبكة في برنامج اتصال ما.. يأتي شخص ثالث في المنتصف لنطلق عليه خالد ويحاول التنصت على المحادثة كاملة وفي بعض الحالات  خالد سيحاول محادثة محمد على هيئة أحمد أو يحاول مخاطبة أحمد على هيئة محمد ..فيظن احمد أنه يخاطب محمد والعكس لكن الحقيقة أن جميع المعلومات تذهب إلى شخص ثالث من غير علم أي أحد على الشبكة ويمكنك مشاهدة الصورة التالية لتحاول تصور الموضوع :

man-in-the-middle

الشهادة الرقمية (Certificate) : في عالم الانترنت توجد هناك شهادات لتثبت أن هذا البرنامج موثوق من جهة معتمدة أو مثلا في عالم الويب عند استخدام موقع لبرتوكول( Https ) هذا يعني أن الموقع موثوق و شرعي وليس به أي تلاعب لكن السؤال هو كيف تعتمد هذه الشهادة أو ماهي المعلومات بداخلها : الجواب هو هذه الشهادة تصدرها شركة متخصصة في اصدار الشهادات ويطلق عليهم Certificate) Authority) أو اختصارا (CA) لكن ماذا تحتوي هذه الشهادة ؟ هذه الشهادة تحتوي على مفاتيح التشفير (المفتاح السري , المفتاح العام)
ويمكنك مراجعة هذه التدوينة لمعرفة فائدة مفاتيح التشفير وتحتوي هذه الشهادة أيضا على وقت اصدارها ووقت انتهائها والجهة المصدرة للشهادة ومعلومات أخرى .. كيف تعمل هذه الشهادة ؟ مثلا تريد الدخول إلى موقع ما لديه شهادة رقمية . لحظة دخولك متصفحك يقرأ أن هذا الموقع لديه شهادة رقمية فيذهب إلى الشركة المصدرة لها ويتأكد من مصداقية هذه الشهادة وأنها فعلا شرعية عبر التوقيع الالكتروني لها (Digital Signature) ..وتحفظ هذه الشهادة في المتصفح ويمكنك مشاهدة جميع الشهادات لديك في متصفحك في متصفح موزيلا مثلا يمكنك الذهاب إلى:  الاعدادات- متقدم- الشهادة الرقمية أو Options- Advanced – Certificates  . بعض الشركات المصدرة للشهادة الرقمية VeriSign  ..Thawte .. Microsoft

أعتذر على المقدمة الطويلة لكن هناك بعض المصطلحات يجب عليك معرفتها قبل قرئة المقال لتتمكن من فهم الأمور بسلاسة

شركة لينوفو أخطأت باضافة برنامج superfish  في نظامها وهو برنامج  مثبت من قبلهم ويعمل على اضافة اعلانات غير مرغوبة للمستخدم وهو في جميع الاجهزة المحمولة المباعة في فترة سبتمبر 2014 الى يناير 2015  وهناك خطأ أمني في اضافة الشهادة الرقمية لجميع الاجهزة ومسجلة  بنفس المفتاح والمشكلة أن الشهادة لها صلاحية كبيرة تجعل نفس البرنامج أو أي برنامج آخر بعمل اختراق من نوع (Man In the Middle)  وفي الحقيقة لايجب لأي برنامج مثبت مسبقا على النظام أن يضيف شهادة لبرنامجه الا مايكروسوفت او بعض شركات الحماية أما برنامج للاعلانات المتوقع أن لايضيف أي شهادة لبرنامجه ومشكلة أمنية أخرى أن مفتاح التشفير السري كان محفوظ بداخل البرنامج و أصبح مكشوف لجميع الأشخاص يمكنك مشاهدة هنا   ولكن الشركة بررت أنها عملت هذا البرنامج لادارة الاعلانات فقط ويمكنك مشاهدة اعتذراهم

lenovo1

وبعدها نشرت تغريدات آخرى بطريقة الغاء البرنامج من الجهاز

lenovo2

لينوفو حاولت أن تتدارك الخطأ فجعلت البرنامج الذي يحذف برنامج Superfish  مفتوح المصدر ويمكنك مشاهدة الشفرة البرمجية للبرنامج هنا

من وجهة نظري أرى أن هذه خطأ امني فادح حتى اذا كانت لينوفو تريد وضع الشهادة فكيف تجعل لها مفتاح واحد لكل الشهادات هذا خطأ واضح وبسيط وخصوصا من شركة كبيرة لكن الامر الاكبر هو أن  لينوفو بدأت تفقد مصداقية عملائها لها

بالنسبة لي (اذا كنت من ستخدمي لينوفو)  ساقوم بتنزيل النظام مرة أخرى على جهازي ولن أستخدم أي برنامج لازالته ولسبب بسيط أنه يوجد احتمال لحذف البرنامج لكن الشهادة ستبقى لكن لينوفو قالت بأنه سيحذف جميع الملفات لكن لا أتوقع أني سأعتمد على هذه المعلومات بعد الان