العودة الى الفيس بوك

اول شبكة اجتماعية اشتركت فيها كانت الفيس بوك كان ذلك تقريبا في 2010 بعد ذلك انشئت حساب تويتر واستخدمت كلا الحسابين. سرعان ما بدات اكره الفيس بوك لنوعية المحتوى الموجود المليء بالسلبية سواء في المنشورات السياسية المنشورة من الجميع سواء كانوا يدركون معنى ما ينشرون او لا او محاولة الكل الهروب وتزييف ماهم عليه في الواقع ورسم الشخصية المرجوة فقط في الفيس بوك . انا كنت ابحث عن منصه استطيع من خلالها متابعة كل اخبار الكمبيوتر والبرمجة عن طريق متابعة الصفحات ولا اريد ابدأ منصة اجتماعية للكلام مع الناس او التفاعل معهم فاحيانا قد لا تكون دائرة اهتماماتك نفسها هي دائرة اهتمامات من حولك وهذا ما كان ينقص فيس بوك أيامها حيث ان ميزه المتابعة لم تكن موجوده. تويتر كان يتميز بفكرة ان تتابع شخص دون ان تعرفه او تكونوا أصدقاء،  وتتابع المحتوى الذي ينشره. اغلقت حسابي في الفيس بوك منذ تقريبا خمس سنوات ربما فتحته مره او مرتين. خلال الخمس السنوات الماضية استخدمت تويتر بشكل يومي تقريبا. متابعة قراءة “العودة الى الفيس بوك”

All time to do list

الكل يعرف فكرة to do list وهي ان تقوم بتسجيل ما تريد ان تقوم به كمجموعه من المهام التي يجب الانتهاء منها في فترة زمنية الاغلب يوم او أسبوع. الطريقة بشكل عام تساعد على التذكر وعدم نسيان مهمه بالغلط بالاضافة الى ترتيب المهام وربما أعطاء الأولوية لمهام معينه على مهام اخرى. متابعة قراءة “All time to do list”

مشكلة توثيق ما اقرأ

احد اكبر التحديات التي واجهتني في حياتي هي توثيق وتسجيل ما اقرأ واتعلم. انا بطبيعة الحال اقرأ الكثير من الكتب والمقالات. ولكن المشكلة الكبرى هي النسيان والتنظيم للكم الهائل من المعلومات. دائما ما أحاول ان اجد الطريقة المثلى لتسجيل وتوثيق المعلومات المهمة. متابعة قراءة “مشكلة توثيق ما اقرأ”

حلقات مختارة من بودكاست Software Engineering Daily

من برامج البودكاست المفضلة لدي هو بودكاست Software Engineering Daily، البودكاست له المئات من الحلقات التي ناقشت الكثير من التقنيات والتي استمعت للكثير منها. البودكاست رائع ومفيد جدا لذلك استغل وقتي بالاستماع الى حلقاته بشكل مستمر.

سوف اضع قائمه بالحلقات التي بنظري اكثر من رائعه والتي قد يرغب بالاستماع اليها اي شخص في مجال الحاسب بسبب ان هناك حلقات تخصصيه بشكل كبير وقد لا يهتم كل الناس بالاستماع لها. متابعة قراءة “حلقات مختارة من بودكاست Software Engineering Daily”

مفهوم Password Spraying في هجمات تخمين الباسورد

اثناء عملية اختبار الاختراق لا بد من ان يواجهه مختبر الاختراق هاشات او ملفات مشفرة تتطلب كسرها باستخدام هجمات التخمين المعروفة (bruteforce attack). مع تقدم الوعي الأمني وحرص الشركات على امان منتجاتها اصبح من الصعب تنفيذ هجمة تخمين اونلاين على احد الحسابات بسبب lock down policies والتي تحدد عدد المرات القليلة التي يمكن أدخال كلمة مرور غير صحيح قبل ان يتم حظر المهاجم او اتخاذ اجراء معين مثل تنبيه مدير الشبكة.

مفهوم Password Spraying ببساطة  يتم جمع اكبر عدد ممكن من أسماء المستخدمين الفعليين للأنظمة التي يتم عمل لها اختبار اختراق (user enumeration) من ثم اختيار كلمة مرور بعناية تامة من خلال المعلومات التي تم جمعها مسبقا وتجربة كلمة المرور على كل المستخدمين حتى يتم العثور على مستخدم يستخدم نفس كلمة المرور اي انه يتم تخمين اسماء المستخدمين على كلمة المرور وليس كلمات مرور على مستخدم واحد، العكس تماما للهجمات الاعتيادية. الهجوم فعال جدا ولن تواجه مشكله lock down خاصة اذا كانت شبكه عملاقة لديها العشرات او المئات من المستخدمين.

مقاييس نموذج CVSS لتقييم خطورة الثغرات

في تدوينه سابقة كتبت عن نظام CVSS لتقيم الثغرات ولكن لم اتطرق لكيفية قراءة وحساب التقييم باستخدام هذا النموذج. في هذه التدوينه سوف نتعرف على كيفية قراءة التقييمات مع حساب خطورة الثغرات المكتشفة باستخدام CVSS Base Vectors. وهي تعتبر الجزء الثاني من التدوينه السابقة.

لكي نقوم بحساب خطورة ثغرة تم اكتشافها نقوم بتحليل سته مقاييس تخص الثغرة, الثلاثة المقاييس الاولى تخص استغلال الثغرة وما مدى سهوله استغلالها والثلاث المقاييس الأخرى تخص تأثير الثغرة على بيئة العمل. كل مقياس له تقييم خاص به. هذه التدوينة توضح مقاييس الاصدار الثاني من نظام CVSS. الاصدار الثالث سوف يكون تدوينة خاصه به متابعة قراءة “مقاييس نموذج CVSS لتقييم خطورة الثغرات”

أنواع الهجمات الإلكترونية من ناحية تركيز الهجوم والمهارة

في احد فيديوهات bruce schneier في مؤتمر Black Hat تحدث فيها عن وضع الاستجابة للحوادث ذكر  فيها انواع الهجمات بشكل جميل من ناحيه تركيز الهجمة و مهارة المهاجم  skill & focus.

الأنواع كالتالي :

  1. مهارة ضعيفه وتركيز ضعيف Script kiddie
  2. مهارة ضعيفة وتركيز عالي Targeted attack
  3. مهارة عالية وتركيز منخفض zero day exploits و محتالون الانترنت مثل من يقوم بسرقه بطاقات الائتمان وغيرها من الامور
  4. مهارة عالية وتركيز عالي Advanced persistent threat

التركيز هنا يقصد به الاستهداف التام في الاختراق

لماذا تسريبات سنودن كانت متوقعة

تسريبات سنودن عن تجسس وكالة الأمن القومي الأمريكية لم تكن شي جديد او غير متوقع. بالعكس عملية التجسس كانت شي عادي جدا ومتوقع حتى بحجم التجسس الكبير الذي كشف عنه سنودن. الفرق فقط أن سنودن قام بكشف التفاصيل التقنية الدقيقة عن مواصفات ومقدرة الأجهزة او البرمجيات التي استخدمت في التجسس لا غير.

أثناء الحرب الباردة  بالتحديد في عام 1985 تم تعيين الروسي Victor Cherkashin في واشنطون ليقوم بمهام مكافحة التجسس لصالح الاتحاد السوفيتي متابعة قراءة “لماذا تسريبات سنودن كانت متوقعة”