HerbaZ

تراني كاتب الموضوع هذا عام 2006 وحصلته في ملف عندي وسوف انشره بدون تعديل اي معلومة خاطئه
تخيل معي عزيزي القاريء هذا السناريو الذي قد يحدث لأحد منا :
أحمد موظف مثالي في مجال عمله ، متفوق على أقرانه الموظفين . ذات يوم فوجئ أحمد بعد دخوله المكتب بوجود رسالة بالبريد الإلكتروني من المدير العام للشركة مكتوباً فيها قرار طرده من العمل !! وعندما هم أحمد بالذهاب إلى المدير العام للإستفسار عن سبب الطرد ، دخل عليه صديقه علي قائلاً أنها مزحه قام بكتابتها مع أصدقائه من باب المزاح .

ماذا لو كانت هذه الرسالة موجهة من احد الأشخاص الذين أنتحلوا شخصية أو أسم شركة معينة وأرسلوا لجميع العملاء طالبين منهم أرقام بطاقاتهم الإئتمانية أو حساباتهم البنكية والأرقام السرية لغرض تحديث بيانات أو ماشابه ، هذا النوع من الرسائل يشكل خطراً كبيراً على المؤسسات والشركات والأفراد ، وحيث أن البريد الألكتروني أصبح الآن هو النموذج الأسرع والأوفر والأضمن إلا أنه يفقد بعض الأمان لأنه في النهاية نحن نستخدم شبكة إنترنت مفتوحة على جميع أقطار العالم وإحتمال فقدان أو ضياع أو سرقة البيانات واردة ، إلا إذا أستخدمنا أنظمة تشفير تحمي رسائلنا وبياناتنا .

لنعود للمثال السابق ، لو أن المدير العام كان يستخدم نظام التوقيع الرقمي وقد أعطى لكل الأقسام في إدارته المفتاح العام للمدير public key هذا المفتاح يستخدم للتأكد من أن الرسالة أرسلت من المدير العام بالتأكيد فهي بمثابة توقيع إلكتروني لايمكن تزويره او التعديل على النص المرسل بأي طريقة كانت .

سوف يقوم أحمد بالتأكد من التوقيع الرقمي الخاص بالمدير بعملية تحقق بسيطة في البرنامج الخاص بالبريد الإلكتروني مستخدماً المفتاح العام الذي قام المدير بإعطائه لموظفينه ، وسوف يكتشف أن البريد المرسل لم يكن بتوقيع المدير العام ، وسوف يقوم بمراسلة القسم التقني للتحقق من مصدر الرسالة وإكتشاف عملية التزوير .

تلعب التواقيع الرقمية دوراً هاماً للتحقق من صحة مصدر الرسالة وتخدم شريحة كبيرة من الأفراد والشركات ، فهي تعزز التعاملات الإلكترونية على الصعيد المحلي والعالمي في جميع المجالات كالتجارة والطب والتعليم والحكومات الإلكترونية والدفع الالكتروني والتجارة الالكترونية وغير ذلك من التطبيقات . كما أنها تسهل للعديد من الوزارات الحكومية والمنشأت العسكرية تبادل الملفات والخطابات السرية والمشفرة .

في هذا المقال سوف نتطرق لأحد الخدمات الهامة في التشفير والرسائل البريدية المصدقة والمشفرة ، وهو التوقيع الرقمي أو التوقيع الإلكتروني Digital Signature .

تعريف التوقيع الرقمي هو توقيع مكون من حروف أو أرقام أو رموز أو صوت أو نظام معالجة ذي شكل الكتروني وملحق او مرتبط منطقياً برسالة الكترونية وممهور بنية توثيق او اعتماد تلك الرسالة – هذالتعريف تم إعطاؤه من قبل المركز الأمريكي للتواقيع الألكترونية .

يتكون التوقيع الرقمي على شكل نصوص تحتوي على معلومات مشابهة للشكل التالي :

—–BEGIN PGP PUBLIC KEY BLOCK—–

Version: PGP 8.1

mQGiBEJt5cgRBADX
Dmt1yDuekDZF9H2O
blbOs11yh6ZvQWUY
37tuwTxp5+xdnxeRF
++r0ApQmwJG0wg9
ZqRdQZ+cfL2JSyIZ
Jrqrol7DVekyCzsAA
gIH/+jIF7HFBJC7fM
9aWn/zcaEB+jorfex1
cMSry+duU7Z8WncU
qg5Nbf2Zps7sw6CSJA
EwEGBECAAwFAkJt5c
gFGwwAAAAACgkQeB
6MbIYwXzyGwACfYnv
s1CN1Sf8NIyP7fNwZM
/apy0AoL1GVozTvns56
3DbqMnGT5DWUC7d=B
ZcDC7fM9aWn/zcaEB+jo
rfex1cMSry+duU7Z8WM

—–END PGP PUBLIC KEY BLOCK—–

العلامة — GEGIN PGP PUBLIC KEY BLOCK –
تعني بداية المفتاح العام
والنسخة Version : PGP 8.1 المستخدمة للتشفير
ثم النص : وهي مجموعة حروف مشابهة mQGiBEJt5… وهكذا تحتوي على الشفرة الخاصة بالمفتاح العام
ثم ينتهي التشفير بـ — END PGP PUBLIC KEY BLOCK —

ايضاً من بعض طرق التشفير هو تشفير النص كاملاً وإرسالة بإستخدام البريد الإلكتروني فيكون هناك بعض الإختلاف البسيط ويكون شكل النص المشفر على الشكل التالي

—–BEGIN PGP MESSAGE—–
Version: PGP 8.1

qANQR1DBwU4D7aTCo
dJ4powQCACrP9roVx
MnHORtj4Y8ou3w5
HVI5q4iDzRsmJYQ
6aFbfNWSfvkXEA=
=AxmZ
—–END PGP MESSAGE—-

في هذه الرسالة كان النص المكتوب المشفر هو : نعم اوافق على دفع 150 ريال الى أحمد وذلك لشراء أحبار طابعة .
هذا النص كان مشفراً ، وموقعاً بالطبع عليه إلكترونياً ماذا لو اردنا فقط التوقيع سوف يكون على الشكل التالي :

—–BEGIN PGP SIGNED MESSAGE—–
I agree to pay for Ahmad SAR 150 to buy printer’s ink
—–BEGIN PGP SIGNATURE—–
Version: PGP 8.1
iQCVAwUBQma8V96pT6nCx/9/

AQEUYgP/UPQdTwNfl10vQrgg

ARka1SO8kP5lEkIQ
c9kve4Hp7TFZb4fnm1s4dp3+3nP

bT3Rk89aaDhRWDc/Y0ChHPW

eS9P1vBlPb0WDM
Pi0Xl5PFF2NlKyceKHt5Ysapl6t

fOWplOkhzKdM+SXW/PjIY7KwzBP5ebpUyrpg0
—–END PGP SIGNATURE—–

تشاهد في النص اعلاه اننا قمنا بالموافقة على اعطاء احمد مبلغ 150 ريال وبالأسفل منه توقيع المدير مباشرة ، حالما يستلم رئيس المدفوعات هذه الرسالة من المدير ، سوف يقوم بالتحقق من صحة التوقيع والنص المكتوب بأعلى منه مباشرة بتطبيق عملية تحقق مستخدماً المفتاح العام الخاص بالمدير وهو كماذكرنا في المثال السابق

—–BEGIN PGP PUBLIC KEY BLOCK—–

Version: PGP 8.1

mQGiBEJt5cgRBADX0D

GT5DWUC7d=BZcDC7f

M9aWn/zcaEB+jorfex1

MSry+duU7Z8WncUqg5

Nbf2Zps7sw6CSJAEwEG

BECAAwFAkJt5cgFGww

AAAAACgkQeB6MbIYw

XzyGwACfYnvs1CN1Sf8N

—–END PGP PUBLIC KEY BLOCK—–

وحالما يتحقق من صحة التوقيع والنص سوف يقوم بتحويل المبلغ إلى السيد أحمد .

في الختام أتمنى ان نكون قد اطلعناكم على احد الافكار الهامة في تشفير والحفاظ على أمن معلوماتكم ورسائلكم الخاصة خصوصاً البريد الإلكتروني والتعاملات الهامة في الإنترنت .

لمزيد من المعلومات يمكنكم زيارة موقع http://www.pgpi.org وهو الموقع العالمي لمنتج PGP الخاص بالتشفير والتواقيع الإلكترونية وايضاً موقع الشركة الأمريكية http://www.pgp.com .

العديد من مواقع الويب 2.0 تعتمد على مصطلح الشبكات الإجتماعية Social networking وتعتمد على ادخال البيانات والتشارك بواسطة المستخدمين وليس اصحاب الموقع نفسه .
موقع Facebook.com احد المواقع التي تعتمد بشكل رئيسي على إدخال المستخدمين للبيانات والتشارك بها ، وهو موقع خاص بالتعارف والأصدقاء .
قمت بتجربة الاشتراك في موقع فيس بوك لمدة شهر بالظبط ووجدت خلال هذا الشهر اكثر من 79 شخص قام بإضافتي ، بعضهم آخر مره قابلته كانت قبل عشرة سنين ! وجميعهم اشخاص حقيقين . شيء رائع ووسيلة للتواصل رائعه لكن ليست هنا المشكلة .
بإفتراض ان شخصا ًما عرف انك تعمل في شركة معينة ، واصحابك المضافين في فيس بوك هم فلان وفلان ، واراد ان يقوم بالتحايل عليك او الحصول على معلومات مهمة في الشركة التي تعمل بها ، ببساطة سوف يقوم بالاتصال عليك ويقول انه من طرف الشخص الفلاني ، او يذهب لمقر عملك ويقول اني من طرف فلان ودرست معه في الجامعة الفلانية واريد الحصول على كذا وكذا . ( يعرف هذا النوع من الاحتيال والاختراق بـ الهندسة الاجتماعية Social Engineering ، واشهر هاكر في مجال الهندسة الاجتماعية هو كيفن متنك ) .
او بافتراض انك سوف تقدم على وظيفة معينة وبمجرد البحث في هذه المواقع يستطيع الشخص الذي يقابلك معرفة سلوكك وحياتك العملية والدراسية واصدقائك ومعارفك بمجرد ضغطة زر .
مواقع اخرى يستطيع منها الشخص الذي يعرف اسم المستخدم الخاص بك ماتفضله من مواقعDel.icio.us او ماهي الصور التي تعجبك والمنطقة التي تسكن فيها flickr.com ومايعجبك من مقالات ومواضيع Digg.com وما نوع الافلام والمقاطع التي تعجبك youtube.com .
في النهاية انا لا ادعو لعدم استخدام مواقع الويب 2.0 بل بالعكس هذه المواقع تعتبر ثورة وتحول هائل في مجال الانترنت ، لكن قد يكون رائعاً للاشخاص الذين لاتهمهم خصوصياتهم او انه لايمانع بان يكون اسمه وجميع تحركاته واضحة للجميع ، اما الشخص الذي يبحث عن خصوصيته فلايستغرب ان تضيع خصوصيته مع اشتراكه في مواقع الويب 2.0 .

مرحباً ،

نشر موقع TC عن وجود موقع قام بنشر السورس كود الخاص بالصفحة الرئيسية لموقع facebook ورشح موقع TC الى انه الكود تسرب بطريقتين ، اما عن طريق احد المطورين الموجودين في فيس بوك ، او انه حدث هناك اختراق حقيقي للموقع .

الكود ، بإعتراف احد مطوري موقع فيس بوك ، صحيح وكان قد تسرب عن طريق ارساله لأحد الشركات المطوره للموقع الذين سوف يقومون بمقاضاتهم في الأيام القادمة ، واعلنوا انه لم يتم الحصول على بيانات الأعضاء وجميع البيانات مازالت بسريتها وبآمان .

تسرب السورس كود ، هو خطر يهدد أي موقع او اي برنامج من البرامج التي يتم برمجتها بشكل خاص ، ان كنتم تتذكرون تحدثت عن السورس كود الخاص بانظمة سيسكو IOS وعن السورس كود الخاص بـ مايكروسوفت ، هذه التسربات تأثر على الأنظمة ، وتخلي الهاكرز يبحثون عن طرائق للدخول على النظام .

ملاحظة : ترجمة السورس كود ، الشفره المصدريه !

انتشر هاليومين اكسبلويت لثغره MS Windows Animated Cursor ANI والثغره بصراحه خطيره وباامكان الهاكر التحكم بجهاز الضحيه في حاله استغلال الثغرة ، وتعمل هذه الثغرة على جميع إصدارات الويندوز بما فيها الأكس بي والفيزتا .
صديقي الغالي NTDLL تحدث عن هالثغرة بتفصيل الله يعطيه العافية
برجاء تحديث أنظمة الويندوز
ومن هنا يمكنك تحميل التحديث الأخير

إنتشرت في الآونة الآخيرة مايعرف بالإحتيال الإلكتروني او phishing وتنطق ( فيشنق مثل كلمة fishing ) وهي ببساطه إستخدام الهندسة الإجتماعية للقيام بعمليات احتيال وسرقة وجرائم عن طريق الإنترنت .

كـ مثال بسيط ، تجد انه وصلك بالبريد الإلكتروني رسالة من شركة هوت ميل مثلاُ اذا كان حسابك على الهوت ميل ، يقول لك نرجو ان تقوم بتحديث معلوماتك بالضغط على الرابط ، وفي الرابط تجد انك في صفحة من صفحات الهوت ميل ويطلب منك إدخال كلمة المرور الخاصة بك وتجد انه وضع رابط على شكل hotmail.com/update مثلاُ ،، ولكن اذا ضغطت عليه وجدت نفسك على صفحة تصميمها مشابه لتصميم الهوت ميل لكن الرابط يختلف ، فهنا حينما تقوم بإدخال بياناتك يتم ارسالها الى الشخص المخترق .

وكثيراً ماتحصل في الخارج مثل هذه ، كأن تأتيك رسالة من بنك امريكي او بنك في الصين تطلب منك تحديث بياناتك ، او حسابك في موقع amazon او ebay وغيرها ، لكن الرابط لايمت بصله لموقع الشركة .

لكن مؤخراً ، حصل انه العديد من المستخدمين السعوديين تأتيهم رسالة من البنك السعودي البريطاني ( ساب ) مترجمة بالعربية والانجليزية ، تطلب من المستخدمين الدخول لحساباتهم ، كما في الصورة التاليه

ولو امعنت النظر عزيزي القارئ لوجدت ان الرابط المكتوب يختلف عنه لو قمت بالمرور على الرابط ، ولو دخلت الرابط بالضغط عليه بالفأره لوجدت انك تدخل على موقع مشااابه تماماً لتصميم وشكل موقع البنك السعودي البريطاني SABB .
لذا ارجو اخذ الحيطه والحذر في المرات الأخرى ويجب عليك اخي القارئ ان تعلم ، انه من عادة البنوك والمواقع الكبيرة ان لاترسل رسالة لتطلب فيها تحديث البيانات ، ولو ارسلت يجب عليك ان تذهب الى موقع الشركة الرئيسي والدخول من هناك مع الحرص على وجود رمز القفل الصغير بجوار المتصفح ، او ان يكون الرابط https أي محمي .
واتمنى للجميع الامن والسلامة ، وان يحمي ايميلاتكم وباسسورداتكم وعيالكم

لعيون ابونواف

مع كثرة المواقع على الإنترنت وكثرة الخدمات التي توفرها مواقع الإنترنت تجد دائماً مواقع تطلب منك إدخال كلمة المرور وإسم المستخدم ، وقد تضطر إلى القيام بذلك عدة مرات في اليوم . فجهازك في العمل يحتاج الى كلمة مرور وبريدك الإلكتروني يحتاج الى كلمة مرور ومعرفك في احد المنتديات تستخدم فيه كلمة مرور ثم في نهاية اليوم تقوم بالدخول على حسابك في البنك بإستخدام كلمة المرور ، في هذه المقاله سوف احاول وضع بعض الأساسيات والمعلومات التي تفيد المستخدم بتذكر كلمة المرور وإستخدام حروف معقده حتى لايمكن كشفها او كسرها وبعض الطرق المفيده لإنشاء كلمة المرور .

بعض المستخدمين يقوم بإدخال كلمة مرور واحده ويعتبرها كلمة المرور الموحده لجميع حساباته وهذا الأمر من ناحية تقنية امنيه خاطئ ، فلنفترض أن احدهم قام بسرقة كلمة المرور الخاصة بك وكنت من من يستخدم نفس كلمة المرور لجميع الحسابات ، حتى حسابك المصرفي وبريدك الالكتروني الخاص بالعمل سوف يقوم سارق كلمة المرور بمحاولة استخدام هذه الكلمه على جميع حساباتك .

الحل هو أن تقوم بإنشاء كلمة مرور مخصصه لكل حساب او لكل بريد الكتروني او لكل موقع تقوم بزيارته ،لكن سوف تواجهنا مشكلة اخرى ماذا لو كان لديك اكثر من 100 حساب و100 كلمة مرور ، لايمكنك ان تحفظ كل هذه الكلمات المرور وحتماً سوف تخطئ في ادخال كلمة المرور الصحيحة للحساب الصحيح ، لكن عزيزي القارئ يمكنك بإستخدام بعض البرامج التي تجدها في نهاية المقالة ان تقوم بوضع جميع ارقامك السريه في ملف واحد وتقوم بتشفيره او حمايته برقم سري .

لكن لمن لايرغبون في استخدام الحل السابق ، يمكنك ان تقوم بوضع خوارزميه خاصه بك انت تستخدمها ككلمة مرور خاصه بك على كل الحسابات ، لو افترضنا ان لديك حساب في موقع abcde.com واسمك الاول هو ahmad يمكنك ان تقوم مثلاُ بأخذ اول ثلاثه احرف من اسمك وإضافة الرقم 3ثم اضافة آخر ثلاثه احرف من الموقع الذي ترغب بالدخول اليه ، فيكون لدينا النتاج لكلمة المرور ahm3cde ، وهكذا حينما نريد الدخول على موقع xyz.net نستخدم الخوارزميه السابقه ولكن نقوم بتتغيير الخانات الاخيره فتكون ahm3xyz هي كلمة المرور ، وهذا النظام يسمى الـ mask او القناع . ويمكنك تطبيقها على جميع المواقع والحسابات التي تشترك بها ، وهي طريقة سهله فقط عليك تذكر الطريقة وتطبقها مباشرة .

من عيوب هذه الطريقة انه لايمكنك اطلاع اي شخص على طريقة استخدامك لهذه الشفره وإلا لقام الشخص الآخر باستخدامها في كل حساباتك وبذلك لاتكون استفدت من اي شي ،.

ايضاً عند ادخالك لكلمة المرور يجب عليك مراعاة عدم استخدام كلمات سهله التخمين او التذكر مثل اسمك الاول او اسم عائلتك او اسم سيارتك او اسماء معروفه ، كذلك لاتقم بإدخال احرف او ارقام مثل ارقام هاتفك المحمول او المنزل او رقم هويتك او ارقام متكرره كـ 1234 او احرف abcd .

حاول ايضاً ان تضيف لها بعض الرموز حتى تكون كلمة المرور معقده كالرمز نجمه او علامة @ او علامة $ ، مثلاُ كلمة password يمكنك ان تقوم بتعقيد الكلمة حتى لايمكن فكها ببرامج فك كلمات المرور ، الى p@s$w0rd ، ايضاً يمكنك القيام بتكبير وتصغير الحروف وإدخال الارقام بينها مثل A9b3C7d .

هناك طريقة اخرى يمكنها ان تتوافق مع الطرق السابقه التي ذكرتها ، وهي ان تقوم بتقسيم اهمية كلمات المرور الى ثلاثه اقسام او قسمين ، كلمات مرور هامه ، وكلمات مرور غير هامه . فرقم حسابك البنكي وكلمة المرور الخاصه ببريدك الإلكتروني تندرج تحت قسم الكلمات المهمه ، وكلمة المرور الخاصه بحسابك في احد المنتديات تحت الامور الغير هامه . فتقوم بالحرص على استخدام كلمة مرور للمواقع المهمه بحيث ان تكون صعبه واكثر من 8 خانات ( احرف وارقام ورموز ) واما في القسم الغير مهم فقد تكون كلمة المرور من الكلمات السهله الادخال ، وذلك لقلة اهمية الموقع .

وهذه مواقع لبعض البرامج التي تقوم بتخزين كلمات المرور المتعدده وتخزينها في ملف واحد يتم تشفيره وحمايته بكلمة مرور واحده حتى تسهل لك حفظ كلمات المرور المتعدده ، مع العلم ان بعضها يمكن استخدامه مع الهاتف الكفي pocketPC او ارفاقه في ملف على ذاكرة فلاش USB . هذه البرامج مجانيه واغلبها مفتوح المصدر .

• http://www.mirekw.com/winfreeware/pins.html

• http://passwordsafe.sourceforge.net/

• http://keepass.sourceforge.net/

• http://www.tranglos.com/free/oubliette.html

ختاماً ، يجب عليك عزيزي القارئ ان تعلم انه هناك بعض الامور الاساسية في كلمات المرور وهي:

• لاتقم بإعطاء اي شخص كلمة المرور الخاصه بك

• في حالة إعطاك شخص ما كلمة المرور ، قم فوراً بتغيير كلمة المرور حالما ينتهي عمل الشخص الذي اعطيته كلمة المرور

• لاتقم بتدوين كلمات المرور المهمه في ورقه صغيره وتتركها بالقرب من جهازك او المكتب

• قم بتغيير كلمة المرور بشكل دوري ( ينصح بتغيير كلمة المرور مره كل 40 يوم )

• في حالة اشتباهك بوجود بعض الفايروسات او دخولك من جهاز مصاب بفايروس قم بتغيير كلمة المرور تحسباً لاي طارئ

• حاول الإبتعاد عن استخدام كلمات المرور السهله او التي يمكن لاي شخص يعرفك توقعها