Update - أب ديت: امن معلومات

‏إظهار الرسائل ذات التسميات امن معلومات. إظهار كافة الرسائل

الأحد، 12 يناير 2020

متطلبات مجال أمن تطبيقات الويب

هذه المقال وغيرها تحت وسم أفضل تدوينة تعبر عن أراء اصحابها.

بسم الله الرحمان الرحيم

هذا المقال هو عصارة تجربتي الشخصية لمدة تتراوح ما بين السبعة و الثمانية أشهر منذ أن قررت أول مرة دخول مجال "الإعلامية" أقول "الإعلامية" لأنه حينها لم أكن أعلم ما تعنيه كلمة برمجة أصلا و لا حتى الفرق بين المبرمج و المصمم أو أي شيء يتعلق بمجال معالجة المعلومات بصفة عامة . أما في هذه اللحظة وخلال هذه المدة أصبحت قادرا على إنشاء موقع إلكتروني بمواصفات لا تدل على أنني مبتدئ أبدا و الحمد لله أصبحت لدي معرفة جيدة في مجال "IT" و درست أساسيات الشبكات و لا زلت ادرس و بدأت عملي في أحد المواقع الحرة.

تخصصي الحالي هو مصمم مواقع و التخصص الذي اسعى إليه في الحقيقة هو أمن تطبيقات الويب إن شاء الله. إذا كنت من المهتمين بأحد هذه المجالات فحقا خبرتي الشخصية ستساعدك من دون أي شك و ذلك لأني توصلت لطريقة تمكنك من التعلم بسرعة و من سلك طريق ليس مختصر و انما طريق اكتشفه بنفسك.

أولاً:

تعلم كيفية تصميم المواقع كأنك تسعى لتصبح مصمم مواقع و لو أنك لا تحبذ العمل في هذا المجال و لكن إياك و أن تحقر من المعروف شيء و خاصة في مجال الويب بصفة عامة و للبدء من هنا تعلم الأدوات التالية :(html/css/javascript/jquery/bootstrap). و بالتزامن مع هذا إبدأ في دراسة الشبكات. قم بتقسيم وقتك مثلا أربع أو ثلاث ساعات في مجال التصميم و ساعتين في الشبكات.

ثانيا:

لا تتسرع!!! إن اختصاصك في مجال أمن المعلومات يتطلب منك سنوات لذا لا تتسرع أبدا و ركز على الفهم و التطبيق و لا بأس في دراسة درس واحد عدة مرات و لكن سارع في مجال التصميم لا تركز كثيرا في التفاصيل و لكن لا تمر مر الكرام على الأساسيات. بل ركز كثيرا حول الأساسيات و ستعي قيمتها مع الوقت لأنه إن تجاهلتها لن تنجح أبدا.

(في قناة 'update' لأخونا جعفر أبو ندى ستجد كل ما تحتاجه للبدء في دراسة الشبكات).

(أما بالنسبة لتصميم المواقع فهناك الكثير ممن هم ذوي كفاءة جيدة إختر من يريحك).

ثالثا :

هنا أصبح لديك الكثير من المفاهيم الجديدة و مستوى يحفز على المضي قدما خاصة إن كنت أتممت دراسة كورس "ccna" فبها ستتكون عندك رؤية مختلفة عما كانت لديك سابقا و بالتأكيد لا أظنك صبور لدرجة أنك لم تقم بتنصيب الكالي لينكس بعد . (هذا إن أتممت "ccna". و على فكرة هناك مهندسة في غاية الروعة و صراحة بالنسبة للكورسات المجانية بمحتوى عربي في إختصاص الشبكات أنا شخصيا لم أجد أفضل منها اسمها "عبير حسني" على اليوتوب. )

حدسي يخبرني بأنك فعلتها و نصبت الكالي لينكس. لا تقلق لن أقوم بتوبيخك و نعتك بالمتسرع بل أحسنت و إجعل من حماسك هذا و شغفك طاقة تدفعك نحو التقدم و قم بالخطوات التالية. قم بتهيئة نفسك لدراستك المرحلة التالية و التي هي بدون شك مرحلة التطوير أو البرمجة و لكن في بيئة الكالي لينكس أو أي توزيعة أخرى غير التي كنت تستخدمها سابقا لأنك ستحتاج لبناء معرفة حول أنظمة التشغيل المختلفة و يا حبذا تكون "linux" و بهذا تربح بعض الوقت و تتعود على بعض أساسيات أوامر "terminal" و أيضا ستحتاج في تعلمك للغة "php" إلى سرفير و التعامل مع السرفير و قواعد البيانات في أنظمة مختلفة هي فرصة رائعة للتعرف على الإختلاف بين الأنظمة و مسارات المجلدات إلى غير ذلك من الأمور المفيدة كالعقبات التي ستواجهك و المشاكل التي ستعترضك أثناء محاولة تشغيل السرفير و تنصيب بعض الأدوات و غيرها و بهذا تكون قد ضربت عصفورين بحجر واحد.

(تصفح الأنترنت و ترفه بنظام التشغيل الذي تحتاج لتعلمه و كالعادة لا تنسى دراسة الشبكات و إبدأ في كورس "mcsa".)

بعد هذه المرحلة يجب أن تكون الآن لم تتجاوز سنة منذ أن بدأت من الصفر في هذا المجال أنا كنت ادرس ما بين سبعة أو ثمانية ساعات كل يوم حتى بلغت هذا المستوى في ستة أشهر و أما أنت فهذا يعتمد عليك و طريقة ادارتك لوقتك و مستوى وعيك.

رابعا :

إبدأ في دراسة حماية المواقع و طريقة كتابة الأكواد بطريقة سليمة و أكثر إحترافية، اعمل كثيرا قم بإنشاء حساب في أحد مواقع الأعمال الحرة و لا تهتم بالمال فقط أنظر إلى العروض و متطلبات العمل و السوق و خذ أحد الأعمال و طبقها لنفسك و كأنك ستقدمها لعميل لأنه غالبا ما يكون عقلك فارغا من الأفكار و لا يمكنك تطبيق ما تعلمته ما لم يطلب منك احدهم إنشاء موقع معين بصفة معينة و أيضا هي طريقة مفيدة جدا في التعلم. لا تبتعد عن دراسة الشبكات ادرس كل يوم على الأقل ساعة و نصف و لا تتجاوز الساعتين و نصف و باقي الوقت تعلم فيه برمجة المواقع و كل ما يتعلق بها من أمور و أنواع قواعد البيانات و لكن إختص دائما في أمر واحد فقط تعلم الأساسيات عن الكثير و إختص في أمر واحد فقط أو في لغة واحدة.ادرس دائما و أبدا عن السرفيرات و البروتوكولات المهمة في مجالك هذا مثل بروتوكول " http/https/telnet/ftp… و غيرها" فهمك لطريقة عمل هذه البروتوكولات يسهل عليك فتح باب عالم الويب. أسمعت ما قلت ؟؟ لقد قلت فتح باب عالم الويب.

بعد وصولك لهذه المرحلة لن تحتاج مني بعد الآن أن أملي عليك الخطوات التالية. ستكون بإذن الله قادرا على معرفة الخطوة القادمة بمفردك و إن لم تنجح فأعد دراستك من البداية لأن هذا يعني أنك لم تجتز هذه المرحلة بعد .

و إن كنت تريد معرفة ماذا بعد....!!؟ عليك بالبحث في قناة 'update' لأخونا المشكور "جعفر أبو ندى مرة أخرى" فعنده تفاصيل مختلفة و خطوات المجال كاملة من البداية إلى النهاية لذلك لا فائدة من تكرار ما قد سبق و ذكره و كان الله في عونكم أجمعين.

إلى هنا إنتهى المقال و لكن عندي بعض النصائح التي لا اعلم ما إن تتطابق مع الجميع:

تأتي عليك فترة تشعر فيها بالإحباط و تجد نفسك في ضغط و لا يمكنك مواصلة الدراسة و يبدأ الملل يتسلل في داخلك شيئا فشيئا حينها لا بأس بالتوقف و لكن لا تبتعد عن هدفك، إذهب في جولة و ابحث في أشياء جديدة لفترة قصيرة مثلا خذ بعض المعلومات حول المجالات التالية(hosting/IOT /Big Data/IA/clouding…/)، إن كان لديك بعض المال اشتري حواسيب مستعملة و معطبة و حاول إصلاحها بنفسك فكك و ركب و تعلم فإن هذا أمر مفيد جداً في مستقبل أي شخص يطمح أن يصبح من أحد رواد هذا المجال تعلم أيضا حول "android" و "android SDK" و بالتأكيد سوف تنتقل إلى هناك بمفردك مع مرور الوقت و من يدري ماذا ينتظرنا في المستقبل.

المهم بارك الله فيكم و شكرا لكم و بالتوفيق إن شاء الله و لا تنسو أن تجعلوا أعمالكم خالصة إلى الله و أن لا تسيئوا لمن حولكم و لا تجسسوا.

الكاتب: محمد المولدي الكعبي

البلد: تونس

الأربعاء، 1 يناير 2020

# security

ما هو أمن المعلومات؟ وما هي أجزاء ومكونات نظام المعلومات؟

by Update - أب ديت on 1:30:00 ص

هذه المقال وغيرها تحت وسم "أفضل تدوينة" تعبر عن أراء أصحابها.

ماهو الأمن ؟

الأمن هو جودة أو حالة كونها أمنة لتصبح محررة من الخطر , بمعنى أخر هو حماية ضد الخصوم الذين يريدون أن يلحقوا ضرر بنية العمد أو القصد أو غير ذالك , و يكون الهدف هو الأمن القومى . المنظمة الناجحة يجب أن تكون لديها عدة طبقات أمن لتحمى أعمالها، و هى كالتالى:

الأمن الفيزيائى : لتحمى العناصر أو الكائنات الفيزيائية , أو أماكن من وصول غير مصرح به و سوء الإستخدام .

الأمن الشخصى : لتحمى الفرد أو مجموعة من الأفراد الذين مصرح لهم بالوصول إلى المنظمة و أعمالها

أمن العمليات : لتحمى التفاصيل من عملية معينة أو سلسلة من النشاطات .

أمن الإتصالات : لتحمى وسط الإتصال تقنيةً و محتوى .

أمن الشبكة : لتحمى مكونات الشبكة إتصالات و محتويات .

أمن المعلومات : لتحمى أصول المعلومات. و يعرف أمن المعلومات هو حماية المعلومات و العناصر الحرجة تتضمن الأنظمة و الهاردوير الذى يستخدم و يخزن و يرسل المعلومات .

الخصائص الحرجة للمعلومات :

الإتاحية : تمكن المستخدمين المخولين أو أنظمة الحاسوب للوصول إلى المعلومات بدون أخطاء أو عوائق و تستقبل بالشكل المطلوب .

الصحة : المعلومة تكون صحيحة أو دقيقة عندما تكون خالية من الأخطاء و لها قيمة يتوقعها المستخدم .

الموثوثقية : هى الجودة أو الحالة الحقيقية بدلاً من الفبركة , و تكون المعلومة موثوقة عندما تكون فى نفس الحالة التى تم إنشاؤها فيها و وضعها و تخزينها أو نقلها .

السرية : عندما تكشف المعلومة لأفراد غير مخولين أو أنظمة ممنوعة بالوصول إليها هنا تكون السرية قد أفشيت , فالسرية هى أن تتأكد من أن هؤلاء الأشخاص أو الأنظمة التى لديها الحقوق و أمتيازات الوصول للمعلومة .

مكونات نظام المعلومات :

نظام المعلومات أكثر من مكونات الحاسوب , إنه مجموعة كاملة من السوفتوير و الهاردوير و الأشخاص و البيانات و الإجراءات و الشبكات نحتاجه لكى نستخدم المعلومة كمصدر فى المنظمة , هذه المكونات الستة الحرجة تمكن المعلومة بأن تكون إدخال و معالجة و إخراج و تخزين , كل من هذه المكونات لها قوتها الخاصة و نقاط ضعفها , و كل مكون من نظام المعلومة له متطلبات الحماية الخاصة به :

السوفتوير : السوفتوير يتألف من تطبيقات , أنظمة تشغيل , و مهام متنوعة , السوفتوير ربما يكون أصعب مكون من ناحية التأمين , إستغلال الأخطاء فى برمجة حسابات السوفتوير تفتح مجال لجزء كبير من الهجمات على المعلومة , الأخبار مليئة مع تقارير تحذر من الثغرات , و الأخطاء و نقاط الضعف أو مشاكل أخرى فى السوفتوير , برمجة السوفتوير تشبه بالوعاء الذى يحمل شريان الحياة للمعلومة عبر المنظمة .

الهاردوير : هى تقنية فيزيائية ملموسة تقوم بتنفيذ السوفتوير , و تخزن و تحمل البيانات , و تزود منافذ أو واجهات لدخول و خروج المعلومة من النظام , سياسات الأمن الفيزيائى تتعامل مع الهاردوير كممتلك فيزيائى و تحمى الممتلكات الفيزيائية من الضرر أو السرقة , تطبق الأدوات الشائعة من الأمن الفيزيائى مثل الأقفال و المفاتيح و تقييد الوصول إلى و التفاعل مع مكونات الهاردوير من نظام المعلومات , و يعتبر تأمين المكان الفيزيائى من أجهزة الكمبيوتر مهم جداً لأن فشل التأمين الفيزيائى ينتج عنه ضياع المعلومة .

البيانات : البيانات تخزن و تعالج و ترسل عبر نظام الكمبيوتر و يجب أن تكون محمية أو مؤمنة , البيانات فى الغالب تكون مدخر ذو قيمة تمتلكه المنظمة و هذا هو الهدف الرئيسى للهجمات المتعمدة .

الأشخاص : على الرغم من تجاهلها في كثير من الأحيان في اعتبارات أمان الكمبيوتر , إلا أن الأشخاص كانوا دائماً يمثلون تهديداً لأمن المعلومات , كان هناك جيش عظيم يهدد أمن و إستقرار الإمبراطورية الصينية و كان الغزاة شرسون جداً الإمبراطورية الصينية أمرت ببناء صور أو حائط ضخم يحميهم ضد غزاة هون حوالى 1274 م بدأ جيش كوبلاى خان بالتسلق فوق و الحفر تحت و تحطيم الصور أو الحائط , و فى النهاية الخان ببساطة أعطى رشوة للبواب لفتح البوابات ! , و سواء هذا الحدث حدث أم لا , المغزى من القصة بأن الأشخاص هم أضعف مكون فى المنظمة التى برنامجها أمن المعلومات .

الإجراءات : مكون أخر يتم تجاهله فى نظم المعلومات , الإجراءات هى تعليمات مكتوبة لإنجاز مهمة معينة , عندما مستخدم غير مخول يتحصل على إجراءات منظمة , هذا يطرح تهديد لسلامة المعلومة .

الشبكات : هذا المكون خلق ليبى للحاجة إلى زيادة أمان الكمبيوتر و معلومات الشبكة , عندما أنظمة المعلومات تكون متصلة مع بعضها البعض فى شكل شبكات محلية , وهذه الشبكات متصلة مع شبكات أخرى على سبيل المثال شبكة الإنترنت , التحديات الجديدة للأمن تظهر بسرعة , التقنية الفيزيائية تمكن وظائف الشبكة لتصبح أكثر و أكثر قدرة للوصول إلى المنظامات من كل حجم , بتطبيق الأدوات التقليدية من الحماية الفيزيائية , مثل الأقفال و المفاتيح لتقييد للوصول إلى و التفاعل مع مكونات الهاردوير مازال مهم , لاكن عندما تكون أنظمة الكمبيوتر متصلة فقط هذا ليس كافياً إن الخطوات لتزويد أمن الشبكة تكون أساسية , كتنفيذ المنبه , و أنظمة التطفل لجعل مالكي النظام مدركين للتسويات المستمرة .

حماية المكونات :

أمن المعلومات و الأنظمة تتطلب أن يتم تامين و حماية كل المكونات من سوء الإستخدام و الإيذاء بواسطة المستخدمين الغير مخولين , إنه من المهم أن تفهم أن الكمبيوتر يمكن أن يكون إما منصة إنطلاق هجمات أو يتم الهجوم عليه , أيضاً يوجد نوعان من الهجمات , إما 1) هجمة مباشرة و هى أن الهاكر يستخدم حاسوبه الشخصى لإقتحام نظام و مصدره يكون من التهديد نفسه , 2) هجمة غير مباشرة و هى أن النظام يستخدم للهجوم على أنظمة أخرى و مصدره من نظام ,

فريق مشروع أمن المعلومات :

فريق مشروع أمن المعلومات يجب أن يحتوى على عدد من الأفراد الذين لديهم خبرة فى جانب واحد أو عدة جوانب من من المجالات الفنية وغير الفنية , العديد من المهارات بحاجة إلى إدارة و تنفيذ الأمن و أيضاً بحاجة إلى تصميمها , أعضاء من فريق مشروع أمن المعلومات يغطوا الأدوار التالية :

البطل : المسؤول التنفيذي الأول , الذى يروج للمشروع و يتأكد من دعمه مالياً و إدارياً , فى المستويات الأعلى من المنظمة .

رئيس الفريق : مدير المشروع , الذى قد يكون مدير خط الإدارات أو مدير وحدة الموظفين , الذى يفهم إدارة المشروع و إدارة شؤون الموظفين و أمن امعلومات و المتطلبات التقنية .

مطور سياسات الأمن : هم أشخاص يفهمون الثقافة التنظيمية , السياسات الحالية , و متطلبات للتطوير , و سياسات التنفيذ الناجح .

أخصائى تقييم المخاطر : هم أشخاص يفهمون تقنيات تقييم المخاطر المالية , قيمة الأصول التنظيمية , و طرق الأمن أو الحماية المستخدمة .

المتخصصين فى مجال الأمن : أخصائي مدرب ومدرب جيدًا في جميع جوانب أمن المعلومات من وجهة نظر فنية و غير فنية .

مدير نظم : أشخاص مع مسؤولية أولية لإدارة الأنظمة التى تضم المعلومات المستخدمة بواسطة المنظمة .

المستخدمين النهائيين : هؤلاء الذين يؤثر فيهم النظام الجديد بشكل مباشر , من الناحية المثالية , مجموعة مختارة من المستخدمين من مختلف الإدارات , و المستويات و درجات من المعرفة التقنية , تساعد الفريق فى التركيز على التطبيق من الضوابط الواقعية المطبقة فى طرق لا تعطل أنشطة العمل الأساسية التى يسعون إلى حمايتها .

الكاتب : أحمد مفتاح الأجنف .

المرجع

https://books.google.com.ly/books?id=gPonBssSm0kC&pg=PA8&dq=information+security&hl=en&sa=X&ved=0ahUKEwjXiObpyrzmAhVIUZoKHbknDlUQ6AEIJjAA#v=onepage&q=information%20security&f=false

السبت، 21 ديسمبر 2019

# مسابقة أفضل تدوينة

خطوات جمع المعلومات في عملية أختبار الاختراق

by Update - أب ديت on 7:24:00 م

هذه المقال وغيرها من المقالات تحت وسم "مسابقة أفضل تدوينة" تعبر عن أراء أصحابها

جمع المعلومات من أهم مراحل اختبار الاختراق

^_^ ان اول خطوة قبل الدخول في اختبار الاختراق هو جمع المعلومات عن الضحية ال الهدف الذي تريد اختراقه حيث ان هذه العملية تستغرق في بعض الاحيان اكثر من نصف الزمن الازم للاختراق . و فيما يلي بعض اهم الطرق للبحث عن المعلومات و بعض الخدع البسيطة التي لا اضن ان الكثير يعرفها :

^_^ جمع المعلومات عن الاشخاص : هذه العملية في بعض الاحيان تكون صعبة حسب مدى اخفاء الشخص لمعلوماته :

اول موقع هو موقع pipl حيث ان هذا الموقع سيقوم بالبحث في مواقع التواصل الاجتماعي و ياتي لك بالمايلات و رقم الهاتف الا انه يبقى موقع متواضع من حيث الامكانيات و كل ما يحتاجه لبدا عملية البحث ادخال Email الشخص او رقم هاتفه .

^_^ الموقع الثاني هو موقع mailtraking و وضيفته كالمقع السابق حيث يقوم بالانطلاق من الاسم او الامايل او رفم الهاتف و يبدا بالبحث في الشبكة و ميزة هذا الموقع انه يجلب ايضا التوقيت الذي كان الشخص نشيطا فيه على هذه الاحسابات التي جلبها .

^_^ هذه الدات تجمع المعلومات عن اي شيء يخطر على باك يجمع المعومات عن اسم الشركة او عنوان الايبي او url او اي شيء اخر تملكه و حقا يعد عملاق جمع المعلومات بلا منازع و هي ادات maltigo الغنية عن التعريف و التي تعمل على جميع توزيعات kali و التي سبق الحديث عنها في القناة على اليوتيب و هي ادات تعطيك جميع المعلومات و طبقتها شخصيا على موقع الجامعة التي ادرس فيها و قد جمعت معلومات مذهلة من اهمها عناوين الايبي و امايلات كل من العميد و نائبه و عدد هائل من الدكاترة .

^_^ بعد جمع المعلومات كلها يجب علينا البحث عن المنافذ المفتوحة في انضمة التشغيل و في الايبيهات و غيرها و احبذ استخدام ادات رائعة و هي ادات nmap التي تشتغل على انضمة kali حيث نقوم بكتابة الامر في موجه الاوامر و ستضهر جميع الخصائص الخاصة بالداة و للعثور عن المنافذ المنافذ المفتوحة نكتب الامر nmap -sS " ip adress or host name " -P

و ستقوم الادات بالعمل على تحليل جميع المنافذ المفتوحة .

^_^ حيلة رائعة قمت بها :

في احدى المرات قمت انا و احد اصدقائي بتحدي ايجاد الايبي الصحيح رغم استعمالنا لل VPN و قد قمت باختصار رابط لفيديو على اليوتوب في موقع Grabify ip logger و بعدما ان ارسلت لو الرابط المختصر بمجرد ضغطه عليه وصلني الايبي الخاص به و قمت بارسال المعلومات الخاصة به .

الاسم : جمال بوصوف

البلد : المغرب

الخميس، 22 أغسطس 2019

# HOF

Rights Manager Graph API Disclosure of business employee to non business employee

by Jafar Abu Nada on 6:23:00 ص

i found bug in Graph API on Facebook Rights Manager leads to the non-business employee to Disclosure of business employee

Summary:

Vulnerability Type: Identification / Privacy

Product Area: Pages
The malicious user can Disclosure of business employee to non business employee using Reference Files in Rights Manager

Description:

Facebook offers a Copyrighting Video manager for video content creators for pages on Facebook, Through which the creator can follow who copies their videos and republishes them without permission. More info : "https://rightsmanager.fb.com/"

When accepting your request to activate the tool on your page enter your page from "Business admin account" go to the link "https://web.facebook.com/YourPage/publishing_tools/?section=ALL_REFERENCE_FILES" then add Reference video, after add Reference file Look at the column "Date Added" You'll see that the column contains your account information.

Now if (Admin,Editor) page employee go to the link "https://web.facebook.com/YourPage/publishing_tools/?section=ALL_REFERENCE_FILES" you can identification business admin Just by looking at the "Date Added" column,

Impact:

Disclosure of business employee identity to non business employee.

Explain impact:

Business employee's identity is disclosed to a non-business page admin through the Rights Manager video_media_copyrights Graph API. Normally, business admins are hidden to non-business page users.

Setup:

use this link to learn how to add copyright manger in your page "https://rightsmanager.fb.com/"

Steps:

1. Create Page and add Editor to page employee.
2. Create business account.
3 Link the page with business manger.
4. Use this link to learn how to add copyright manger in your page "https://rightsmanager.fb.com/"
5. after accepting copyright manger in your page upload any video
6. Now from admin business account go to the link "https://web.facebook.com/YourPage/publishing_tools /?section=ALL_REFERENCE_FILES"
7. Click in "Add Files" Then add video to Reference Files.
8. Now if Admin or Editor in page employee go to the link "https://web.facebook.com/YourPage/publishing_tools/?section=ALL_REFERENCE_FILES" can detect business admin

PoC Get Request :

GET /v2.6/YourPage/video_media_copyrights?access_token=Editor_Token&fields=["creator"] HTTP/1.1
Host: graph.facebook.com

Response:

{

"data": [

{

"creator": {

"name": "Jafar Abo Nada",

"id": "100002271816418"

"monitoring_status": "COPYRIGHTED",

"id": "2511847998861026",

"reference_owner_id": "936928013019707"

Follow me on Twitter @jafar_abu_nada & Facebook Jafar Abo Nada

Timeline:

Jul-8-2019: Report sent

.Jul-12-2019: Facebook Reproduce Report

Jul-15-2019: Confirmation of submission by Facebook

Aug-5-2019: Confirmation of patch by Facebook

Aug-22-2019: Bounty awarded by Facebook

Jafar Abu Nada

I am a specialist in information security and security researcher, especially in the field of developing defense systems for wireless networks. In addition specializes in the web app security and listed in the Hall of Fame in many sites of international companies such as: ("Facebook, Google, Twitter, IBM, Sony, AT&T,... etc) , And some government institutions such as (US Department of Defense, and the US Air Force).

الأحد، 17 يونيو 2018

# Authorization

الفرق بين الـ Authentication و الـ Authorization

by Jafar Abu Nada on 5:31:00 م

كثير بنتلكم في مواضيع الامن المعلوماتي او حتى مواضيع البرمجة عن مصطلحين مهمات جدا جدا جدا وبدون هالمفهومين كان احنا بنشوف عالم رقمي متفلت تماما ما في أي ضوابط او شروط على المعلومات والكل بقدر يوصل لمعلومات الثاني بكل سهولة وبساطه من خلال البحث عنها فقط، تخيل انو "أحمد" دخل على الفيسبوك بالايميل والباسورد الخاصين فيه وقدر يقرأ الرسائل الخاصة بـ "أماني"، هالامر أكيد راح يكون مزعج، الاثنين معهم الصلاحيات الوصول لفيس بوك وأستخدام ميزة الرسائل وقرائتها ولاكن في شيء اضافي في خلفية النظام عزل حساب "احمد" عن حساب "أماني"،الاشي الي بتكلم عنه والي عمل عزل هم مصطلحين الـ "Authentication"  و الـ "Authorization" .. للوهلة الاولى ولو اتروح اترجم هالمصطلحين راح تشوف انهم بعطو نفس المعنى تقريبا، وبالفعل الامر كذلك همه عندهم نفس الفكرة ولاكن اماكن ضبط ووضع كل مصطلح فيهم مختلف عن الاخر يعني اماكن طلب "Authentication" غير اماكن طلب "Authorization" 

بس للأسف هدول المفهومين لغاية اليوم ولحظه ما زال في صعوبة بضبطهم في بعض الاحيان بسبب انهم متشابهات في المهام ولاكن يختلف مكان ضبطهم وترتيبهم، وهالامر برجع لثلاث أسباب :

الاول: عدم فهم هدول المصطلحين.

الثاني: ضبطهم ولاكن بشكل خاطئ.

الثالث: والي هو الاهم والاكثر انتشار تداخل وتعقيد تطبيق الويب.

لهيك في البدايه خلينا نفهم المصطلحين:

الـ Authentication هي مرحلة اثبات انك المستخدم  X لحتى اروح على قاعدة البيانات واجبلك معلوماتك واستعرضلك ياها ولحتى أتاكد انو انت X بطلب منك الباسورد تبعك او بمعنى اخر تعمل مصادقة،  بدون كلكعات تقنية كثيره وبشكل عام هاي بتمثل التصريح الاولي الي بسمحلك تستخدم اشي معين او تدخل لاشي معين يعني لحتى تثبت انو عندك صلاحية لدخول الاولي لنظام معين لازم يكون عندك Authentication  ... مثلا لما بدك تدخل على منشئة حكومية بتمرر بطاقة على البوابة لحتى  تدخل هذا بزبط الي اسمو Authentication وضربت هالمثال بشكل متعمد لحتى اكمل عليه .. تمام بعد ما دخلت على المنشئه الحكومية انا بكون عندي تخويلات معينه وشغل معين داخل هاي المشنئة مثلا مسموحلي ادخل مكتب رقم 13 وممنوع ادخل مكتب المدير رقم 1 هاي الامور تسمى Authorization يعني انا شو صلاحياتي داخل النظام بغض النظر كان نظام حاسوب او نظام غير حاسوبي باختصاار بدخل الموظف على المبنى ببطاقة وبدخل على مكتبة من خلال ادخال كلمة سر لباب المكتب او بصمة اصبع او او او ... فهيك انا تحكمت بنشاطة داخل المنشئه .. تخيل انو هالموظف قدر يدخل على غرفة  زميلة او غرفة المدير هون راح نكون نحكي عن تجاوز الصلاحيات او التخويلات، وبصير من الممكن للموظف A يعمل سلوكيات بصفة الموظف B ويتم اتهام الموظف B لانو هاي الصلاحيات او التخويلات كانت في الاساس من صلاحيات وتخويلات الموظف B .. بطبع هاي مشكلة كبيرة بتم فيها التنكر بصفة  شخص معين.

في النظام الرقمي بتم ضبط هاي الصلاحيات ايضا يعني بس تدخل بقلك حط باسورد واسم مستخدم لحتى تثبت انو عندك صلاحية تدخل لنظام مثل بطاقة الموظف .. ولما تدخل على الموقع وبدك مثلا تنشر منشور بتلاقي انو المنشور بنزل بأسمك، وما حدا غيرك بقدر يعدل او يحذف المنشور لئنوا التخويلات الخاصة بالمنشور هاد ملكك انت ومن مهامك انت.

المشكلة الثانية الي هي ضبطهم بشكل خاطئ او ترتيب خاطئ  يعني بكون في ضبط لتخويلات الداخلية بس بتلاقي مثلا انو القيمة الخاصه بتخويل سهلة التخمين وبتوضع بنمط معين مش بشكل عشوائي هالاشي بتيح للمهاجم انو يوصل لتخويلات المستخدمين الاخرين مثلا بعد ما دخلت المنشئه لازم تحط رمز من اربع ارقام لتدخل على مكتبك سهل جدا حدا يراقبك ويوخد الرقم او يخمنو ويدخل على مكتبك او مثلا يكون رمز التخويل هوه رقمك الوظيفي الي ممكن في كثير من الناس بتعرفو وهالاشياء والمشاكل برضو بتم بالعالم الرقمي يعني التخويل الداخلي بكون بناء على الـ ID  الخاص باليوز بدون الاعتماد على اي قيم ثانية يعني بكوون ادمن بمجموعه وبوصلني طلب من عضو تخيل انو شخص يوخد الــ ID تبع الادمن ويبعت request موافقة للفيس ويتم الموافقه بدون ما يثبت فعليا انو الادمن الحقيقي هو الي وافق  "هالاشي صار فعليا وفي ثغره بلغت عنها من فتره من نفس هاي المشكلة في الفيسبوك بنشر تفاصيلها بس يتم الاصلاح".

التعقيد هو شبيه تقريبا بالمشكلة الثانية مموقع مثل فيسبوك تويتر جوجل هي مواقع ضخمة وبتوفير ميزات كثيره وفيها تفاعل كثير بين اليوزر والسيرفر ملايين الطلبات بتمر يوميا بشبكات فيس بوك كلها بتم فرض تخويلات عليها وبعضها بتم نسيان فرض هاي التخويلات بسبب التشابك والتعقيد زي ما حكيت لانو كل طلب لازم تبعتو لازم يكون عليه تخويل يثبت انو عندك تخويل تتشوف هاي المعلومه او تسوي هالـ action 

أبرز المشاكل الخاصة Authorization بنشوفها بكثرة بالـ API لانو طريقة استلام المدخلات من المستخدم بتختلف شوي لهيك بعتمد المطور على اساس انو كان فارض تخويلات على تطبيق الويب انو هاي التخويلات راح تفرض بشكل تلقائي على تطبيق الهاتف وهالاشي غلط 

ملاحظه مهمة انا ما بحكي عن الصلاحييات الي بتم فرضها لكل مستخدم على قاعدة البيانات بحكي عن مشكلة مختلفه وفي فرق بين المشكلتين.

بلخص كل اشي حكيتو هون بالمثال الاتي:

موقع الجامعه:

انت بتقدر تدخل عليه وتسجل دخول وتشوف جدولك او علاماتك وتنزل مواد

المدرس بقدر يدخل على الموقع ويرفع علامات وغياب ومهام لطلاب

انت والمدرس سجلتو دخول وهالاشي اسمو Authentication يعني معكم الصلاحية الوصول لنظام

انت عندك تخويل لتعرض الجدول والعلامات وتنزل مواد وهالاشي اسمو Authorization وهاي بتكون Authorization التخويلات الخاصة بطالب والمدرس عندو تخويل يرفع علامات وغياب ومهام لطلاب وهالاشي هو الـ Authorization  الخاصة بالمعلم .. الـ  Authorization  تبعت المعلم والطالب ترسل لقاعدة البيانات مع الـ ID اذا كانت صح قاعدة البيانات بترجع الصفحة المناسبة او بتنفذ التعديل اذا كان غلط بتحكيلك انت ما عندك Authorization  عشان تسوي هسلوك

خلاصة الخلاصة الـ Authentication دخول الى الموقع X

الـ Authorization هل مسموحلك تعمل النشاط X ?

Jafar Abu Nada

الثلاثاء، 12 يونيو 2018

# kali linux

دورة أختبار الاختراق الاخلاقي

by Jafar Abu Nada on 4:52:00 م

نعلن في UpdateLap عن بدء دورة أختبار الأختراق الممنهج والتي سنتطرق فيها الى التعرف على توزعية أختبار الاختراق الشهيره Kali Linux وتوظيف الادوات المتواجدة فيها لمنهجة واتمتتة عملية أختبار الاختراق من البدء في جمع المعلومات والانتهاء بعملية حذف الأثار الرقمية للهجوم.

وستقسم الدورة الى عدة اقسام رئيسية وهي كالاتي:

1- التعرف على المفاهيم الاساسية للاختراق والمخترقين.

سنتحدث في هذه المرحلة عن المخترقين وانواعهم وتصنيف كل نوع منهم حسب الاهداف التي يسعى لها كل نوع ونوضح بعض الامور المتداخله بخصوص هذا الامر، وسنتكلم ايضا عن الجهات التي تدعم كل نوع لتحقيق أهدافه.

2- التعرف على اجزاء النظم الحاسوبية التي يتم أستهدافها وطرق مهاجمتها.

سنتحدث في هذه المرحلة عن أمور هامة جدا يغفل عنها الكثير وفهمها ضروري جدا جدا ففهم اجزاء نظام الحاسوب ببيئة العمل يزيد لنا من فرصة اختيار الهجوم المناسب بل ويزيد لنا من طرق الهجوم ويزيد من احتمالات نجاح الهجوم، لذلك سنتعرف في هذه المرحلة على نظام الحاسوب واجزاء هذا النظام وكيف يتم استهداف كل جزء منه.

3- التعرف على منهجيات جمع المعلومات " information gathering " او ما تسمى بـ reconnaissance او Footprinting بأنواعها الكثير واشهرها الـ OSINT و الـ SIGINT والتعرف على الشكلين الرئسيين بجمع المعلومات وهما الـ " active " و الـ " passive " .

سنتحدث طويلا في هذا الجزء عن جمع المعلومات وطرق تحصيل المعلومات وسنتكلم بشكل بسيط عن اخفاء الاثار والبحث عن المعلومات بعيدا عن انظار مدراء الانظمة، وسنقوم بجمع قدر كبير من المعلومات بشكل يدوي لفهم طبيعة هذه العملية ومن ثم سننتقل لجمع المعلومات بشكل موسع من خلال استخدام بعض الادوات المخصصة لذلك وأشهرها العملاق Maltego

4- التعرف على طرق عمل فحص او Scanning لشبكات ومنهجة عملية الفحص من خلال استخدام اجزائها الثلاث network scan, port scan, vulnerability scan.

في هذه المرحلة المهمة جدا من عملية اختبار الاختراق نبدء بأستخدام وتوظيف المعلومات التي جمعناها في مرحلة جمع المعلومات ونبدء بترشيح وفلترة المعلومات للبدء بعملية الفحص لشبكات وتخطيط الشبكة ومن بعدها اختيار الاهداف ومن بعدها فحص الاهداف التي تم تحديدها وفحص منافذها ومن بعدها فحص الخدمات التي تعمل على هذه المنافذ وفحص ثغراتها، تحتاج هذه المرحلة لصبر طويل ودقة عالية وتركيز على اختيار الهدف.

5-التعرف على الخطوة الثالثة وهي Gaining Access او الحصول على الـ Exploit بما يعني اختراق أو استغلال الضعف الامني وهي هدف عملية اختبار الاختراق.

تعتمد هذه الخطوه بشكل كبير على البنية التحتية للهدف فأذا كان الهدف يمتلك بنيه تحتيه ضعيفه تزيد أحتمالية أختراق الهدف بشكل كبير، أما اذا كان الهدف يمتلك بنيه جيده ومحدثه بشكل دائم بنحن نتكلم هنا عن كفائة ومهارات المخترق التي توجب عليه الان أبتكار الاساليب الخاصه او البحث عن الثغرات الخاصه واكتشاف ما يسمى بـ Zero-day او ثغرات اليوم الصفر.

6- من بعدها التعرف على طرق تثبيت الاختراق والحفاظ على الوصول لاجهزة الضحايا "Maintaining Access

حيث يتم التركيز في هذه المرحلة على تثبيت الاختراق وضمان الوصول لنظام في اي وقت من خلال تثبيت بعض البرمجيات التي ستسمح لنا بتواصل مع النظام وهناك عدة طرق لأتمام هذا الامر

7- في نهاية عملية الاختراق نتعرف على الطرق المستخدمة لتغطية الاثار الرقمية للمهاجم "Covering Tracks"

تعتبر من أعقد العمليات تتطلب فهم كبير لنظام التشغيل المستهدف لكي تعلم كيف يتعامل مع العمليات والتحركات في النظام وكيف يسجلها لتقوم انت بحذفها.

أنواع الهجمات التي سيتم التكلم عنها والتدرب عليها كالاتي:

مهاجمة المواقع والسيرفرات

مهاجمة أنظمة التشغيل :#android #Linux #Windows وأختراقها بالكامل من خلال محاكات أحدث الثغرات المسربة

مهاجمة الشبكات اللاسلكية واختراقها بشتى أنواع التشفير بعد التعرف على كل تشفير على حدا وفهم طريقة عمل التشفير وعيوبة والمشاركة بهجوم "Wardriving" المفضل لدى المخترقين لجمع المعلومات عن الشبكات وتنفيذ هجوم "Jamming" على الشبكات، وعمل هجمات احتياليه، وسنقوم بمشاركتكم أداه كشف التسلل والحماية من الاختراق التي تم تطويرها من قبل Jafar Abo Nada مقدم الدورة ومؤسس Update - اب ديت تعلم أساليب الرصد والحماية من خلال أنشاء مصائد للمخترقين ومراقبة طرق الهجوم والاهداف من وراء الاختراق

عمل محاكاه لاختراق الانظمة الصناعية من المفاعلات النووية ومحطات توليد الكهرباء او محطات تحلية المياة

التعرف على بعض أساليب التحقيق الجنائي الرقمي وتحليل بعض البرمجيات الخبيثة.

بالاضافة الى ذلك تعلم طرق أختراق المواقع من خلال ثغرات المواقع الشهيرة ومعرفة سبب حدوث الثغرات وطريقة التعامل معها واستغلالها والتبليغ عنها، وعدة مواضيع أخرى سيتم التطرق لها وشرحها

لتعرف على تفاصيل الاشتراك الرجاء أرسال رسالة الى العنوان الاتي :

UpdateLap@protonmail.ch

Jafar Abu Nada

الجمعة، 13 أبريل 2018

# تقارير و دراسات

عملية البرلمان - Operation Parliament

by Jafar Abu Nada on 7:21:00 م

عملية البرلمان - Operation Parliament

عمليات تصيد وأختراق ممنهجمة ذات طابع سياسي تستهدف كيانات رفيعة المستوى مثل البرلمانات ومجالس الشيوخ ومكاتب الدولة العليا والمسؤولين وعلماء وسياسيين والوكالات العسكرية والاستخباراتية والوزارات ووسائل الإعلام ومراكز الأبحاث واللجان الانتخابية والشركات التجارية الكبرى وغيرها أستهدف المهاجمين قرابة الـ 28 دولة حول العالم وتمركزت عملية الاستهداف في الشرق الاوسط وبالأخص "دولة فلسطين" بهدف الوصول إلى الهيئات التشريعية والتنفيذية والقضائية العليا في جميع أنحاء العالم.

وتم رصد الضحايا في فلسطين ومصر والأردن والإمارات العربية المتحدة والمملكة العربية السعودية وجيبوتي وقطر ولبنان وتشيلي والصومال والعراق والمغرب وسوريا والهند وإيران وكندا والولايات المتحدة الأمريكية والمملكة المتحدة وألمانيا وفي الاراضي التابعة للكيان الصهيوني وأفغانستان وصربيا وروسيا وعمان والكويت وكوريا الجنوبية والدنمارك.

تختلف الاجهزة التي أستهدفت من أنظمة سطح المكتب أو الكمبيوتر المحمول الشخصية إلى خوادم كبيرة بأدوار وحدة تحكم أو ما شابه ذلك. وتختلف طبيعة الوزارات المستهدفة ، بما في ذلك المسؤولين عن الاتصالات، والصحة، والطاقة، والعدالة، والمالية. وعلى ما يبدو أن المهاجمين على علم جيد باهدافهم ولديهم قواعد بيانات سابقة عن ضحاياهم وخبراتهم ومهاراتهم السيبرانية لذلك تم أستهداف الاضعف منهم.

ومن خلال التقرير على ما يبدو أن عملية الاستهداف كانت تتمركز بشكل اكبر في قطاع غزة بسبب أن الوثائق التي أستخدمت للأحتيال تتمحور بأمور حول القطاع

Abstract #Malware

كان هدف البرمجية االخبيثة الوصول الى #CMD & #PowerShell لتنفيذ أوامر عن بعد على أجهزة الضحايا وارسال المعلومات لـ C&C وكانت عملية أرسال الأوامر من و الى الـ C&C الى أجهزة الـ #Victims تتم بشكل مشفر وتم تشفير أجزاء البرمجية الخبيثة لمنع تعقبها لأطول فتره ممكنة

Technical details

شوهدت البرمجيات الخبيثة لأول مرة محملة بـ VMProtect؛ عند فك الحزم للعينه لم تظهر أي أوجه تشابه مع البرامج الضارة المعروفة سابقًا.

تم تشفير جميع القيم والإعدادات.ومن خلال تحليل السلوك تم تحديد وظيفة تتيح اتصال #HTTP مع خادم C&C وتستدعي "processcreate"

تم تشفير ملفات التكوين باستخدام ترميز #3DES و #Base64. يتم أيضًا تشفير البيانات المرسلة إلى خادم C & C باستخدام 3DES و Base64.

تبدأ البرامج الضارة بالاتصال بخادم C & C عن طريق إرسال معلومات أساسية حول الجهاز المصاب. ثم يقوم الخادم C & C بالرد

توفر البرمجيات الخبيثة بشكل أساسي محطة CMD / PowerShell لتحكم عن بعد للمهاجمين ، مما يمكنهم من تنفيذ البرامج

قائمة جهات الاتصال من العاملين في وسائل الإعلام

ملف تصيد يخص مشكلة الرواتب في قطاع غزة
تقرير توضيح (عن مرتبات موظفي غزة

ملف تصيد

العلاقات بين دولة الإمارات العربية المتحدة والأردن ، والأثر الناجم عن عدم مقاطعة قطر

درس سابق تكلمت فية عن الانظمة العربية الضعيفة أمنيا وحذرت من خطر هذا التهاون في المستقبل .....!

نفس الدرس تمت مشاركتة على حسابي الشخصي في فيسبوك لمشاركة آرائكم حول الموضوع ..!!

Jafar Abu Nada

الاثنين، 9 أبريل 2018

# حرب الالكترونية

جواسيس وعملاء الاستخبارات في جيوبكم

by Jafar Abu Nada on 1:19:00 م

منذ قرابة العامين واكثر ونحن نحذر من خطر مواقع التواصل الاجتماعي وشركات الأتصالات وجمع المعلومات وأرشفتها وتكلمت عن حقوقك وواجباتك على الانترنت

FEB / 6 / 2016

وتكلمت بالأخص عن #Facebook وحذرنا من خطر جمع المعلومات وتحليلها وتمريرها لأطراف ثالثة واستخدامها أستخباراتيا أو عسكريا أو سياسيا، قبل أن يعرف العالم بأمر تسريب شركة الاستشارات السياسية 'البريطانية' "كامبردج أناليتيكا" و" دونالد ترامب "

June / 6 / 2017

في وقت كان الجميع يستهجن فكرة الامر وضخامة المشروع ولم يعي العالم سوا مؤخرا خطورة الامر الى عندما حللت #Cambridge_Analytica معلومات قرابة الـ 87 مليون مستخدم وأستخدمت لتأثير على الانتخابات الامريكية لصالح " Donald Trump " وغسلت معلوماتهم كما تغسل الاموال في صالات القمار وكنت تكلمت عن هذا الامر بالاخص بحلقة منفصله قبل قرابة العامين من الان.

Aug / 6 / 2016

وتكلمت عن أن شركة فيسبوك تسعى للهيمنة على سوق المعلومات عندما أستحوذت على #Whatsapp\ بصفقة قيمتها 19 مليار دولار هزت سوق " Silicon_Valley# " في حين أن التطبيق لا يستحق كل هذا المبلغ بينما الذي يستحق ذلك هو قاعدة البيانات الضخمة التي يحتويها التطبيق مما أثار تخوف مجتمع أمن المعلومات من تجسس فيسبوك على مراسلات مستخدمي واتساب أيضا، ولتفادي ذلك ولكسب الثقه صرحت الشركة أنها قامت بتشفير التطبيق بتشفير #E2EE\ بحيث أن الشركة نفسها لن تستطيع مشاهدة رسائل المستخدمين أو قرائتها او الاستفادة منها تجاريا !!، الامر الذي بعث السرور على مجتمع أمن المعلومات، ولكن لم أكن أحد الذين أقتنعو بالامر وقلت ان الامر ما هو إلا المزيد من كذب فيسبوك وان واتساب ستتلاعب بمعايير التشفير لان الهدف الاساسي من شراء التطبيق تحليل مراسلات المستخدمين

APR / 7 / 2016

وبعد هذا المقطع أنهالت علينا الشتائم والانتقادات من كل جانب .. وما ان مرت "ثمانية أشهر" وإذ بالخبير الأمني " #Tobias_Boelter -توبياس بولتر" يفتح النار على شركة فيسبوك ويكتشف لصحيفة "The Guardian" أن أمر التشفير في واتساب ما هو إلا أحد هرطقات فيسبوك وانها تلاعبت بمعايير التشفير وتستطيع فتح أبواب خلفية للحكومات لفك تشفيرالرسائل وتحليلها متى أرادت ذلك، "وأصبحو من بعد شتائمهم نادمين"

JAN / 14 / 2017

وعندما هيمن فيسبوك على #Instagram بمبلغ مليار دولار تكلمت عن سبب شراء Instagram بمبلغ مليار لتطبيق عمره عامين وعدد موظفية لا يتجاوز الـ 9 موظفين وسبب شراء التطبيق بهذا المبلغ أن Facebook أشترت المشروع الاسرائيلي FACE[.]COM بمبلغ مجهول قدر بين الـ 55-60 مليون دولار المشروع الذي يهدف الى عمل Facial Recognition أو تحليل الوجوة وتحديد الاشخاص من خلال وجوههم من خلال ربط المشروع مع مواقع التواصل الاجتماعي فيسبوك وانستقرام وتكلمت أيضا ان خطر مشاريع مثل هذه على المستوى العسكري وكم سيكون الامر رائع لشركات العسكرية الخاصة " #PMC " فعلى سبيل المثال تنفيذ الاغتيالات من خلال الطائرات بدون طيار، كل هذا دون التكلم بشكل كبير عن كم هو خطيرعلى جانب الخصوصية.

Sep/11/2017

وكالعاده ما أن سجلت المقطع وأصبح متاحا على اليوتيوب حتى بدأ الجهال يشتمون ويهرطقون واكثر ما أثار أهتمامهم أن هذه التنقية ذكرت في فيلم ومنهم من ذهب لأبعد من ذلك فقد أصبحت مرتد وكافر لأنني قمت بكتابة أسم الفيديو "مشروع التجسس عين الله" .. ولكن بعد شهرين تماما ظهر البروفيسور #Stuart_Russell الخبير في الـ artificial intelligence AI من جامعة #Californiaوأستعرض نموذج لطائرة بدون طيار تنفذ أغتيالات من خلال تحليل الوجوه وزرع رصاصة داخل رأس الضحية، في حينها أصبحت اشاهد من كان يشتم يشارك هذا المقطع متفاخرا بتقدم "الفكري لهذه الدول" ونسي انه قبل عدة اشهر كان ساخطا على مقطع لشخص من أبناء أمته ودينة.

NOV/21/2017

وبعد Whatsapp وInstagram و FACE[.]COM حاول جاهدا شراء Snapchat ولكن الشركة رفضت عدة كل عروض فيسبوك وبعدما رفضت الاخيرة ان تقوم ببيع التطبيق حاولت فيسبوك أقصاء التطبيق من المنافسة في "سوق المعلومات" التي تسعى للأستحواذ عليه بشكل كامل من خلال نسخ ميزات تطبيق سناب شات ووضعها في تطبيقها Instagram

MAR / 20 / 2017

وتكلمت ان السبب وراء كل هذا الطمع للمعلومات أن شركة فيسبوك تعمد لعمل بروفايل خاص لكل شخص تخزن فيه كل معلوماته ومراقبة تحركاته وتحديد مكانة في اي مكان في العالم خلال دقائق وربط كل هذه المنصات مع بعضها البعض للوصول لأكبر قاعدة بيانات عرفها التاريخ عن الاشخاص وجوههم ومعلوماتهم فكرهم وفلسفتهم ومنهجياتهم في الحياه لتحليلها من خلال الذكاء الاصطناعي وصياغتها على شكل تقارير تمرر لـ IN-Q-TEL ومن ثم الى الـ CIA ومن بعدها لكبارعلماء النفس في وكالة DARPA وتنتهي بأيدي المستشارين ومتخذي القرار في البيت الابيض ليقررو أن ينتهكو حرمة شعب أو التدخل في شؤونه والتلاعب برأيه وفكره وقرارت مما يجعل أمر أمتهان كرامة الشعوب ممكنا وسهلا للأدارة الامريكية وكل هذا خطط له منذ بداية عام 1999 وسردنا قصة توريط منصات التواصل العالمية في هذا المشروع.

NOV / 16 / 2017

وما زال هناك من ياتي ويعتمر قبعة "الدياثة الرقمية" ويقول لك "ليتجسسو" لا أملك شيء مهم معتقدا أن فكرة وفلسفته في الحياة هي شيء ملك له وحده وينسى أن فكرة جزء من فكر الامه، وعلى هذا الاساس تحركت دول عملاقة مثل الصين وأنتشلت نفسها وشعبها من غبائهم وتهورهم وقامت بفرض انظمة عزل ورقابة لدرجة أن الصين الان تمتلك تقريبا شبكة انترنت خاصة بها وتكلمت عن الاسباب التي دعت الصين لذلك

Feb / 2 / 2017

ولكن المضحك الان ما ان حدث امر تسريب بيانات شركة الاستشارات السياسية "كامبردج أناليتيكا" مؤخرا حتى بدأت القنوات التي لا تهتم إلا برقص "صافيناز" فقط أصبحت تتكلم وتهرطق عن تحليل البيانات وانهم "كانو يعلمون بالامر" وأصبح من كان جل أهتماهم خصر راقصة "الامن المعلوماتي" ف سبحان مغير الاحوال الاحوال ورب ضارة نافعة