الجمعة، 14 مايو 2021

ادوات لتجاوز أنظمة الرقابة في مواقع التواصل الاجتماعي

by on 3:11:00 م


عندما يتعلق الامر بالاحتجاجات الرقمية دائما الجمهور يواجه امرين. تعصب وعنجهية مواقع التواصل الاجتماعي من جهة، والقوى الاقتصاديه\السياسة الضاغطه على هاي المواقع. فيسبوك مثلا بعيدا عن السلوك الخطئ لبعض المستخدمين بتقوم بحذف عدد هائل من الحسابات والمنشورات والتعليقات المساندة للقضية الفِلسطِينِيَّة. واضافة الى ذلك خنوعها لمكتب المدعي العام الإِسرائِيلِيّ للطبات ازالة المحتوى.

لضمان استمرار حملات الدعم صار من الواجب على المستخدمين محاولة خداع انظمة التحقق الي بتستخدمها هاي المواقع. لذلك في الامس انشأت عدد من الحسابات وقمت بتجربة طرق لتجاوز انظمة التحقق وحاولت اجمع اكبر عدد ممكن من الطرق الي راح تسمحلك تخدع هاي الانظمة وتتجاوز فلاترها وراح ارفقها "جزء" منها في هذا المنشور.


1. أدوات تتبع المحتوى بتشتغل على عملية التحقق بالاعتماد على هيكل الكلمة، كل كلمة بتقوم بكتابها بالمشنور بتم تحويلها او "ترميزها" بشكل مفهوم بنسبة للخوادم او أدوات الفحص. يعني لو كتبت "فلسطِين" وهاي الكلمة كانت محظورة بنسبة للفلتر راح يقوم بحجبها. بينما لو قمت بتشكيل هاي الكلمة راح يختلف الترميز تبعها بالكامل بنسبة للفلتر. مثال كلمة فلَسطين بدون تشكيل مع كلمة فِلَسْطِين بتشكيل.

فلَسطين = %D9%81%D9%84%D8%B3%D8%B7%D9%8A%D9%86
فِلَسْطِين = %D9%81%D9%90%D9%84%D9%8E%D8%B3%D9%92%D8%B7%D9%90%D9%8A%D9%86

قمت بالامس بكتابة الكود التالي لمساعدتك على تشكيل الاحرف بشكل سريع كل ما عليك تكتب المنشور الخاص فيك في الحقل والضغط على كلمة تشكيل


 


2. كثير من الناس صارت عم تستخدم اسلوب تقطيع الكلمات وهذا اسلوب ناجح ايضا مثال "فلسط،ين"


3. وحدة من الامور الي جربتها استخدام اشكال مختلفه من الخط العربي مثلا الخط الكوفي او الديواني .. ألخ.


4. كثير ناس تم حذف منشوراتها لما كانت تستخدم hashtags معين. والـ hashtags فعليا ما بتقدر تقطعو بأي شكل. لكن الـ hashtags بنهاية ينطبق عليه المفاهيم الي تنطق على الروابط. لهيك اذا خذني على قد عقلي ومع الهاشتاق استخدم الـ null value على الشكل التالي %00 يعني بالمحصلة hashtags هيك يكون شكله #%00GazaUnderAttack بهاي الحالة الـ URL Schema راح تتجاهل قيمة %00 ولكن في عملية التحقق راح يكون الـ hashtags مختلف وما رح ينحجب. "طبعا في اكثر من طريقة ولكن ما رح انزلهم مره وحده بنزل كل فتره طريقة ثانية ان شاء الله"


5.  

الأربعاء، 24 فبراير 2021

السبت، 6 فبراير 2021

الثغرات الامنية في كبريات الشركات هل هي أخطاء تطوير أم كما يقال "باب النجار مخلع"

by on 7:49:00 م


تقول Google انه من السهل جدا على المخترقين العثور على ثغرات امنية جديدة ،وذلك لان المخترقين غالبا ما يستغلون نقاط الضعف نفسها للبرامج مرارا وتكرارا لمعرفتهم بان الشركات غالبا ما تفوت نقاط الضعف تلك .

في ديسمبر 2018 اكتشفت مجموعة من الباحثيين الامنيين في Google مجموعة من المخترقين الذين يوجهون انظارهم نحو مايكروسوفت انترنت اكسبلورر، على الرغم من انه تم ايقاف التطوير الجديد قبل عامين الا انه لمن الشائع انك اذا تمكنت من العثور على طريقه لاختراقه،فقد عثرت على باب مفتوح محتمل لاختراق المليارات من اجهزة الكمبيوتر.

كان المخترقون يبحثون عن عيوب لم تكن معروفة من قبل، والمعروفة باسم نقاط الضعف يوم الصفر :-(وهي الثغرات التي يكتشفها المخترقون دون معرفه مالك النظام بها ).

وبعد وقت قصير من رصدها، رأى الباحثون استغلال واحد يجري استخدامه بشكل واسع، فقامت مايكروسوفت بإصلاح هذا الخلل الامني ،و في سبتمبر 2019 ، تم العثور على ثغرة أمنية أخرى مماثلة يتم استغلالها من قبل نفس مجموعة المخترقين .


أضافت هذه المجموعة المزيد من الاكتشافات من الثغرات الامنية في نوفمبر 2019، يناير 2020، و أبريل 2020 اي ما يصل إلى خمس ثغرات امنية على الأقل من تصنيف اليوم الصفر.

أصدرت Microsoft تحديثات أمنية متعددة:

فشل بعضها في إصلاح الثغرة المستهدفة بالفعل ، بينما طلب البعض الآخر تغييرات طفيفة فقط تتطلب سطرًا أو سطرين فقط لتغيير رمز المخترق لجعل الاستغلال يعمل مرة أخرى.

"بمجرد أن تفهم واحدة فقط من تلك الثغرات الامنية ، يمكنك بعد ذلك تغيير بضعة أسطر ثم تستمر في العمل وانتاج المزيد من ثغرات اليوم الصفر."

يمثل هذا التنافس الشرس بين المتسللين والشركات السبب الرئيسي للمشكلة في مجال الأمن السيبراني ، وفقًا لبحث جديد أجرته Maddie Stone، باحثة أمنية في Google : من السهل جدًا على المتسللين الاستمرار في استغلال ثغرات الـ 0-Day الخبيثة لأن الشركات لا تقوم بعمل جيد بشكل دائم في اغلاق العيوب والثغرات الامنية .

البحث الذي أجرته Stone، التي هي عضو من الفريق الامني ل Google المعروف باسم Zero Project ، يركز الضوء على أمثلة متعددة على ذلك الاداء، بما في ذلك المشاكل التي واجهتها Google نفسها مع متصفح Chrome الشهير.

وقالت Stone يوم الثلاثاء في المؤتمر الأمني Enigma: 

"ما رأيناه من تخفيضات في جميع أنحاء الصناعة : بقع غير مكتملة تسهل على المهاجمين استغلال المستخدمين في ثغرات الـ 0-Day".  المهاجمين لا يحتاجون الوصول إلى جميع التعليمات البرمجية الجديدة ، أو تطوير استغلال جذرية الجديدة ، والنظر في التعليمات البرمجية التي لم يتم بحثها من قبل. من خلال سوء التطوير نحن نسمح للمهاجمين بإعادة استخدام الكثير من نقاط الضعف المختلفة التي كنا نعرف عنها سابقًا.

يعمل Project Zero داخل Google كفريق فريد ومثير للجدل في بعض الأحيان، ويُكرس بالكامل لصيد الثغرات الامنية من تصنيف 0-day. ووجود هذه الثغرات الامنية سبب في مطمع القراصنة من جميع انحاء العالم، وأكثر قيمة من أي وقت مضى - ليس بالضرورة لأنها تزداد صعوبة في التطوير، ولكن لأنه، في عالمنا hyperconnected، انهم الأكثر قوة.

على مدى فترة 6 سنوات، قام فريق Google بتتبع أكثر من 150 خطأ رئيسيًا من نوع 0-day، وفي عام 2020 وثق فريق ستون 24 ثغره من نوع 0-day تم استغلالها - ربعها مشابه للغاية لنقاط الضعف التي تم الكشف عنها سابقًا.

تم تصحيح ثلاثة منها بشكل غير كامل ، مما يعني أنه استغرق بعض التعديلات على رمز القراصنة لمواصلة العمل ،وقالت Stone : 
"ان العديد من هذه الهجمات تنطوي على أخطاء أساسية ،وهي ليست صعبة بالنسبة للقراصنة بمجرد أن تفهم واحدة من تلك الأخطاء، يمكنك بعد ذلك تغيير بضعة أسطر ثم تستمر في العمل صفر أيام."

ولكن السؤال الذي يتردد في ذهن الجميع لماذا لم يتم إصلاحها؟

معظم فرق الأمن العاملة في شركات البرمجيات لديها وقت وموارد محدودة، كما تقترح - وإذا كانت أولوياتها وحوافزها معيبة، فإنها تتحقق فقط من أنها أصلحت الضعف المحدد للغاية أمامها بدلاً من معالجة المشاكل الأكبر من الجذور للعديد من الثغرات الامنية . ولقد اكد العديد من الباحثون الآخرون أن هذه المشكلة شائعة.

يقول جون سيمبسون ، الباحث الامني في شركة الأمن السيبراني Trend Micro: "يمكننا جميعا التحدث في الوجه ولكن إذا لم يكن لدى المنظمات الهيكل الصحيح للقيام باصلاح اكثر من علة دقيقة ذكرت لهم، وان تحصل على هذا يتطلب جزء كبير من الوقت والمال ،وإعطاء المهندسين مساحة أكبر للتحقيق في نقاط الضعف الأمنية الجديدة، والعثور على السبب الجذري، وإصلاح القضايا الأعمق التي غالبا ما تظهر في نقاط الضعف الفردية".

وقالت Stone : ان البحث عن نفس الضعف في أماكن مختلفة ، أو نقاط ضعف أخرى في نفس الكتل من التعليمات البرمجية. قد يحاول البعض بالفعل اتباع هذا النهج او اتباع مناهج مختلفة ، شركة Apple على سبيل المثال ، تمكنت من إصلاح بعض الثغرات الأمنية الأكثر خطورة من خلال ايجاد هذه الثغرت وازالتها من مستوى أعمق.

في عام 2019، تصدرت باحثة أخرى في Google Project Zero،
(Natalie Silvanovich) عناوين الصحف عندما قدمت ثغرة حرجة من نوع
 (0-click )في iMessage من Apple حيث كانت هذه ثغرة 0-day. 

حيث يسمح هذا التصنيف من العيوب الامنيه للمهاجم بالسيطرة على هاتف الشخص بالكامل دون أن يطلب من الضحية فعل أي شيء او حتى النقر على رابط لذلك سميت بـ Zero click، مما يمكن المهاجمين ان يتحكموا بهاتفك. (في ديسمبر 2020، وجدت أبحاث جديدة حملة من قبل المخترقين ضد الصحفيين في قناة الجزيرة الذين يستغلون هجومًا آخر من نوع Zero click ضد iMessage).

بدلاً من الاقتراب الضيق من نقاط الضعف المحددة ، دخلت الشركة في اعماق iMessage لمعالجة المشكلات الأساسية والهيكلية التي كان المتسللون يستغلونها. على الرغم من أن Apple لم تقل شيئًا عن الطبيعة المحددة لهذه التغييرات - فقد أعلنت مسبقا عن مجموعة من التحسينات مع تحديث برنامج iOS 14.4 الخاص بها الذي قامو بتطويره بعد ان وجدو 3 ثغرات امنية خطيره : "يمكنك قراءة المزيد من هنا"


قام Samuel Groß من Project Zero مؤخرًا بتشريح iOS و iMessage واستنتج ما حدث ، يتم الآن عزل التطبيق عن بقية الهاتف مع ميزة تسمى BlastDoor ، مكتوبة بلغة Swift مما يجعل من الصعب على المتسللين الوصول إلى ذاكرة iMessage.

وقامت Apple أيضًا بتغيير بنية iOS بحيث يكون من الصعب الوصول إلى ذاكرة التخزين المؤقت المشتركة للهاتف ،وأخيرا ، منعت Apple المخترقين من محاولة "القوة الغاشمة" الهجمات مرارا وتكرارا في تعاقب سريع. واضافت ميزات جديدة فاصبحت الاختراقات التي قد تستغرق دقائق في الاستغلال ومرة واحدة يمكن أن تستغرق الآن ساعات أو أيام لإكمالها ، مما يجعلها أقل إغراء للمخترقين .

كتب Groß : "إنه لأمر رائع أن نرى شركة Apple تضع جانبًا الموارد لهذه الأنواع من عمليات إعادة البناء الكبيرة لتحسين أمان المستخدمين النهائيين". "تسلط هذه التغييرات الضوء أيضًا على قيمة العمل الأمني الهجومي: لم يتم إصلاح أخطاء فردية فقط ، ولكن تم إجراء تحسينات هيكلية بدلاً من ذلك بناءً على الأفكار المكتسبة من أعمال تطوير برمجيات إكسبلويت"

ثلاث ثغرات امنية "حرجة" في هواتف iPhone يتم أختراقك بها

by on 10:59:00 ص


أصدرت Apple التحديث رقم ( IOS 14.4)  مع إصلاحات أمنية لثلاث نقاط ضعف، يقال إنها كانت تستخدم من قبل المهاجمين.

وقال عملاق التكنولوجيا في صفحات التحديث الأمني لأجهزة iOS وiPadOS 14.4، بإن الثغرات الامنية الثلاثة التي تؤثر على أجهزة iPhone و iPad "ربما تم استغلالها بالفعل" ولم يتوفر معلومات تقنيه عن تلك الثغرات الامنية ورفض المتحدث باسم Apple التعليق بما هو اكثر من ذلك . 

ومن غير المعروف من هم الذين يستغلون نقاط الضعف تلك، أو من قد يكون قد وقع ضحية لتلك الاستغلالات. ولم تذكر Apple ما إذا كان الهجوم يستهدف مجموعة فرعية صغيرة من المستخدمين أوما إذا كان هجوما واسع النطاق. وقيل بان شركة Apple لم  تكشف عن هوية الشخص الذي قدم الثغرة الامنية .

وفي التفاصيل القليلة المنشوره قيل انه قد تم العثور على ثغرتين امنيتين في WebKit الذي يقوم بتشغيل المتصفح Safari، وثغرة  في الـ Kernel، وهو نواة نظام التشغيل، حيث تقوم بعض الاستغلالات الناجحة باستغلال  سلسة من الثغرات الامنيه المرتبطة ببعضها البعض بدلاً من استخدام ثغره امنيه واحدة .

 ليس من غير المألوف أن يستهدف المهاجمون أولاً الثغرات الامنيه في متصفحات الجهاز كوسيلة للوصول إلى نظام التشغيل الرئيسي وقالت Apple حيث تعرضت آبل لمثل هذه الثغرات الامنيه في السابق خلال نزاعها مع عملاق التجسس الاسرائيلي "Pegasus" وأوضحت بان المزيد من التفاصيل الاضافيه ستكون متاحة قريبا للجمهور، وإنه لاعتراف نادر من قبل الشركة، التي تفتخر بصورتها الأمنية، بأن عملائها قد يتعرضون لهجوم نشط من قبل المتسللين.

في عام 2019، وجد باحثو Google الأمنيين  عددًا من المواقع الضارة المزودة بالرمز الذي اخترق أجهزة iPhone الخاصة بالضحايا. 

كشفت TechCrunch أن هذا الهجوم على الارجح كان جزءا من عملية الحكومة الصينية  للتجسس على مسلمي الأويغور. ورداً على ذلك ، عارضت شركة Apple بعض النتائج التي توصلت إليها Google في بيان عام، حيث واجهت Apple مزيدًا من الانتقادات لتقليلها من خطورة الهجوم.

في الشهر الماضي ، وجدت مختبر Citizen Lab أن العشرات من الصحفيين في قناة الجزيرة القطرية قد تم أستهدافهم واختراق أجهزة الـ iPhone الخاصة بهم مع ثغرة أمنية لم تكن معروفة من قبل لتثبيت برامج التجسس التي طورتها مجموعة NSO التي تتخذ من إسرائيل مقرًا لها وكانت هذه الثغره أحد أكثر الثغرات حساسية حيث لا تتطلب اي تفاعل من المستخدم او كما يطلق عليها في الوسط الامني 0-Click.

وفي ظل هذه الحالة من عدم توافر التفاصيل، يجب على مستخدمي iPhone و iPad التحديث إلى (iOS 14.4) في أقرب وقت ممكن. 

الثلاثاء، 23 يونيو 2020

الثلاثاء، 9 يونيو 2020

الجمعة، 5 يونيو 2020

تحديث شهر مايو من مايكروسوفت يسبب دمار الأجهزه

by on 3:02:00 م


Microsoft تقوم بحظر التحديث الجديد Windows 10 May 2020 على الكثير من الأجهزة.


قامت شركة Microsoft بمنع عدد كبير من الأجهزة من تحديث Windows 10 لشهر May 2020. في حين أن شركة البرمجيات أصدرت التحديث الجديد في الأسبوعين الماضيان وقد اعترفت شركة Microsoft أن هناك عددا من القضايا المعروفة التي تحول دون تثبيت التحديثات على مجموعة من أجهزة الكمبيوتر.

علقت شركة Microsoft على الأمر أن لديها قائمة ب 10 من القضايا التي يتم  التحقق  منها حاليا، 9 منها قد أسفرت عن ممنع وصول تحديث ويندوز 10  لشهر مايو 2020 من التثبيت  عبر Windows Update. إحدى القضايا تتضمن أخطاء غير متوقعة أو إعادة تشغيل للجهاز او ظهور الشاشه الموت الزرقاء او منع االوصول للانترنت على الرغم من تفعيل أيقونة الشبكه او تكون متصلة دائمًا على الأجهزة مثل:-
Microsoft’s Surface Pro 7 or Surface Laptop 3.

إذا كنت تقوم بالتحقق من تحديث Windows لشهر مايو 2020 ولا ترى أي شيء، فمن المحتمل أن يكون قد تم حظر جهازك أو منعه من التحديث. 

وأضافت Microsoft أيضًا تحذيرًا إلى Windows Update خلال عطلة نهاية الأسبوع للأجهزة غير الجاهزة للتحديث.


كما يتم حظر التحديث الأخير على الأنظمة التي تحتوي على تطبيقات أو ألعاب تستخدم GameInput. لا توضح Microsoft التطبيقات والألعاب التي تستخدم هذا، ولكن الشركة وجدت أن "التطبيقات أو الألعاب المتأثرة من المحتمل  ان تفقد حركة الماوس" ويسبب تجمد فيها مع تحديث مايو 2020 الجديد.

لقد حاولنا التحقق من التحديث على مجموعة متنوعة من الأجهزة في The Verge، بما في ذلك Surface Book 3 من Microsoft، Surface Laptop 3، Surface Pro X، وجهازي كمبيوتر ألعاب مصممين خصيصًا. لقد تمكنا فقط من تثبيته بنجاح من Windows Update على Surface Pro 6.

التحديث الهوائي من Windows ليس الطريقة الوحيدة للحصول على تحديث Windows 10 لشهر مايو 2020، على الرغم من ذلك يمكنك أيضًا الحصول عليها من خلال اداة مساعدة تحديث Microsoft. حتى تتجاوز المنع الذي  وضعته مايكروسوفت في مكان للأنظمة المتضررة ولكن لا نوصي باستخدام الاداة .

الثلاثاء، 2 يونيو 2020

انخفاض الطلب على بعض الشهادات في قطاع التكنولوجيا وارتفاع الطلب على شهادات الامن السيبراني

by on 6:00:00 ص

ارتفع متوسط القيم السوقية لمئات من المهارات التقنية غير المعتمدة في الربع الأول من عام 2020، وفقًا لتحليل جديد أجرته شركة الأبحاث Foote Partners. 
وفي الوقت نفسه، استمر ما يقارب 505 من الشهادات التقنية في الانخفاض في القيمة السوقية. 


وجاء في التقرير أن:
"متوسط قسط الدفع النقدي لشهادة التكنولوجيا هو حالياً في أدنى مستوى له منذ خمس سنوات". 

"وفي 1 أبريل 2020، فقدت العديد من الشهادات التقنية القيمة الأكبر من الانخفاض بمتوسط 1.9 في المئة في الربع. كان أداء الأجور من يناير إلى مارس 2020 هو الأقل لجميع أجزاء الشهادات باستثناء جزء واحد كان ( تطوير التطبيقات ولغات البرمجة )".


ما الامر الذي ادى لهذا الانخفاض في قيمة الشهادات ؟ 

تفترض Foote Partners أن شعبية الشهادات قد تدفع بالفعل إلى انخفاض أقساط الدفع ، حيث ان السوق بات مغمورا  بخبراء التكنولوجيا المعتمدين. ومع زيادة العرض، يتراخى الطلب.


كما أن الشهادات تشيخ أو تصبح أقل فائدة مع تطور صناعة التكنولوجيا بشكل عام. واضاف التقرير ايضا ، مازال هناك تحيز مستمر بان اجراء امتحان مقبل لا يمنح خبرة فى الموضوع  ، وخاصة عندما تكون نسبة النجاح هى اجابات صحيحة بنسبة 70 فى المائة " .
 وقد قاومت صناعة إصدار الشهادات هذا التحيز من خلال إضافة متطلبات المختبرات وحتى لجان مراجعة النظراء التي تقرر ما إذا كان المرشح مؤهلاً للحصول على التعيين".

ما هي الشهادات التقنية التي اكتسبت قيمة أعلى وفقا لشركة Foote Partners :

  شهادات الأمن السيبراني : الأمن السيبراني هو مجال متخصص للغاية، حيث اصبح واحد من اكثر المجالات المطلوبة . واستنادًا إلى هذا المزيج من العوامل ، ستكتشف أن العديد من شهادات الأمن السيبراني تستحق قسطًا كبيرًا من الراتب - ولن تكون مخطئًا. 

سواء كنت تحاول الحصول على وظيفة كمحلل للأمن السيبراني ، أو مخترق القبعة البيضاء ، أو محترف مكلف بالدفاع عن الأجهزة ، يمكن أن تساعدك الشهادة على التميز.

سواء كنت تحاول الحصول على وظيفة كمحلل الأمن السيبراني ، وقراصنة القبعة البيضاء ، أو المهنية المكلفة الدفاع عن الأجهزة ، شهادة يمكن أن تساعدك على تبرز داخل مجموعة تطبيقات كبيرة.    

تشيرFoote Partners إلى أن شهادات الأمن السيبراني التالية قد تمتعت بأكبر زيادات في التعويضات:

1)EC-Council Computer Hacking Forensic Investigator (CHFI)
CompTIA Advanced Security Practitioner (CASP)

متوسط قسط الدفع: 13 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 30 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


2)GIAC Certified Forensics Analyst (GCFA)
Certified Secure Software Lifecycle Professional (CSSLP)

متوسط قسط الدفع: 13 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 18.2 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


3)EC-Council Certified Incident Handler V2 (ECIH)
Average Pay Premium: 12 percent of base salary equivalent

متوسط قسط الدفع: 12 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 33.3 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


4)GIAC Certified Penetration Tester (GPEN)

متوسط قسط الدفع: 12 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 20 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


5)EC-Council Certified Encryption Specialist (ECES)

متوسط قسط الدفع: 12 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 9.1 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


6)GIAC Certified Enterprise Defender (GCED)

متوسط قسط الدفع: 11 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 22.2 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


7)GIAC Certified Forensics Examiner (GCFE)

متوسط قسط الدفع: 10 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 11.1 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


8)Six Sigma Black Belt

متوسط قسط الدفع: 12 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 20 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


9)Certification of Capability in Business Analysis (CCBA)

متوسط قسط الدفع: 11 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 22.2 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


10)Six Sigma Green Belt

متوسط قسط الدفع: 10 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 25 في المائة (في الأشهر الستة حتى 1 أبريل 2020)


11)ITIL Expert Certification

متوسط قسط الدفع: 10 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 11.1 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 


12)AWS Certified DevOps Engineer – Professional

متوسط قسط الدفع: 10 في المائة من مكافئ المرتب الأساسي
زيادة القيمة السوقية: 11.1 في المائة (في الأشهر الستة حتى 1 أبريل 2020) 



تذكر أن الشهادات ليست حيوية لكل وظيفة. على سبيل المثال ، وفقا ل Burning Glass ، الذي يجمع ويحلل الملايين من الوظائف من جميع أنحاء البلاد ، فقط 1.1 في المئة من الإعلانات لمطوري البرامج والمهندسين طلبت منهم شهادات. ومع ذلك، يولي بعض أصحاب العمل أهمية كبيرة لهم، لا سيما بالنسبة للأدوار العالية التخصص في مجال الأمن السيبراني وغيره من المجالات.  


الأحد، 24 مايو 2020

قراصنة يخيبون آمال وزارة الدفاع الامريكية وينجحون بتحدي اختراق اقمارها الاصطناعية العسكرية

by on 8:04:00 ص


هذه  هي المرة الأولى التي  تطلب فيها القوات الجويه الامريكية من المخترقين باقتحام طائرة مقاتلة من طراز F-15 في مؤتمر الأمن DEF CON العام الماضي وكانت هذه اول مرة يسمح للقراصنة بالعمل للبحث عن الثغرات الموجودة داخل النظام والنتائج كانت صادمة . 

وبالفعل قد قام فريق من سبعة قراصنة باكتشاف الكثير من نقاط الضعف في النظام  في غضون يومين فقط، وإذا ما تم استغلال نقاط الضعف هذه في العالم الحقيقي يمكن أن تشل نظام بيانات الطائرات الحرجة، مما يسبب في أضرار لا توصف وكارثة محتملة. (وكان هذا أيضا دليلا على أن القوات الجوية في حاجة ماسة إلى المساعدة).



قال Roper مساعد وزير الطيران لشؤون الاستحواذ والتكنولوجيا والخدمات اللوجستية، في مكالمة هاتفية: "لقد تركت هذا الحدث معتقداً أن هناك رصيداً وطنياً ضخماً في هذا المستوى من الخبرة السيبرانية التي نفتقرها في قواتنا الجوية بالكامل. وكرئيس عمليات الاستحواذ، كل الأقمار الصناعية التي تبنيها القوات الجوية تقع ضمن اختصاصه. لكن القوات الجوية كانت تاريخياً تتمسك بأمن أنظمتها وتكنولوجيتها في سرية مطلقة، خوفاً من التجسس أو التخريب من قبل العدو. 

واضاف "لكن في عالم اليوم هذا ليس افضل وضع امني. وعدم اخبارك للعالم عن نقاط ضعفك لا يعني أنك آمن للذهاب إلى الحرب". .




وبسبب النجاح في العام الماضي ،خطط روبر لجلب الباحثين الأمنيين مرة أخرى في هذا العام في مؤتمرDEF CON في لاس فيغاس وهذه المرة كان الإختراق لقمر صناعي حقيقي تدور على بعد أميال فوق سطح الأرض.



الفضاء مكان للشجعان فقط  والممولين بشكل جيد 

على مدى عقود، لم يكن لدى الحكومات سوى عدد قليل من الموارد اللازمة لتفجير قمر صناعي في الفضاء. ولكن مع إطلاق الشركات الخاصة أطنانًا من التكنولوجيا الخاصة بها في المدار، فإن الفضاء مزدحم أكثر من أي وقت مضى. الآن ، الفضاء ليس مجرد تكافؤ الفرص للمشاريع الخاصة ، كما انها ساحة معركة محتملة في المستقبل للخصوم.



قال ويل روبير :كانت خطتنا هي استخدام قمر صناعي يحتوي على كاميرا ومعرفة ما إذا كان الفريق سيتمكن من تحويل الكاميرا  لتكون مواجهة للقمر".


على بعد أميال فوق الأرض، قد تبدو الأقمار الصناعية بعيدة عن الأذى، لكن روبير قال إن المخاطر التي تواجهها حقيقية.

وقال "يمكنني اطلاق سلاح مضاد للاقمار الصناعية من طراز الصعود المباشر الذي سيضرب قمرا صناعيا ويعطله". "يمكنني استخدام أسلحة الطاقة الموجهة في محاولة لتعمية قمر صناعي أو تدمير المكونات التي تسمح له بجمع المعلومات الهامة من الأرض. ويمكنني أن أُعَدَرُ روابط الأقمار الصناعية بحيث لا يمكنك التواصل مع أي معلومات تحتاج إلى نقلها إلى صانعي القرار المهمين الآخرين".

 وقال روبير ان المحطات الارضية ووصلات الاتصال بين الارض والسماء يمكن ان تكون ضعيفة مثل الاقمار الصناعية نفسها .

وقال "لا نعرف الأشباح الموجودة في أنظمتنا التي تأتي من سلسلة التوريد والشركات التي تجمع تلك والشركات التي تجمع تلك والشركات المقاتلة والأقمار الصناعية لا تعرف أيضا، لأنها لا تعرف أن تطلبها". ليس الهدف هو مجرد إصلاح الأخطاء الموجودة ولكن أيضًا دعم سلسلة التوريد الخاصة بها لمنع إدخال أخطاء جديدة.

وقال روبير " اننا نحتاج تماما الى المساعدة " .

يشير Goldstein  مدير "فريق سوات من المهووسين التي تعمل في البنتاغون"، بانهم توصلوا إلى ثغرات للاقمار ، وهو برنامج أمن الفضاء الذي يدعو المتسللين والباحثين الأمنيين في العثور على نفس الأخطاء والعيوب التي يريد العدو استغلالها.



إنه تحول هائل من بناء أنظمه مغلقة اعتادت عليها القوات الجوية. والتحول إلى أنظمة شبه مفتوحة، يمكنها فتح تكنولوجيا الأقمار الصناعية أمام المجتمع الأوسع، مع الاحتفاظ بالتكنولوجيا الأكثر تصنيفًا لخبرائها ومهندسيها الذين تم فحصهم بشكل كبير.



ومن المدهش أن Goldstein  ، الذي يقدم تقاريره مباشرة إلى وزير الدفاع، قال إن إقناع الناس في الطابق العلوي بالسماح لمجموعة من القراصنة بتولي قمر صناعي عسكري لم يكن صعباً . وقال " كان هناك دعم هائل للقيام بذلك ودعم هائل للشراكة مع القوات الجوية فى هذا المنوال " . 


(روبير) و(غولدشتاين) يقولان أنهما يريدان أن يأخذا القمر الصناعي من أجل العثور على أفضل المتسللين، أطلقت القوات الجوية اليوم جولة التأهيل للشهر المقبل. سوف تسمح القوات الجوية للباحثين بإختراق  “flat-sat,”، والتي سوف تساعد على التوصل إلى التقنية المناسبة والمهارات اللازمة لاختراق القمر الصناعي المدار في DEF CON. 


الثلاثاء، 19 مايو 2020

Ads link

Ads test

Labels