ما هي ثغرة OpenSSL وما هي خطورتها وما يجب ان تفعله انت كمستخدم للانترنت

اهتز عالم الانترنت على وقع كشف باحثين عن ثغرة أمنية خطيرة في أكثر برنامج أمن استخدام الشبكة أهمية وهو ذلك الذي يحفظ سرية بريدك الإلكتروني وتعاملاتك المصرفية و التسوق وكلمات السرّ و الاتصالات، ويطلق على الهفوة البرمجية الأمنية اسم heartbleed.

ما هي الثغرة؟

-قال مدير شركة كلاودفلير ماثيو برنس “من المحتمل أن نكون إزاء أخطر ثغرة غير مسبوقة- .”

- الثغرة تتعلق ببروتوكول تشفير البيانات المتبادلة على شبكة الإنترنت وتتسبب بتسرب مفاتيح التشفير والإتصالات الخاصة بين المستخدمين ومعظم المواقع والخدمات على الشبكة. وتهم أساسا تقنية OpenSSL ،البروتوكول المستخدم على نطاق واسع لتشفير البيانات التي تنتقل على شبكة الإنترنت.

- تقنية OpenSSL، هي تقنية مفتوحة المصدر تحتوي أدوات التشفير المعروفة TSL و SSL. الأول يعني Transport Layer Securityأو بروتوكول طبقة المنافذ الآمنة، يستخدم خوارزميات تشفير فائقة القدرة وهو نسخة مطورة من بروتوكول SSL- Secure Sockets Layer الذي يشفر البيانات المتبادلة على الشبكة.

فعندما تدخلون موقعا ما يبدأ عنوانه بـ https وفي أسفل الشاشة أيقونة قفل، فهذا يعني أن البيانات المتبادلة بين جهاز الكمبيوتر الخاص بكم وخادم الموقع مشفرة لحماية المعلومات، وإذا رأيتم الصورة على العنوان فهذا يعني أنّ هناك فرصة كبيرة أن الموقع يستخدم نظام التشفير الذي أثرت فيه الثغرة المخيفة.

كيف تعمل؟

-لمدة عامين، كانت الثغرة تسمح لغرباء بالدخول لمعلومات شخصية كان يفترض أن تكون آمنة وسرية .

-ذلك يعني أنّ هناك خطأ في تصميم بروتوكول OpenSSL. ففي حالة الرغبة في التأكد من أن الخادم يعمل يتم إرسال ما يعرف لدى الخبراء بالبينغ عبر علامات وإشارات تكنولوجية ينتظر الرد عليها بتقنية تسمى لدى الخبراء بونغ، لكن الخادم الذي تعرض لثغرة Heartblee يرسل كل البيانات المخزنة في ذاكراته وأيضا مفاتيح التشفير المستخدمة من قبل الموقع.

-كما أن الثغرة تبقيك داخل الموقع بما يسمح لغريب بأن يتصرف كأنه أنت من دون ضرورة الاستظهار بكلمة المرور. كما تسمح للمهاجمين بأن يظهروا وكأنهم موقع حقيقي ويقودونك للكشف عن كلمة المرور الخاصة بك.

-الأخطر أنّ الثغرة لا تترك أثرا بحيث أنك تبقى دون علم متى وكيف تعرضت للقرصنة.

مجال تأثير الثغرة:

-أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير. والهفوة تطال بالتحديد نسخة مطورة عام 2011. كما أظهرت الدراسات أنّ 81 بالمائة من المواقع تستخدم برامج خوادم مثل Apache وNginx وكلاهما معرض للاستهداف من قبل الثغرة.

-الكثير من المواقع الشهيرة مثل غوغل وياهو وأمازون تستخدم وسائل التشفير المستهدفة. وقامت هذه المواقع بتحديث نفسها وإصلاح الثغرة، لكن الكثير من المواقع مازالت لم تقم بذلك. ويضاف للموقاع التي تستخجم نظام التشفير المعني فيسبوك وبنترست وإنستغرام.

-ما يمكن فعله:

-الخروج من جميع المواقع التي تستخدم كلمات مرور، مثل البريد الإلكتروني ومواقع التواصل والأنظمة المصرفية. لكن ذلك لا يكفي حيث أن الكثير من المواقع مازالت بصدد العمل على إصلاح الثغرة وهو ما يعني أنك إذا غيرت كلمة مرور في موقع مازال لم يصلح الأمر فإنه مازال معنيا بالثغرة. ووفقا للخبير الإيطالي فيليبو فالسوردا فإنّ “الأمر قد يستغرق أعواما لإصلاح جميع المواقع- .”

جوجل تضيف ميزة لإعدادات الأمان في نظام أندرويد

أطلقت جوجل ميزة جديدة لإعدادات الأمان في الإصدارات المختلفة من نظام أندرويد تمكن من الكشف المستمر عن سلوك التطبيقات في أجهزة المستخدمين.

وأوضحت جوجل أن الميزة الجديدة تم ضمها إلى خاصية Verify apps الموجودة ببند الأمان Security في قائمة الإعدادات الخاصة بالأجهزة العاملة بنظام أندرويد.

وأشارت الشركة إلى أن الميزة تشمل الكشف عن سلوك التطبيقات التي يتم تثبيتها من مصادر خارجية غير متجر جوجل بلاي، لتنبيه المستخدم بأي تطبيق يبدأ في انتهاج سلوك غريب قد يضر به أو بجهازه.

وأضافت غوغل أن تفعيل خاصية Verify apps سيتيح لها كذلك استخدام أنظمة اكتشاف البرمجيات الخبيثة، على التطبيقات المثبتة على جهاز المستخدم بشكل مستمر، وذلك لضمان عدم احتواء أي تحديث مستقبلي على برمجيات خبيثة.

وكانت خاصية Verify apps تقتصر على تنبيه المستخدم على خطورة أي تطبيقات يتم تثبيتها من موقع إلكتروني أو متجر للتطبيقات غير غوغل بلاي، إضافة إلى منع تثبيت التطبيقات التي تحتوي على تهديدات أمنية. يذكر أن الميزة الجديدة ستتاح لجميع الأجهزة الذكية التي تعمل بنظام أندرويد، بداية من الإصدار 2.3، وتملك صلاحية النفاذ إلى متجر غوغل بلاي.

لجعل أوبونتو Ubuntu أو لينكس منت Linux Mint يبدو مثل ويندوز إكس بي

Install Windows XP theme in Ubuntu 14.04 Trusty/13.10 Saucy/13.04 Raring/Linux Mint 16/15/14/other related Ubuntu derivatives (GTK + Cinnamon)

اصبح ويندوز إكس بي ميَّتَاً إكلينيكيّاً! وذلك بإيقاف دعم مايكروسوفت له

 لكن إذا كنتم ترغبون في إبقاء ذكراه على قيد الحياة،

 هناك طريقة لتحويل ثيم نظام لينكس الخاص بكم – أوبونتو Ubuntu أو لينكس منت Linux Mint – بشكل مُمَاثل لنظام تشغيل ويندوز إكس بي.

لجعل أوبونتو (لينكس منت) يبدو مثل ويندوز إكس بي لديه جانب سلبي أيضاً، وهي الواجهة القديمة جداً التي يمتلكها نظام التشغيل العجوز، ومع ذلك، فإن العديد من المنتقلين الجُدُد من ويندوز إكس بي بحاجة إلى استيعاب لينكس بنفس أسلوب ويندوز، هذا بالإضافة إلى أمان بلا حدود سيحصلون عليه بالتأكيد من خلال استخدامهم لنظام البطريق.

الطريقة:

يمكنكم تثبيت ثيم ويندوز إكس بي في خطواتٍ قليلةٍ وسريعة، كل ما أنتم بحاجةٍ إليه لتثبيت موضوع وأيقونات ويندوز إكس بي هو إدراج هذه الأوامر في الترمينال Terminal:

sudo add-apt-repository ppa:noobslab/icons

sudo add-apt-repository ppa:noobslab/themes

sudo apt-get update

sudo apt-get install win-xp-theme

sudo apt-get install win-icons

وبعد الانتهاء من التثبيت، بإمكانكم الآن استخدام أداة مثل GNOME Tweak لتفعيل أيقونات سطح المكتب وغيرها من المميزات التي ترغبون بها.

استمتعوا باستخدام ويندوز إكس بي! أو ما يبدو كذلك!! أو ما هو أروع من ذلك!!

تطبيق آية: التطبيق الأمثل لقراءة القرآن الكريم – iOS

❛ نص قرآني بدقة وجودة عالية ❜

يتميز تطبيق آية باعتماده لطبعة مجمع الملك فهد الجديدة لما تتميز به من جمال الخط ووضوح الرسم 

❛ علاماتك المرجعية على جميع أجهزتك ❜

 يمكنك تطبيق آية من إضافة عدد لا نهائي من العلامات كما يقوم بمزامنتها تلقائيًا بين جميع أجهزتك 

❛ المختصر في التفسير ❜

يقدم لك تطبيق آية كتاب المختصر في التفسير لمركز تفسير ولأول مرة على تطبيق للأجهزة الذكية 

❛ بحث لحظي في كامل المصحف ❜

ابحث في كامل المصحف عن أي كلمة أو استخدمه للانتقال السريع لأي سورة أو صفحة أو جزء 

❛ شارك الآخرين ما تقرأ ❜

شارك أي آية عبر الشبكات الاجتماعية بإخراج جميل بالخط العثماني أو قم بنسخها نصًا لاستخدامها فيما بعد 

❛ سجل التاريخ ❜

أثناء قراءتك أردت أن تبحث عن كلمة ولكن لا تريد أن تفقد صفحتك الحالية؟ لا مشكلة، آية يحتفظ بسجل الصفحات التي زرتها كاملا، فيمكنك العودة والذهاب إلى أي منها بلمسة واحدة 

❛ واجهة للقراءة الليلية ❜

فعّل الواجهة الليلية لتجربة قراءة أفضل في الأماكن المظلمة 

❛ تصميم أنيق وجذاب ❜

كل هذه المميزات وأكثر مقدمة لك في واجهة بسيطة وعصرية ملائمة لواجهة النظام الجديد

بحث لحظي في كامل المصحف، أسماء السور، أرقام الصفحات، والأجزاء.

فهرس للسور، وفهرس للأجزاء بفكرة مبتكرة للانتقال السريع إلى أي صفحة أو  

سورة في كتاب الله.

بإمكان المستخدم إلغاء القفل التلقائي للجهاز أثناء عمل التطبيق.

التطبيق Universal، يدعم الآيفون والآيباد.

يدعم التطبيق الوضع الأفقي بشكل رائع خط أكبر وأسهل في القراءة للآيفون  وصفحتان جنبا إلى جنب في الآيباد.

يدعم التطبيق اللغتين العربية والإنجليزية.

10 مواقع تساعدك علي فهم HTML5 بشكل مميز

10 Best HTML5 Websites That You Can Learn From

HTML5 هو الإصدار الحالي و الجديد من لغة تكوين صفحات المواقع

 (HyperText Markup Language)

و في الإصدار الجديد يتم تقديم عدد من العناصر الجديدة والتي تسهل من فكرة تكوين الصفحات

حسب ما نقوم به يدوياً في XHTML 1.0 بالإضافة إلى تسهيل الأمور على محركات البحث في قراءة الصفحات

ومعرفة ما هي أجزاء الصفحة الفعلية (الجزء العلوي (Header)، القائمة (Navigation)

المحتوى (Sections) والجزء السفلي (Footer)). كما توفر HTML5 عدد من بيئات العمل المختلفة

لتكوين الرسوميات والفيديو والعديد من المميزات التي تسهل الكثير مما يتم القيام به حالياً.

HTML5 تقدم عددا من العناصر الجديدة أتش تي أم أل والصفات التي تعكس الاستخدام النموذجي 

على المواقع الحديثة. البعض منهم الشبكة الدلالية بدائل لاستخدامات المشترك للكتلة العامة <div> 

وعناصر على السطر<span>، فمثلاً <nav> ، و <footer>.

وثمة عناصر أخرى توفر وظائف جديدة من خلال واجهة موحدة، مثل عناصر <audio> و<video> 

لتضمين ملفات الصوت والفيديو على الترتيب.

انتقدت بعض العناصر من أتش تي أم أل 4.01 وقد أستبعدت، بما في ذلك عناصر العرض البحتة 

مثل<font> و<center>   وآثارها التي يمكن تحقيقها باستخدام CSS (صفحات الطرز المتراصة)

وهناك أيضا تجديد التأكيد على أهمية DOM scripting في سلوك الويب.

بناء الجملة HTML5 لم تعد تستند إلى إس جي إم إل على الرغم من تشابه وترميزية  

فقد تم تصميمها لتكون متوافقة مع ماسبق مع تحليل مشترك للإصدارات القديمة من أتش تي أم أل

. فهي تأتي مع السطر الاستهلالي الجديد الذي يبدو وكأنه إس جي إم إل، <!DOCTYPE html> 

التي تمكن من جعلها متوافقة مع المعايير في جميع المتصفحات التي تستخدم "DOCTYPE sniffing".

اذا  كنت ممكن يهتمون بالغة html 4 وتريد ان تزيد معرفتك بالاصدار5 منها  اليك 10 مواقع

سوف تساعدك علي فهم اللغة بشكل مميز 

The Wilderness Downtown

Heart of The Artic

Three Dreams of Black

Enjoy Your Privacy

Google Play Music Tour

 Soul Reaper

The Expressive Web

Art of Stars

 This Shell

 Lost Worlds Fair

كيفيه تثبيت LibreOffice 4.2.3 في توزيعات Fedora, CentOS, OpenSUSE, Mageia

كيفيه تثبيت برنامج LibreOffice 4.2.3  في توزيعات لينكس مثل

 فيدورا او اوبن سوزي او سانتوس او ما بني عليهما 

اولا يجب عليك معرفه معماريه او نواه جهازك 32 ام 64  

اولا معماريه 32 بت قم بوضع الاوامر التاليه تباعا في الترمنال 

How to install LibreOffice 4.2.3 on 32 bit Fedora, CentOS, OpenSUSE, Mageia

$ wget download.documentfoundation.org/libreoffice/stable/4.2.3/rpm/x86/LibreOffice_4.2.3_Linux_x86_rpm.tar.gz
$ tar -xzvf LibreOffice_4.2.3_Linux_x86_rpm.tar.gz
$ cd LibreOffice_4.2.3*_Linux_x86_rpm/RPMS
$ sudo rpm -i *.rpm

ثانيا معماريه 64 بت قم بوضع الاوامر التاليه تباعا في الترمنال

install LibreOffice 4.2.3 on 64 bit Fedora, CentOS, OpenSUSE, Mageia

$ wget download.documentfoundation.org/libreoffice/stable/4.2.3/rpm/x86_64/LibreOffice_4.2.3_Linux_x86-64_rpm.tar.gz
$ tar -xzvf LibreOffice_4.2.3_Linux_x86-64_rpm.tar.gz
$ cd LibreOffice_4.2.3*_Linux_x86_rpm/RPMS
$ sudo rpm -i *.rpm

عند الغاء التثبيت قم بوضع هذا الامر في الطرفيه

$ sudo yum remove libreoffice

تثبيت Adobe Flash Player 11.2 في ابونتو ولينكس منت والمنتري

Install Adobe Flash 11.2 On Ubuntu, Linux Mint, Elementary 

OS And Their Derivative Systems

كيف تقوم بتثبيت اخر اصدار من ادوبي فلاش بلير

 اليوم في هذة التدوينه ان شاء الله سوف نقوم بتثبيت اخر اصدار علي اكثر من توزيعه واصدار

 اولا يجب عليك اختيار اصدار التوزيعه الخاصه بك ثم بعد ذلك كما نعلم نقوم باضافه المخزن الخاص بها

 ومن ثم عمل تحديث من خلال الامر الثاني  وبعد ذلك نقوم بتثبيت البرنامج بالامر الثالث 

شئ اخير اود ان اقوله ان كل ما يختلف في كل هذة الاوامر هو المخزن الخاص بكل اصدار

 اما بقيه الاوامر فهي موحدة ولاكني ارت ان تكون كذلك لكي لا يقع احد في اخطاء 

install Adobe Flash 11.2.202.310 on Ubuntu 14.04 and Linux Mint 17

$ sudo add-apt-repository "deb http://archive.canonical.com/ trusty partner"
$ sudo apt-get update
$ sudo apt-get install flashplugin-install

install Adobe Flash 11.2.202.310 on Ubuntu 13.10 and Linux Mint 16

$ sudo add-apt-repository "deb http://archive.canonical.com/ saucy partner"
$ sudo apt-get update
$ sudo apt-get install flashplugin-install

install Adobe Flash 11.2.202.310 on Ubuntu 12.10 and Linux Mint 14

$ sudo add-apt-repository "deb http://archive.canonical.com/ quantal partner"
$ sudo apt-get update
$ sudo apt-get install flashplugin-install

install Adobe Flash 11.2.202.310 on Ubuntu 12.04, Linux Mint 13 and Elementary OS 0.2

$ sudo add-apt-repository "deb http://archive.canonical.com/ precise partner"
$ sudo apt-get update
$ sudo apt-get install flashplugin-install

اشياء لاتعلموها عن لعبة angry birds

 بسم الله الرحمن الرحيم

لعبة angry birds  

بأمكانها التجسس على معلوماتك الخاصه في هاتفك الخلوي 

مثلا كااسمك وجنسك وسنك وبلدك وغير ذالك وترسلها الي NSA

ولكن شركه اللعبه ليست هي من تقوم بلتجسس على معلوماتك 

بلشركة NSA هي من تجسس من خلال وضع اعلانت  كما تعلمون يوجد اعلانات في اللعبه وشركة NSA

اشترت مساحه من هذه الاعلانت ومن خلالها تأخذ معلومات عنك من خلال الاكواد

                               كان معكم اخوكم OMAR AHMAD ABABNEH  :D

10 كتب تجعلك هكر اخلاقي متميز Ethical Hacker

الهاكر الاخلاقي وبالانجليزية”  “ Ethical Hacker ؟

هو شخص يمتلك القدرة على الاختراق والحماية من الاختراق

يمتلك احدى الشهادات المخصصة ليمارس طبيعة عمله كهاكر اخلاقي

كما يسخر تلك الفنون “الاختراق والقرصنة” لخدمة المجتمع

أما بتقديم خدمات أمنية احترافية أو باكتشاف الثغرات في تطبيقات

وأنظمة دولية وأشعار الشركات المتضررة بخطورة تلك الثغرات

للهاكر الاخلاقي شروط وأحكام  يجب أن يحافظ على السرية التامة في أي اختبار اختراق

 ولا يقوم بتسريب أي معلومات عن الجهة المختبرة أو الثغرات المكتشفة

 وعلى أن يقوم بتقديم تقرير كامل يوضح فيه جميع الثغرات الأمنية

والحلول مما يساعد الجهة المعنية بالاختبار تأمين مصادرها من المخترقين

اشتهر كثير في الشعوب العربية  مصطلح هكر اخلاقي   

وليس كل من يطلق علي نفسه هذا الاسم هو كذلك 

وان كنت تود ان تكون احد هؤلاء الهكر الاخلاقين  

اليك افضل 16 كتاب تساعدك علي اكتشاف  الثغرات وتحليلها

وطرق تحديثها واستغلالها ايضا 

1. Linux Security Quick Reference Guide

2. SQL Injection Cheat Sheet

3. Security Architecture Cheat Sheet

4. SQL Injection Prevention Cheat Sheet

5. Transport Layer Protection

6. XSS (Cross Site Scripting) Prevention Cheat Sheet

7. SQL Injection Cheat Sheet

8. XSS (Cross Site Scripting) Cheat Sheet

9. Forensic Analysis Cheat Sheet

10. Google Hacking and Defense Cheat Sheet

11. Windows Command Line Cheat Sheet

12. IPv6 TCP/IP and tcpdump

13. Linux Intrusion Discovery Cheat Sheet

14. Misc Tools Cheat Sheet
15. Netcat Cheat Sheet
16. TCP/IP and tcpdump

ما هي رسائل التصيد وكيف تكتشفها بنفسك وتحمي نفسك منها

اولا   التصيد 

هو محاولة الحصول على المعلومات الخاصة بمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية

 عن طريق الرسائل الإلكترونية أومواقع الانترنت التي تبدو وكأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية، كالبنوك

يقوم المتصيدون   بإرسال رسائل إلكترونية e-mails زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الإلكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك.

هذه المواقع الإلكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo)

حيث يقوم المستخدم بإدخال اسم البريد وكلمة السر للدخول إلى بريده الإلكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخله

 و من الطرق الأخرى أن يقوم المتصيدون، بشكل غير ملاحظ، بتحميل برنامج كمبيوتر على أجهزة المستخدمين تسمحلهم بالوصول إلى تلك الأجهزة أو المعلومات الخاصة بالمستخدمين.

الوقاية من التصيّد

 1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات(anti-viruses)،جدار النار(firewalls) ويجب تحديثها باستمرار.

2- التأكد من تحديث متصفح الإنترنت.

تنزيل شريط أدوات لمتصفح الإنترنت للحماية من المواقع الإلكترونية المزيفة المعروفة.

3- التأكد من استخدام موقع إلكتروني آمن في حال إدخال معلومات خاصة

تأكد من أن بداية عنوان الموقع في شريط العنوان للمتصفح هو: " https://" وليس " http://". وجود حرف اس بالإنجليزية بعد اتش تي تي بي وهو يعني موقع مامون الاستخدام والبيانات المنقولة مشفرة عبر هذه الصفحة

4- الحذر من الروابط في الرسائل الإلكترونية والتي تقود إلى صفحات إلكترونية(في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.

5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الإلكترونية.

إن لم تكن الرسالة الإلكترونية تحتوي على توقيع رقمي (digital sign) فليس من الممكن التأكد من أنها ليست مزيّفة.

6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.

الخلاصه

هجمات الإصطياد (Phishing) في ارتفاع مستمر، فمهارات المهاجمين وحيلهم أصبحت أكثر ذكاءاً.ولكن هناك علامات تساعدنا على معرفة إن كانت الرّسالة الموجّهة لنا هي رسالة اصطياد.  

علامات تدلّك على رسائل الإصطياد الإلكترونيّة

في الغالب رسائل الإصطياد تحتوي على الأمور التّاليّة:1- أخطاء إملائية، أو نحوية.2- تسأل عن معلومات شخصية، مثل أرقام بطاقات الإئتمان، رقم الحساب البنكي، الخ.3- تحتوي على رسالة تحذير: “تحذير مهم: حسابك قد تم إغلاقه في بنك كذا”.4- العنوان الالكتروني المكتوب هو غير الحقيقي المشار إليه.