من مدة بسيطة أطلقنا في حسوب خدمة كابتشا عربية. الفكرة راودتني قبل ثلاث أسابيع تقريباً عندما أردت إظهار كابتشا بكلمات عربية في صفحة التسجيل في إعلانات حسوب (الواجهة العربية) عوضاً عن الكلمات الإنكليزية التي كانت تظهرها خدمة ReCAPTCHA. عندما نظرت للواجهة العربية و وجدت صورة الكابتشا باللغة الانكليزية شعرت بشيء خاطئ بالصفحة! لماذا أطلب من مستخدم عربي إدخال كلمات إنكليزية؟ لذلك قررت استبدالها بأخرى عربية لكن بعد البحث اكتشتف بعدم وجود خدمة عربية مماثلة يمكن الإعتماد عليها فالمحاولات السابقة اختفت! (أجل بهذه البساطة) ولخدمة مثل كابتشا هذه كارثة فتوقف الخدمة يعني توقف أهم جزء في الموقع عن العمل.
كيف ينجح المبتدئين بالإختراق ويفشل الأكثر خبرة
كم مرة سمعت بإختراق لموقع، شركة أو حتى جهة حكومية من قبل “هاكر” مبتدء؟ تعرف أنه مبتدء لأنه لم يعرف كيف يستغل إختراقه بشكل صحيح، لأنه ترك آثار وأدواته خلفه أو لأنه رفع إندكس غبية مثلاً. لا تتعجب كثيراً لأن أكبر الإختراقات في العالم لم تحدث بسبب ثغرة عبقرية غير مكتشفة بل لأن مدير النظام نسي تغيير كلمة المرور الإفتراضية مثلاً أو لأنه مازال يستخدم أنظمة وبرامج غير محدثة أكل عليها الدهر. السؤال هو كيف ينجح مخترق مبتدء في ذلك ويفشل الأكثر خبرة؟ لماذا كل يوم نشاهد إختراقات مثل هذه وغيرها الكثير سببها خطأ لن يقع به أي مدير نظام مبتدء!
السبب بسيط جداً.. عندما تزداد خبرة الهاكر ثم يقوم باختبار اختراق لموقع/شركة كبيرة يبدء محاولته بطريقة معكوسة، عكس الهاكر المبتدء ستجده يجرب اكتشاف ثغرات جديدة بنفسه ويقوم بمحاولات معقدة دون أن يخطر في باله تجربة الأمور البديهية والتي قد تبدو سخيفة أو من المستحيل نجاحها. أذكر مرة أني تمكنت من الدخول لأحد سيرفرات مزودات خدمة الإنترنت من أول محاولة وباستخدام كلمة مرور admin. حسناً، هذه الحالات تحصل لكن ليس كثيراً :)
عند القيام باختبار إختراق يجب أن تعتمد على قائمة مهام خاصة بك تطورها وتزيد عليها مع مرور الوقت أو دليل مثل OWASP Testing Guide و OSSTMM للتأكد أنك قمت بجميع الإختبارات المطلوبة وإلا سيكون إختبار الإختراق بطريقة عشوائية كمن يرمي المعكرونة على الحائط ويرى ما علق منها!
ليصل الهاكر الأكثر خبرة لمرحلة الإحتراف عليه أن يتعلم مرة أخرى كيف كان يفكر عندما كان مبتدء.
التعليقات: 11 | الزيارات: 2,756 | التاريخ: 2011/11/21
ماذا استفدت من تعلم الهاكر ولماذا أنصح بتعلمه
سألني أحدهم عن طريق الإيميل، ماذا استفدت من تعلم الحماية والاختراق اذا كنت أعمل الآن بمجال مختلف عنهم تماماً. علي أن أعترف أن السؤال ذكي ومن يتابع iSecur1ty يعلم أن نشاطي فيه قل كثيراً عن السابق بسبب إنشغالي حالياً بمشاريع أخرى لا تمت لاختبار الإختراق بصلة، لكن قبل أن تظن أن تعلم الهاكر كان مجرد عبثاً سأخبركم كيف إستفدت مما تعلمته ولماذا أنصح أي شخص مهتم بتعلمه.
التعليقات: 18 | الزيارات: 4,881 | التاريخ: 2011/09/18
موقع خمسات.. مشروع آخر!
عكس ما أفعل بالعادة وهو الكتابة عن المشاريع التي أعمل عليها قبل إطلاقها.. أكتب هذه التدوينة بعد إطلاق موقع خمسات بالشراكة مع المدون رءوف شبايك. باختصار، خمسات هو “موقع خدمي يجمع ما بين الشباب العربي المستعد لتقديم خدمات بسيطة في مقابل ثمن ثابت قدره خمسة دولار، و بين فئة المشترين المستعدين لشراء هذه الخدمات”. الموقع هو مشروع الأخ شبايك الذي استوحى فكرته من موقع fiverr وهذا هو الإطلاق الثاني للموقع ودوري كان باعادة تطوير خمسات وبناء الموقع من الصفر على أساس سليم. اقرء المزيد
التعليقات: 7 | الزيارات: 2,950 | التاريخ: 2011/08/29
الحرية للمدون السوري أنس معراوي
اعتقل المدون السوري أنس معراوي تعسفياً يوم الجمعة 1-7-2011 في كفرسوسة, دمشق. ولا يعلم عنه شيء حتى الآن. هذه حملة أطلقها المدونون والمدونات في سوريا للمطالبة بحرية زميلهم المعتقل أنس معراوي.
موقع الحملة: https://freeanas.wordpress.com
فيسبوك: http://on.fb.me/prD8zl
تويتر: #FreeAnas
Comments Off | الزيارات: 3,856 | التاريخ: 2011/07/09
كتب ومصادر لتعلم لغة روبي
من مدة طويلة أردت أن أبدء بسلسلة شروحات فيديو للغة روبي لتنشر في iSecur1ty بحيث تكون بداية طريق لكل من يريد البدء بالبرمجة واستغلال ذلك في اختبار الإختراق. المشكلة أني كلما أنظر لهذه المهمة أرى أنها تحتاج لكثير من التنسيق والتحضير المسبق فأؤجلها لكن البارحة قررت أن أبدء وبعد ساعة تسجيل اكتشتف بوجود مشكلة في البرنامج (الحمدلله أن الأمر كان للتجربة فقط). خلال الشرح ذكرت بعض الكتب والمصادر التي اعتمدت عليها واعتقد انها من أفضل المصادر لتعلم لغة Ruby وقررت أن أذكرهم هنا أيضاً ليسفيد الجميع.
التعليقات: 17 | الزيارات: 5,072 | التاريخ: 2011/06/23
تسجيل شركة ناشئة في بريطانيا
بعد إطلاق Hsoub وصلني عدة رسائل من أشخاص يطلبون مني أن أوضح لهم ما هي الإجراءات التي قمت بها وكيف يمكن تسجيل شركة في بريطانيا. لكي أسهل الأمر قررت كتابة هذه التدوينة ليستفيد الجميع خصوصاً الطلاب الذين يدرسون هنا ويرغبون ببدء مشاريعهم ولكي لا يتكلفوا نفس التكلفة التي دفعناها نحن لمحامي ليدلنا على المعلومة الصحيحة.
التعليقات: 16 | الزيارات: 4,744 | التاريخ: 2011/05/11
عرب نت 2011
أتوقع أن أي متابع للمواقع التقنية سمع بمؤتمر عرب نت 2011 الذي سيعقد في 22-25 مارس. iSecur1ty كان أحد الداعمين الإعلاميين وكثير من المواقع الأخرى “الصراحة فريق العلاقات العامة شغال 100%” فهذه أكبر تغطية رأيتها لحدث عربي في الإنترنت! وشخصياً يسعدني رؤية مؤتمرات مثل هذه تهدف لتطوير الويب العربي ودعم المطورين وأصحاب المشاريع الناشئة, فهي مكان مناسب للتواصل مع الأصدقاء الذين تعرفت عليهم عن طريق الإنترنت وبناء علاقات مع أشخاص لهم نفس الإهتمامات. اقرء المزيد
التعليقات: 8 | الزيارات: 4,745 | التاريخ: 2011/03/12
