dimanche 7 février 2016

جولة في الحديقة الخلفية للأنترنات الرسمي التونسي : بين تهديد الأمن القومي و المعطيات الشخصية و الذاكرة.

يحدث أن يصاب مهندس حماية الشبكات بالضجر.. نعم يحدث هذا، فيقرر إستعمال محرك البحث لإستكشاف ما حوله

سأتقاسم معكم بعض ما وجدت في هذه الجولة، ليس كل.. فعندما يتعلق الأمر بحماية شبكات الإتصال : ليس كل ما يعرف يقال.


فلنبدأ بقصة هيأة الإنتخابات

لي تاريخ مع موقع واب الهيأة.. هكذا بدأت الحكاية لمن لا يذكر





لكن اليوم، الأمر مختلف

يمكن تجاوز الحماية المضحكة و الحصول دون جهد و في بعض قرصات على تقرير سري، على تقرير مصنف سري يحوي نتيجة تحقيق حول الثغرات التقنية و التنظيمية للمنظومة الإعلامية لحواسيب و شبكة هيأة الإنتخابات







(صور من التقرير)






أعتقد أن الساهرين على حماية الموقع يستحقون محاكمة عاجلة

الأمن القومي مهدد

إن كنت وجدت هذا التقرير بهذه السهولة، ماذا لو وجدته مخابرات دولة أخرى، أو عصابة .. و إستغلته لفسخ مثلا قوائم المسجلين في الإنتخابات و لم تصر  الإنتخابات البلدية .. هل تدركون حجم الفوضى التي ستعصف بالبلاد ؟

لن أدخل في تفاصيل التقرير التي بينت عن مشاكل كبرى للهيأة من الناحية التقنية.. سأذكر فقط أن حفظ البيانات و تجربة إعادتها من الحفظ تم مرة واحدة و دون توثيق للعملية.. يعني لو تعطب النظام أثناء الإنتخابات الفارطة (عمدا أو لا)، كنا لا قدر الله على أبواب حرب أهلية

دعنا من الهيأة.. فلننظر مثلا إلى وزارة التشغيل

المعطيات الشخصية لطالبي الشغل مؤمنة بشكل ساذج.. يمكن الإطلاع عليها بسهولة : إسمك و لقبك و رقم هاتفك و كل ما وضعت في سيرتك الذاتية و إإتمنت عليه الدولة.. متوفر للعموم!




فلنزر موقعا آخر.. موقع بنك الإسكان العمومي

يمكن العثور على تقريره لسنة 2004 بسهولة على هذا الرابط


قرائة طيبة

فلنتحدث عن الذاكرة

مجهود يذكر فيشكر للقائمين على موقع وزارة العدل : محو كل ما كان موجودا قبل 2011



هل من حقهم هذا.. لا أدري، لكن حتى هذه لم يقوموا بها بشكل جيد

هل نزور موقع البنك المركزي.. دعنا من ذلك.. لكن رسالة للقائمين على حماية هذا الموقع الحساس : قوموا بعملكم

موقع وزارة المالية لمخالفات الجولان، لا يهتم بحماية المعطيات الشخصية و  الحياة الخاصة، يمكنك الإطلاع على خطايا الجميع بمجرد معرفة لوحته المنجمية



لا يتطلب الأمر أكثر من إضافة عنصر تأكد من أن صاحب اللوحة المنجمية هو من يقوم بالتثبت لا شخص آخر

يمكن من بوابة الحكومة الحصول بسهولة على عدة وثائق مخزنة، لا أدري إن كانت مسموحة للعموم لأنه لا يمكن الوصول إليها من الموقع لكن يمكن ذلك عبر إستعمال محرك بحث بطريقة ذكية

كانت هذه جولة في الواب الرسمي التونسي، و ما خفي كان أعظم

هذه المعلومات لم تكن نتيجة أي نوع من أنواع الإختراق أو الهاك، هي فقط معلومات متوفرة للعموم دون مجهود .. فقط بإستعمال محرك بحث، أنشر قليلها و أتغاضى عن كثيرها،  عساها تصل إلى المسؤولين فيحسنوا الأمور

نحن في 2016 و أمن الدول لم يعد مقتصرا على الحدود، فما يمكن أن يفعله إختراق واحد، قد تعجز عن فعله أسراب قاذفات القنابل

في الأخير، أوجه رسالة إلى وزير الدفاع : هواتف كبار الضباط و نواب الشعب و الوزراء غير مشفرة، يكفي ضياع أحدها لتتجول أسرار الدولة و الوحدات العسكرية في العلن، القنصليات و السفارات غير مؤمنة ضد الإختراق، سأعطيك مثالا سيدي الوزير : أرسلت الخارجية لكل السفارات كلمة المرور في فاكس واحد، يعني سفير أو قنصل بلد لديه كلمات العبور لكل السفارات التونسية في الخارج، تسرب وثيقة واحدة يعني أن كل أسرار و مراسلات الخارجية التونسية في مهب الريح، سأظيف : لبعض السفارات، أرسلت هذه الوثيقة عبر خط غير مؤمن

سيدي الوزير، ربما شراكة مع جامعات تونسية و تكوين فرق في القرصنة و القرصنة المضادة و تأمين مواقع الدولة و سفاراتها و إداراتها سيتكلف أقل و يحمي البلاد أكثر من جدار ترابي بلا معنى على حدود ليبيا

اللهم قد بلغت فأشهد

ياسين العياري، مهندس حماية شبكات.