مع الغياب شبه التام لأي مصادر مفيدة باللغة العربية عن مجالات الخصوصية والحماية والأمان الرقمي وتأمين الأجهزة الشخصية، جاء هذا الكتاب ليكون شارحًا لمفاهيم الحماية والأمان التي يحتاج إليها كل من يعيش في هذا العصر الرقمي ويستعمل مختلف الأجهزة الرقمية في شتى مجالات الحياة وذلك لتأمين نفسه وحماية بياناته التي يضعها في تلك الأجهزة. إنّ الأمان الرقمي موضوعٌ مهم للحديث عنه وليس شيئًا رفاهيًا أو تكميليًا، خصوصًا مع اطّراد عدد المستخدمين الجدد مع عدد انتهاكات واختراقات الأمان والخصوصية التي تحصل كلّ يوم (هاني الصباغ)
هذا الكتاب يعد اول كتاب اقراه كاملا يعتبر مقدمة رائعه نحو الامان الرقمي و الادوات وغيره
تحدث عن اختيار البرامج الى اختيار العتاد و اشار الى العديد من المواضيع المتعلقه بالامان بشكل عام
لن اضيف شرح ولكن اضيف النواقص المهمه التي اسقطت او اوضح الاخطاء التي كتبت
التعليق لا يعني على شخص نفسه فالشخص عمل واجتهد وجزاه الله خيرا على ذلك نحسن به الظن في خدمته للمسلمين سواء وفق ام لم يوفق الى ذلك
نبدأ بسم الله الرحمن الرحيم
الكتاب بشكل عام:
بالنسبه للمستخدم الذي لا يفهم شيء فيمكن اعطاءه له ولكن لا تعطه لمتقدم تقني لانه لن يعجبه هذا حيث كل ما فيه يعرفه وبل يعرف اكثر وافضل من ذلك (لان الكتاب لم يتطرق الى التفاصيل والتعمق في الشروحات)
فيه ادعاءات كثر ولكن تنقصه الروابط للمصادر الداعمه لذلك
الشروحات تجدها غير مترابطه فتجد يشرح على الايميل من اوله الى الاخر لكن دون ذكر انك تحتاج الى GPG/PGP لكي تشفر محتوى الرساله حتى تصل انت بالقراءه الى القسم الاخر في صفحات بعيده لتكتشف ذلك ثم تربط بينه وبين السابق وهكذا
لم يذكر اي مشروع تخفي مطلقاً لم يذكر تور ولا I2P ولا Freenet ولا توزيعاتهم ولا شيء
يذكر ftp ولكن اهمل ذكر ssh بالكليه وهو اكثر امنا والاكثر شهره
لم يتطرق الى خطر برمجه المواقع عن طريق الJavaScript بل اعتبرها عامود من عواميد مواقع الانترنت كما سنشاهد في المراجعه
ساذكر رقم الصفحه ثم اعلق:
صفحه 19
يقول قد يوجد برنامج Open Source و Closed Source وهناك انواع اخرى مثل Freeware
هذا خطا وهو خلطي حيث ان الFreeware ليس مصطلح يطلق على كيف يكون الكود المصدري بل مصطلح يتعلق في السعر هل هو ببلاش ام لا , اما الOpen والClose للسورس فهذه للكود المصدري تحديدا وليست لها علاقه في السعر
فلا يقال Freeware هو نوع اخر عن close , open source بل ان الfreeware هو برنامج close source ولكن قيمته ببلاش مثل adobe pdf او غيره
صفحه 21
يقول ان فايرفوكس على ويندوز لديه قابليه التحديث الذاتي اما على لينكس فيجب عليك تحديثه يدويا وتقريبا القول صحيح , ولكن الذي ينقصه لو ذكر الاختلاف بين اصدارات فايرفوكس من ESR او لا حتى يعلم المستخدم لماذا اصدار فايرفوكس على وندوز لا يشبه اصداره على اغلب توزيعات جنو. (كذلك فايرفوكس اذا قمت بتنزيله من موقع فايرفوكس لنظام جنو/لينكس فسيتحدث بشكل تلقائي)
صفحه 23
خطأ كتابي (أظن) مناحزل , الصحيح منازل
صفحه 25
يفضل اضافه توضيحيه: عنوان IP الخاص بالمنازل يتغير لانه (غالبا) Dynamic IP Address ولكن اذا كنت كشركه او لديك موقع فيجب جعل الIP بصوره Static لكي يتصل المستخدمين على سيرفرك بشكل اسرع عن طريق الDNS
صفحه 31
نقطه 2: ذكر انه يجب ان تحصل على البرامج من مستودعات وندوز او جوجل بلاي او الخ حيث ان البرامج التي تقوم بتنزيلها من غير المستودعات هذه تحتوي على برامج تتبع نشاطاتك وتظهر اعلانات , وانا لا اعرف حقيقه كيف ان هذه المتاجر تقوم بازاله هذه الاشياء بل واحده من الامور التي يقتاتون عليها هي اضافه هذه خاصه في الاندرويد والايفون…
نقطه 4: الايميل لا يقوم بشكل تلقائي او في بعض الاحيان باعطاء الصلاحيه في السيطره على غلق فتح امكانيه قراءه ايميلات الHTML , وكيف يمكن قراءه نص الرساله بشكل امن مثل فتحها عن طريق الPlain Text فقط او فتحها عن طريق عميل موجود في اله افتراضيه منعزله…الخ
صفحه 33
الكثير من مواضع الكتاب ايضا يشير الى قراءه بيانات المستخدم وكانه يشعرك ان الشركه او الموقع حقا مفروض عليه الالتزام بهذه الشروط وهذا غير صحيح حيث ابسط الامور هي ان غالب المواقع لهم الاحقيه في تغيير هذه الشروط متى ما ارادوا ذلك دون تنبيه مسبق للمستخدم. (كلام فقط)
صفحه 39
نبهنا مسبقا على افضليه فصل النظام عن النواه لكي لا تقع في المشاكل فقال بالنص:
“الكثير من البرمجيات التي تراها حولك مفتوحة المصدر، مثل متصفح فيرفوكس للويب نظام لينكس وتوزيعاته”…(الى ان قال) “نواه نظام اندرويد الموجوده على هاتفك مفتوحة المصدر فهي نواة نظام لينكس نفسها”
نظام لينكس , نواة نظام اندرويد هي لينكس , نواة نظام لينكس هي لينكس ؟!؟
لذا لو ذكر انظمة جنو وانظمة اندرويد يستخدمون نفس النواة وهي لينكس لكان افضل على القارئ واقرب للحقيقه (النواه جزء من نظام وليست نظام)
صفحه 41
اشتري دوما من شركه مشهور مثل Dell وابل؟ ما دخل هذا في امن العتاد؟ الم تكن ديل وابل من اهم الشركات المعاونه في زرع الابواب الخلفيه ومشاركه البيانات ومعاونه للحكومه الامريكيه بحسب تسريبات سنودن؟
اشتري حاسوب محمل مسبقا بنظام لينكس؟ ما علاقه هذا بالعتاد ؟!
الفصل فصل العتاد ولكن الكلام ليس عليه فخلط بين العتاد والنظام
صفحه 43
يقول توزيعات لينكس مفتوحه المصدر يعني ان الجميع يستطيع رؤيه الشيفره المصدريه لضمان خلوها من برمجيات التجسس والخبيثه
هذا صحيح في رؤيه الكود المصدري ولكن ليس صحيح بان التوزيعات لا تاتي مع برمجيات تجسس مثلما فعلت اوبنتو وامثالها من التوزيعات التي تكون غير حره بالكامل فلا اعلم كيف نعتبر البرمجيات غير الحره ليست خبيثه او امكانيه انها ليست كذلك (الا اذا نستخدم Reverse Engineering وهذه عمليه معقده طويله تستخدم للبرمجيات الصغيره من الfirmware)
صفحه 46
كلمه “أأمن” انا بحثت عن هذه الكلمه في المعجم الوسيط ولسان العرب لم اجد كلمه عربيه تكتب أأمن , فهذا خطأ لغوي والله اعلم (استخدمها اكثر من موضع في الكتاب)
صفحه 47 و 48
يجب توثيق ما يفعله كروم وفايرفوكس عن طريق تدعيم الادعاءات بالمصادر
بعض ما يقوم به كروم يقوم به ايضا فايرفوكس
يقول ان فايرفوكس بما معنى فيه Site Isolation وهذي ليس بعد جاهز ولكنه قيد التطوير
بدائل لTeamviewer هي Remmina و X2GO (خاصه X2GO فهو مشفر عن طريق SSH) وهنالك اخرى متعلقه في الالات الافتراضيه مثل SPICE
Skype بديله Jitsi , BBB ؟
لا اظن ولو ذكر ماتركس لكان افضل
صفحه 57
لا يوجد تشفير طرف للطرف اذا تغير مزودي الايميلات مثلا من Protonmail الى Gmail فستخزن الرساله في طرف Gmail بشكل غير مشفر , الحل الوحيد لتشفير الايميلات عند انتقالها بين مزودين مختلفين عن طريق GPG/PGP
ذكر Tutanota و Protonmail فقط ولا اعرف لماذا فيوجد غيرهم ايضا وكذلك الأمن من خلالهم يتوجب الوثوق في الخادم الذي يدير كل شيء لانه لا يعطيك حريه استخدام pop/smtp لك ويعتمد على الJS
صفحه 58
startpage غير حر المصدر ولا نعرف شيء عن ما يفعله
اين محركات البحث الحره؟
صفحه 59
لم يذكر ماتركس وهو افضل من تيليغرام
صفحه 60
لم يذكر اهم ميزه في السحابه عند الاختيار وهي Zero-Knowledge Encryption
لم يذكر خدمه التخزين ند الند المشفر مثل Tahoe-Lafs
صفحه 75
القول ان اوبنتو ومنت تحترم الخصوصيه افتراضيا ولا يوجد ارسال بيانات هذا امر صعب التطبيق حيث انهم يقومون بجمع معلومات ولكن المعلومات التي (دعنا نقول) التي لا تضرك, ومع ذلك القول افتراضيا هذه عباره قويه تحتاج الى دليل
معلومات مثل:
Ubuntu version
OEM/Manufacturer
Device model number
BIOS info
CPU details
GPU details
Installed RAM
Partition Info
Display(s) details
Auto-login status
Live Patching status
Desktop environment
Display server
Timezone
صفحه 76
في امان المستودعات لم يذكر ان من امانها استخدام الhttps بدلا من http وهذا ما لا توفره لا اوبنتو ولا منت التي نصح باستخدامها (لماذا راجع هنا)
صفحه 77
لم يذكر ان سناب غير حر المصدر من ناحيه السيرفر
صفحه 80
نصح باستخدام تشفير WPA2 للوايفاي ولكن هذا ليس كافي حيث يجب ان تعرف ما هي نوع المفاتيح التي يقوم باستخدامها اذا كانت TKIP فهذا سيء امنياً حتى وان كانت WPA2 , يجب ان تكون اما WPA2 مع تشفير RSA او استخدام WPA3
صفحه 81
استخدام رابط الدخول الى الراوتر من دون TLS يعرضه الى الاختراق وعمل اعاده توجيه الى اطراف خارجيه , كذلك لم ينصح بغلق الUPNP ، لم ينصح باستخدام فريموير حر او مفتوح المصدر…الخ
صفحه 82
الDNS الذي نصح به لا يحترم خصوصيه
صفحه 85
ينصح باستخدام Dropbox و Google Drive ؟ لا اعرف هل نقدمهم لانهم فقط يوفرون الخدمه مجانا؟ اين خصائص السحابه الامنيه مثل zero knowledge
يقول ان ProtonDrive افضل الموجود لمن يريد اقصى حمايه , لا اعرف ما الخصائص الامنيه التي فيها لا توجد في غيرها لكي نقول انها اقصى حمايه
صفحه 93
قام بسرد قصه انا لا اعرف من اين حصل عليها في كيفيه انشاء المفتاح العام والمفتاح الخاص تستطيع ان تقرا قصته والقصه الحقيقيه هنا:
صفحه 95
يقول “GNuPG هي مكتبة حرة ومجانية ومفتوحة المصدر”
حرة ومفتوحة المصدر؟ يبدو ان هنالك قصر معرفي في معرفه هذه المصطلحات والاختلاف الحقيقي بينهم (راجع هنا)
لا اعرف لماذا لم ينصح باستخدام افضل طول للمفتاح المراد انشائه وهو 4096
بما انه شرح الGPG4win للوندوز بواجهه رسوميه , فلو شرح GPA لانظمه جنو لكان افضل
صفحه 99
يذكر ان التبادل المشفر للايميلات يكون طريق الEmail Client , ولكن ليس هذا الطريق الوحيد بل يمكن ذلك عن طريق اضافه في متصفحك وتقوم بتخزين المفاتيح في جهازك كما في حال عميل الايميل مثل Mailvelope
صفحه 100
لم يذكر كيف ترسل الملفات المشفره من و الى بطريقه امنه (لا يوجد شرح في الكتاب عن OnionShare او Muwire)
صفحه 105
يقول ان السيرفرات تقوم بتشفير كلمات السر وحفظها في السيرفر لكي تمنع المخترقين من معرفه كلمه السر في حال حدوث اختراق
ولكن هذا غريب حيث ان الذي يخترق السيرفر يعرف جيدا ان الذي يحصل عليه هو عباره عن Hashes وليس كلمات سر واضحه ويجب عليه كسرها , وهنالك طرق لكسر الهاش مثل Rainbow table attack
صفحه 106
يقول كلما زاد طول وتعقيد كلمه المرور …[الى ان قال] خاصة ان كانت مليئة بالرموز والارقام (مثل !@#$%^&* وغيرها)
لا اعرف قد يكون خانه التعبير حيث ان المكتوب فقط رموز ولا توجد ارقام فيها , ومعلومه للاضافه لانها رموز لا تعني انها اقوى من 1234 فالقواميس تعمل على أُس طول الكلمه مثلا:
a1B
3^24+24+10
24= حرف صغير
24= حرف كبير
10 = عدد الارقام
3 = عدد الخانات
اما اذا كانت رموز فقط لا اذكر عدد الرموز لذا نفرض انها 25 فسيصبح دائما الرفع الى 25 مثل
a@
2^24+25
…وهكذا
معلومه اضافيه ايضا يفضل اضافه استخدام ASCII Extended في تكوين الكلمات السريه مثل câØÚÓt½
سهل الفهم حتى للمبتدئ ولكن لم يذكر ايضا
صفحه 109
يقول عن اشهرها وافضلها لتوليد الكلمات السريه ولم يذكر Keepass , Keepassxc وتعمل على جهازك فقط دون الحاجه لكلاود او شيء من هذا وفيها خاصيه 2fa…الخ
يستثنى كلمه المرور البريد الالكتروني الرئيسي التي يمكن منه استرجاع جميع الحسابات ؟!! كل شيء استخدم معه كلمات سر جيده باستثناء اكثر ايميل مهم عندك…
لم يذكر طريقه فتح مولد الكلمات السريه عن طريق مفتاح سري بدلا من كلمه سريه (واظن هذا لسبب انه لم يستخدم او يرى keepassxc)
صفحه 115
لا اعرف لماذا ولكن يستخدم كلاودفلير في كل مكان من شرح كتابه
لم يحذر من البروكسي حيث انه غير مشفر لذلك ليس امن
صفحه 116
ايضا سرد قصه خياليه في كيف تسمى الCookie بالCookie في المتصفح ولم يرجع الى القصه الاساسيه:
صفحه 117
تكلم عن الFingerprint ولكن للاسف لم يشرح متصفح تور في اي مكان من كتابه
صفحه 118
يقول كل من فايرفوكس وكروم ياتيان باعدادات تلقائيه لجمع البيانات عنك ولكن في صفحه 49 قال ان فايرفوكس لا يقوم بجمع البيانات عنك؟! تناقض
صفحه 127
ينصح بحذف السجلات البحثيه في فيسبوك واشباهه وكانما هذا شيء يزيد من الامن او من هذا القبيل ولكن لا احد يعرف ماذا يحصل من طرف السيرفر , وليس المهم ان شخص ما يعرف ماذا كنت تبحث فما الذي سيفعله شخص عرف بذلك؟! المشكله كلها تقع ماذا يعرف السيرفر عنك. لذا تقنيا حذفتها او لم تحذفها لا تفرق
صفحه 130
يوجد خدمات بمجرد وضع ايميلك الشخصي تقول لك اين هو مسجل وماهي الخدمات التي تستخدمها على هذا الايميل, كذلك التسجيل في كل خدمه/موقع ستقوم بارسال رساله استيثاق لخادم الايميل الخاص بك (لتعرف انك فعلا من طلبت هذا) فسيعرف شئت ام ابيت انك تستخدم الخدمات التي تستخدمها
يمكن منع معلوماتك واظهارها للمتصفح لو استخدمت متصفح تور
صفحه 132
ينصح بتجنب التطبيقات التي يطورها افراد وليست باسم شركه , ماذا عن تطبيق حر يطوره شخص هل يدخل بنفس المنطق؟ (سواء يستخدم كطرف ثالث او لا)
صفحه 148
لم يذكر نظام جرافين الامني او PureOS الحر بالكامل للهواتف
صفحه 149
انا لا اعرف احدا يزعم اذا اخُترق جهازك يمكنك معرفه انك مُخترق ولا حتى ايدورد سنودن قال بهذا , فشرحه اصبح فقط على اصابه الانظمه بالفايروسات ورانزوم وير وعندما تقرا الشرح كيف تتخلص من الاختراق فجاء بحلين استخدم مضاد فايروسات , اتصل بمتخصص = يا عيني على الحلول هل من معقول في زمننا هذا لا يعرف احد هذين الخطوتين؟
صفحه 151
استخدام مضادات فايروس؟ هل تعلم ان مضادات الفايروس يمكن اختراقها حالها كحال اي برنامج اخر ومن خلالها يتم سيطره المخترق على نظامك؟ على الاقل اذكرها كملاحظه
صفحه 152
بوضع المايكروفون بعيدا؟
وضع شريط على الكاميرا لا يكفي فلا نعرف ماذا تستطيع ان تفعله ايضا مثال كالتصوير الحراري
يبدو انه لا يعرف ان السماعه ايضا تتحول الى مايكروفون/لاقط
صفحه 154
يذكر بتصفح القرص الصلب , انا لا اعرف اليس من المفترض القرص الصلب مشفر (بحسب ان المستخدم يقوم بعمل افضل الاختيارات الامنيه) لذا لا يمكن الاطلاع على المعلومات داخله بهذه الطريقه
صفحة 156
في الاقسام السابق , خطا في الاقسام السابقة
صفحه 160
ما يردع المخترقين عن محاوله الاختراق بسبب وجود سلطات قويه؟ ماذا عن اختراق السلطات انفسهم؟!
اين الحمايه من ثغرات العتاد؟ بتحميل الفيرموير؟
صفحه 161
وقت الحرير الاجمال؟ اظن يقصد التحرير
صفحه 162
تطبيق Mat2 جيد ايضا ينصح به
كيوبز والحاويات؟ (لا يوجد حاويات في Qubes)
صفحه 163
في آللات افتراضيه منفصله وليس حاويات
خلط بين الحاويات Containers و Disposable Virtual Machine DVM في Qubes عندما تحدث عن فايرفوكس
في الDNSoverHTTPS ذكر باستخدام DNS خاص بك ولكن لا اعرف لماذا لم يكمل الطريق وينصح بكلاودفلير ايضا ؟
صفحه 164
على حد علمه لا يوجد هاتف يقوم بتحليل الشبكه , انصح بالبحث عن kali hunter النسخه المخصصه للهواتف
صفحه 165
خلط بين Decentralization و Federation وان كان كليهما P2P ولكن تفرق الكيفيه في العمل
لانه ليس بالضروره يكون بين المستخدمين بل يكون ايضا بين الخواديم فقط مثل XMPP و Matrix
صفحه 167
تبادل بيتكوين مجهول تماما ؟! غير صحيح…
لم يذكر مونيرو او zcash…
انتهينا من التعليقات وان كان قمت بتجاوز بعض الامور مثل التعليق على امن الهواتف وكذلك وندوز
لست مخول للدفاع عنه ولا انوي ذالك ولاكن الكتاب يعتبر مدخل مثلما ذكرت انت ايضا