تعريفات هامة بأشهر مصطلحات أمن المعلومات والفرق بينها

السلام عليكم ورحمة الله وبركاته

كثيرا ما يكون لدي البعض إلتباس حول مصطلحات مثل Phishing و Spear Phishing او حول Targeted Attack و APT وغيرها

لذا إن شاء الله في هذه التدوينة سأشرح أهم مصطلحات أمن المعلومات لكي يكون المعني واضح تجاهها.

ملحوظة: تعمدت كتابة المصطلحات باللغة الإنجليزية لأنها لابد أن تحفظ كما هي 🙂

1- ما الفرق بين Phishing, Vishing, Spear Phishing, Spam؟

Spam: هي رسائل دعائية يتم إرسالها بكميات كبيرة أو إلي عدد كبير من ال Emails بغرض دعائي, مثلا دعايه لبرمجيات معينه او منتجات معينه إلخ.

Phishing: هي رسائل إحتيال إلكتروني يتم إرسالها أيضا إلي كميات كبيرة من ال Emails بشكل عشوائي بغرض سرقة حساباتهم البنكية او بطاقات الإئتمان Credit Cards أو كلمات المرور الخاصة بهم أو طلب من المستخدم أن يفتح ملف معين بغرض إختراق جهازه.

Spear Phishing: هو نفسه ال Phishing ولكن الفرق هنا أن ال Spear Phishing يتم إرساله إلي أهداف معينه ومحدده ويتم إرساله بشكل مدروس وليس عشوائيا, مثال إذا كان أحد المخترقين يستهدف شركة بعينها فإنه يقوم بعملية بحث علي مواقع التواصل مثل LinkedIn وغيرها وينتقي موظفين في وظائف معينة داخل الشركة ويقوم بإنتحال شخصية أحدهم لإرسال رسائل إلي زملائه في الشركة حتي يكسب ثقتهم في فتح ملفات معينه تسمح للمخترق بالتحكم في أجهزتهم او بسرقة كلمات المرور الخاصة بهم.

Vishing: هو نفس فكرة عمل ال Phishing لكنه يتم من خلال الإتصال بهاتف الضحية Voice Phishing حيث يقوم الهاكر بالإتصال بهاتف الضحيه من أي خدمة إتصال من خلال الإنترنت وينتحل صفة البنك او شركة الإتصالات إلخ ويطلب من الضحيه بياناته الشخصية والتي ستساعده فيما بعد في الوصول إلي حسابات الضحية.

2- ما الفرق بين ال Targeted Attack, State Sponsored Attack, APT, Zeroday Attack ؟

Zeroday Attack: (شكرا إبراهيم مسعد علي التعديل)

تطلق كلمة Zeroday علي الثغرات التي تصيب تطبيقات معينة وتكون الثغرة غير منتشرة علي الإنترنت والشركة صاحبة التطبيق المصاب لديها 0 أيام لإصدار ترقيع للثغرة قبل نشرها علي الإنترنت وفي بعض الأحيان حتي الشركة صاحبة التطبيق تظل لشهور أو سنوات لا تعلم عن الثغرة شئ.

“it often takes not just days but months and sometimes years before a developer learns of the vulnerability that led to an attack.”

مثال: هاكر صيني إكتشف ثغرة في ال Microsoft Office تمكنه من إختراق أي جهاز يستخدم هذا التطبيق بمجرد فتح ملف وورد ينتهي ب .doc او .docx

وبالطبع بما أنها ثغرة ZeroDay فهذا يعني أنه لا يمكن إكتشافها بواسطة برامج ال AntiVirus وليس لها أي سجل او بصمة Hash علي الإنترنت.

نفس المفهوم ينطبق أيضا علي ثغرات تطبيقات الويب مثل WordPress, Joomla وغيرهم وليس فقط ال Client Side Applications مثل Office, flash وغيرها.

APT :APT هي إختصار ل Advanced Persistent Threat وهي تطلق علي المخترقين اللذين يقومون بإستخدام برمجيات متطورة ومتقدمة تسمح لهم بالبقاء داخل شبكات الشركات وأجهزتها لمدة طويلة جدا دون أن يتم إكتشافهم وهؤلاء النوعية من المخترقين غالبا ما يستخدمون ثغرات  من نوعية ال Zeroday لكي يقوموا بعملية الإختراق وزرع ال Backdoors الخاصة بهم داخل أجهزة وشبكات الشركات التي يقومون بإختراقها.

State Sponsored Attack: المخترقين اللذين يطلق عليهم كلمة State Sponsored هم المخترقين اللذين يعملون تحت مظلة الأجهزة الحكومية والإستخباراتية التابعة لبلادهم ويتم دعمهم ماديا وخططيا وعدديا ومعلوماتيا من تلك الجهات الحكومية/الإستخباراتية, وبما أن هؤلاء المخترقين هدفهم دائما هو البقاء داخل شبكات الجهات التي قاموا بإختراقها لأطول فترة فإنهم يطلق عليهم لقب ال APT الذي تم شرحه بالأعلي ودائما ما يستخدمون ثغرات من نوعية Zeroday في إختراقاتهم.

أهداف ال State Sponsored Attackers دائما ما تكون أهداف حكومية, عسكرية, إستخباراتية أو حتي أهداف سياسية.
مثال علي ذلك, فريق المخترقين التابع لوكالة الأمن القومي الأمريكي NSA واللذين تم تلقيبهم ب Equation Group  حيث قاموا بإختراقات لأهداف حكومية وإستخباراتية وعسكرية علي مدي أكثر من عشر سنوات, وكان من ضمن ضحاياهم (بحسب ذكر شركة Kaspersky) الجيش الليبي وشركة الإتصالات اليمنية وأحد شركات الطاقة بالجزائر.

مثال آخر علي ال State Sponsored Attackers المجموعة الروسية الشهيرة بلقب APT28 والوحدة 8200 في الجيش الإسرائيلي التي قامت ببرمجة فيروس Stuxnet

وال PLA التابع للجيش الصيني وغيرهم.

Targeted Attack: كما هو موضح من إسمه, هو إختراق يستهدف شركة معينة لكنه لا يستهدف جهات حكومية مثل ال State Sponsored وغرض هذا الإختراق دائما هو سرقة البيانات من الشركات بهدف بيعها والربح منها أو إستخدامها فيما بعد لأغراض أخري مثل سرقة البطاقات الإئتمانية وأموال المستخدمين.

مثال علي ذلك إختراق أحد الشركات العاملة في مجال البورصة لسرقة أموال ال Bitcoin التي يتم تداولها من خلال هذه الشركة.

مثال آخر, إختراق أحد شركات الألعاب الشهيرة لسرقة الكود المصدري Source Code الخاص بها وبيعه لشركة اخري منافسه لها.

مثال ثالث, إختراق موقع تابع لبنك معين لسرقة بيانات من قاعدة بياناته ويتم إستخدامها فيما بعد للإحتيال علي مستخدمي هذا البنك لسرقة أموالهم.

والآن إليك عزيزي القارئ هذه الأسئله, برجاء الرد عليها بناء علي ما قرأته في هذا المقال:

1- المخترق X قام بإنتحال شخصية أحد موظفي الشركة Y وقام بإرسال ملف pdf يحتوي علي ثغرة تم الإعلان عنها مسبقا لكنه قام بتشفيرها من جميع برامج الحماية, من وجهة نظرك, هل هذه الثغرة يتم تصنيفها ك ZeroDay بما أنها عالية الخطورة وغير مكتشفة من أي برنامج حماية وتصيب تطبيق يستخدمه ملايين الأشخاص, نعم أو لا؟ وتحت أي تصنيف يقع هذا المخترق من بين التصنيفات التي تم ذكرها بالأعلي؟

2- المخترق X قام بإختراق الشركة Y وقام بزرع RootKit داخل سرفرات الشركة لكي يتمكن من التحكم الكامل بها لفترة طويلة دون أن يتم إكتشافه, تحت أي تصنيف يقع هذا النوع من الإختراق؟

3- مؤخرا حدث صدام ما بين تركيا وروسيا بسبب إسقاط تركيا لطائرة روسية, بعدها بأيام أعلنت تركيا عن أن أنظمتها البنكية Online Banking تحت هجوم عنيف من الهكرز واللذين تم تتبعهم لتجد تركيا أن مصدر الإختراقات قادم من روسيا, في رأيك, هل هذا State Sponsored Attack ام Targeted Attack ؟