جميع مواضيع الكاتب سامر مقدادي
يعمل حالياً كمهندس نظم. مهتم بأمن الأنظمة و أنظمة و عمليات الحماية و إدارة أمن المعلومات. حاصل على الماجستير في إدارة النظم الهندسية و بكالوريوس في هندسة الحاسب الاّلي من الجامعة الامريكية في الشارقة
حماية بطاقتك الائتمانيــة من السرقة والاحتيال
أعجبني المقال المنشور في جريدة الامارات اليوم للتوعية بأهمية ز طرق حماية البطاقة الائتمانية.
المقال موجود على هذا الرابط: http://www.emaratalyoum.com/business/local/2011-01-14-1.342004
و قد قمت بتحميل اللوحة المصاحية للمقال و حقوق الملكية الفكرية تعود للجريدة. الغرض هنا التوعية و المساعدة على ايجاد مصادرها بسهولة.
الرجاء قرءة الخطوات جيدا ومحاولة اتباعها فعليا في الحياة العملية
مجلة سيكيورتي كايزن ( Security Kaizen ) مبادرة عربية رائعة في مجال أمن المعلومات
استقبلت انا والاخوة الاعزاء في مجتمع الحماية العربي خبر المولود الجديد لموقع bluekaizen.org المهتم بأمن المعلومات بفرح شديد وكلنا ثقة بأهمية هذه الخطوة الجبارة. حيث أصدر القائمون على الموقع أول عدد من المجلة التي يمكن الحصول عليها مجانا من www.bluekaizen.org. هذه المجلة تصدر باللغة الانجليزية حاليا.
من النظرة الاولى على المجلة ستلاحظ الاحترافية العالية في تصميم المجلة و عند مطالعة المواضيع فإن تنوع المحتويات سيجعلك تخصص وقتا لدراستها من الغلاف إلى الغلاف. طبعا ستلاحظ ان المجلة تحمل روحا مصرية عربية والتركيز على العالم العربي في مجال أمن المعلومات واضح. طبعا كلمة كايزن حسب أصحاب المجلة هي كلمة يابانية تعني التطوير والتقدم إلى الافضل.
في عرض صغير سأوضح أهم الأقسام في المجلة:
1- قسم لعرض الوظائف وأهم الاحداث والمؤتمرات الامنية في النصف الاول من سنة 2011
2- قصة واقعية عن اختراق موقع جامعة الاسكندرية
3- قسم لأصحاب القبعات الرمادية يشرح كيف يمكن تخبئة المعلومات في ملفات اخرى بطريقة لا يمكن ملاحظتها وبدن تشفيرها (Steganography).
4- و مقال اخر لأصحاب القبعات الرمادية يشرح عن اختراق برمجيات الويب ( cross site scripting or XSS)
5- قسم لتوعية القراء عن برنامج حماية الاطفال على الانترنت في جمهورية مصر
6- مراجعة لكتاب (The Art of deception) لكيفن متنك الذي تحدثنا عنه سابقا
7- أخبار متنوعة عن المؤتمرات والتجمعات الخاصة بأمن المعلومات و تقرير خاص عن مؤتمر black hat في ابوظبي
8- تقرير عن Stuxnet الذي يصفه الكاتب يالجريمة الكاملة
بالنسبة لي اشكرهم على المعلومات المفيدة بالمجلة ,اتمنى لهم مزيدا من التقدم
وشكرا لكم.
لايوجد نظام اّمن حتى SSL
أخيرا لا شيء اّمن … حتى SSL..
السر الأصغر.. قديم منذ الصغر
السّر الأكبر. قديم ولكن لم يكن خطيرا
ما اكتشفته الباحثون مؤخرا بدهشة كبيرة أن هناك عيبا في SSL.. ربما ليس ثغرة و ربما ليس عيبا برمجيا (BUG) وليس مخترقا ذكيا اكتشف هجوما جديدا انما هو طريقة مراقبة وانعدام ثقة من مؤسسات كبيرة. هذه المشكلة موجودة في طريقة عمل SSL وهي معروفة منذ زمن وهي لاتتعدى بعض المحاولات الاكاديمية التي تحتاج إلى ظروف خاصة لتنفيد هجوم Man in the middle attack من أشهرها:
شرح العيب:
نظرة على SSL
شركة سامر لخدمات الانترنت (مثال)
نصيحة لوجه الله تعالى
نصيحتي يا شباب استخدام PGP مجددا لتشفير الايميلات في حال احتوائها غلى معلومات شخصية أو صور عائلي والحذر الشديد عند استعمال ال SSL وربما البحث عن متصفح يتأكد فعليا من الشهادة الرقمية التي تستعملها هي فعلا الشهادة الحقيقية وليست من جهة تود مراقبتك أو ربما عن Plug in في المتصفح توضح الجهة المصدرة للشهادة !!
طبعا بعد قليل سينتبه المخربين إلى هذا الإجراء غير الصحيح ويخترعون طريقة لإستغلاله !!!!!
الله يستر ويبق ال VPN اّمنا !!!!!!
المصادر:
أشهر الشخصيات في عالم الأمن والحماية (ج2) – كيفين ميتنك
في هذه السلسلة سأقدم ملخصات عن شخصية من الشخصيات التي قدمت الكثير إلى مجال حماية المعلومات. ليس تمجيدا لهذه الشخصية أو ما تعتنقه من اراء. ولكن الهدف الرئيسي تقديم القاريء إلى المجالات التي أضاقتها هذه الشخصيات من خلال تقديمها. لمعرفة المزيد عن هذه الشخصية الرجاء فتح الروابط.
يعتبر كيفين ميتنك (Kevin Mitnick) من أشهر المخترقين في العالم وله إنجازات (عفوا جرائم) اعتبرت جد خطيرة لدرجة أنه كان مطليوبا من العدالة الامريكية. من أهم الإختراقات التي اتهم بها :
1- اختراق نظام لوس انجلوس للمواصلات العامة ليتمكن من استعمال مرافقها مجانا
2- إختراق أنظمة شركة كانت تسمى DEC للحصول على source code الكامل لنظام تشغيل VMS التجاري في ذلك الوقت
3- إختراق جهاز IBM في أحد المراكز التعليمية أيضا في لوس انجلوس (للفوز برهان مع أصدقائه)
4- إختراق أنظمة شركات مثل NEC و Nokiaو Sun Microsystems و Fujitsu Siemens
هذا بالإضافة إلى العديد من الجرائم التي لم تثبت عليه.
طبعا الرجل سجن عدة مرات في سنوات مختلفة وكان إطلاق سراحه دوما مشروطا بعدم استخدام أي شئ يخص تقنية المعلومات حتى الهواتف النقالة ولكنهم سمحوا له باستخدام هاتف ارضي فقط.
ما يهم في الموضوع أن الرجل تاب وقرر استخدام مهاراته في الاختراق لتعليم الناس أفضل الطرق لحماية معلوماتهم. وله كتابين في هذا الموضوع
الأول : فن الخداع (The Art of Deception) يتحدث فيه عن الهندسة الإجتماعية ولاحظت من خلال قراءة الكتاب أن الرجل يحاول ان يوصل رسالة أن معظم إختراقاته إعتمدت على أخطء الناس عندما يعلق الموضوع بحماية معلوماتهم عند تعرضهم للهندسة الإجتماعية. يسميه كيفين العامل البشري
الثاني : فن الإختراق (The Art of Intrusion) الذي يحدث فيه عن قصص واقعية ويتضمن القصة الخاصة به أيضا تتحدث عن اشهر الإختراقات والتي كان فيها العمل البشري هو الحلقة الأضعف.
طبعا هو الان يدير شركة للإستشارات الأمنية Mitnick Security. ومن خلال أعمال الشركة يقوم بتقديم دروس توعية هدفها تعليم الناس والمختصين كيف ان العامل الانساني خطير في أمن المعلومات وكيف يمكن حماية المعلومات عن طريق تثقيف الناس بهذه الأخطار.
لقراءة الجزء الأول
blackhat في أبوظبي
مبارك عليكم الشهر الفضيل..
أود أن أعلمكم عن مؤتمر Blackhat الذي سيعقد في أبوظبي 
بتاريخ 8-11-2010 . يعتبر هذا المؤتمر تعليميا عن أمن المعلومات من ناحية هجومية
ويحتوي العديد من الدروس والعروض التقديمية المختصة في هذا المجال. للتسجيل واختيار الدروس الرجاء زيارة الموقع المختص على هذا الرابط.
طبعا من ناحيتي وجدت أن رسوم التسجيل عالية وربما تناسب الشركات أكثر من الأفراد.
عموما أهلا وسهلا بكم في أبوظبي وأتمنى لقاء أي من المشاركين.
انتل تستحوذ على مكافي (MCAfee)
خبر عجيب حيث اعلنت شركة انتل استحواذها على مؤسسة مكافي Mcafee مقابل 7ز7 بليون دولار . طبعا شركة انتل تعرف بمجال تصنيع المعالجات وحاليا تملك خط انتاج كامل من الحواسيب النقالة والمكتبية بالاضافة إلى تصنيع الكثير من كروت الشاشة واللوحات الام. أما Mcafee فقد بدأت كمنتج لمكافحة الفيروسات وتنتج حاليا العديد من الانظمة المختصة بأمن المعلومات( NIPS,HIPS, Firewall,Foundstone).
طبعا كما يقال بالعامية (ايش جاب لجاب) و للخبير الأمني بروس شناير تحليل للموضوع : فهو يرى أن الامن والحماية ليس الاّن من أجل المستخدمين والاجهزة الشخصية فقط. بل ان البنية التحتية لخدمات أمن المعلوما أصبحت تحتاج إلى الحماية أكثر بسبب زيادة إعتمادنا عليها. ولأن شركات كثير تعمل بأمن المعلمومات وتبدع لإان شركات كبيرة (أكبر نسبيا من Mcafee) تحتاج إلى هذه الابداعات لتقدمها كحلول متكامة مع منتجاتها. فقد رأينا هذا يحث سابقا مع microsoft وIBM حيث استحوذت كليهما على شركات مختلفة سواء كانت في أمن المعلومات أم في إدارة الأنظمة. فلماذا نستغرب حدوث هذا مع أنتل. و يستنتج شناير أن أمن المعلومات باتت تعتبر جزء مهما من المنتجات المختلفة ليس كالسابق حين كانت الحماية تعتبر نوعا من الرفاهية و يتم التخطيط لها لاحقا بعد تطوير البرامج والأنظمة.
أنا أعتقد ان الموضوع مادي أكثر حيث يأكل الكبير الصغير ويضمه لزلمه ليزيد قوة .
ودمتم اّمنين في حمايته تعالى…
التشفير عند العرب تاريخيا … أو ما أطلقوا عليه التعمية
كنت أقرأ عن الخوارزمي مؤسس علم الخوارزميات وجالت في خاطري الأفكار التالية:
1-لابد أن العرب خلال الدولة الأسلامية احتاجوا إلى التراسل خلال الغزوات.
2- ترجم العرب والمسلمين الكثير من العلوم والكتب خلال النهضة الاسلامية
3- طور العرب كثير في علوم الجبر والرياضيات والكيمياء والطب
4- التشفير كان موجودا منذ أيام الفراعنة إذا لم تخني ذاكرتي (قبل 4000 سنة )
وبعد تسلسل الأفكار السابقة سألت نفسي : أين العرب من التشفير ؟!؟!؟!؟؟ لماذا لم نقرأ عن اي محاولات للعرب في هذا المجال تاريخيا. طبعا تذكرت ماأعرف عن انجازات العرب المعاصرين في التشفير ولم يخطر على بالي سوا العالم طاهر الجمل الأمريكي من أصل مصري .. الذي طور نظام الجمل للتشفير (ElGamal Encryption) الذي يحتاج إلى مجلدات إلى شرحه .
المهم قررت ان ألجأ إلى عراف الانترنت GOOGLE وفعلا من مقال إلى اّخر توصلت إلى انني كنت أعمى عن تاريخ العرب والتشفير… أو ماسموه سابقا التعمية
اكتشفت أن العلماء العرب لهم مجلدات في هذا الموضوع.وعلى سبيل الذكر وليس الحصر:
1- أحمد بن خليل الفراهيدي الذي كتب “المعمى” الذي ليس له اثر فعليا ولكنه ذكر مرارا في المجلدات التاريخية
2-جابر بن حيان في كتابه “حل الرموز ومفاتيح الكنوز” . طبعا ليس له اثر ولكن ذكر كمرجع ايضا ي مصادر تاريخية
4- يعقوب بن اسحاق الكندي الفيلسوف العربي الذي ترك لنا رسالة ” استخراج المعمي”
وغيرهم ..
للأسف المرجع الوحيد المتوفر لي حاليا وأظن انه الوحيد عربيا منشور ككتاب مجاني (تحذير ملف PDF) ويوجد منه تسعة أجزاء لم يتسنى لي الوقت للمرور عليها جميعا ويمكن مراجعتها على الرابط التالي في أرشيف الولايات المتحدة الأمريكية (us.archive.org). هذا المرجع بحث للكتور محمد مرياتي.
لاحظت أنه برغم حماسة الدكتور لتاريخ العرب والأمجاد التي يبكي عليها أنك عندما تحاول مثلا فهم ما يقول الكندي فأنك ستجد العديد من المفاهيم التي تحتوي عليها مراجع التشفير المتقدمة. مثلا مفهوم Letter frequency الذي يستخدم عند فك الشفرات والذي يترجم عربيا إلى تواتر الحروف … وهو مبدأ يعتمد على أنه في أي لغة مكتوبة تتكرر بعض الأحرف بشكل كبير أكثر من غيرها مما يسهل عملية فك الشفرة. وهناك أبحاث في هذا المجال تحاول وضع قواعد علمية لنسب التكرار. مثلا حرف الألف من أكثر الحروف تكرار في اللغة العربية. فإذا وصلتك رسالة تعرف انها شفرت من العربية وتحتاج لفك شفرتها حاول التركيز على حرف الف اين قد يتكرر . وثم حرف الواو أو الياء. المهم في الموضوع ان ما أعجبني أن الكندي تطرق إلى الموضوع بلغة عربية بسيطة تعتمد على مبدأ رياضي فقال في رسالته:
“فمما نحتال به لاستنباط الكتاب المعمى إذا عرف بأي لسان هو، أن يوجد من ذلك اللسان كتب قدر مايقع في جلد أوماأشبهه، فنعد مافيه من كل نوع من أنواع حروفه، فنكتب على أكثرها عددا الأول، والذي يليه في الكثرة الثاني، والذي يليه في الكثرة الثالث حتى نأتي على جميع أنواع الحروف، ثم ننظر إلى الكتاب الذي نريد استخراجه، فنصنف أيضا أنواع الحروف، فننظر إلى أكثرها عددا فنسميه بسمة الحرف الاول، والذي يليه في الكثرة فنسمه بسمة الحرف الثاني،…. ثم كذلك حتى تنفذ انواع الحروف…. ”
طبعا تعتمد طريقته على المنهاج التالي:
1- اذا عرفت نوع اللغة المشفرة .. مثلا الرومانية . فاذهب إلى كتاب روماني وادرس نسب تواتر الحروف.
2- قارن الرسالة المشفرة وحاول استنتاج نمطية تواتر الحروف,
3- ويشرح في باقي الفقرة أن هذه الطريقة ليست مضمونة دائما فهي تعتمد على طول الرسالة المشفرة أو قصرها
4- ويطلب من محلل الشفرة أن يحاول الحصول على اكثر من رسالة مشفرة حتى يحصل لى نتائج أكبر .
بالنسبة لي لا أملك إلا ان أخلع القبعة على الطريقة الهندسية المنظمة في التحليل.. و اتعلم ان لا أبكي على اللبن المسكوب ..ولا اريد ان اضيع وقتي ووقتكم بأن اتفاخر فقط بأجدادي. بل بأن أحاول ان انهل من العلوم مثلهم واحاول أن أطورها حين تمكنني مقدرتي من ذلك وان لا أجعل شيئا يثبط همتي ماديا كان أو معنويا لتطوير بلدي وانفع امتي بالعلم الذي فضل الله علينا به.
وارجوا أن أكون قد قدمت إليكم رحلة مفيدة قد تشجعنا على البحث الدائم ومحاولة تطوير أدوات الحماية الخاصة بنا بدل من أن نكون مستهلكين لبرمجيات وانظمة لانعرف دواخلها ولا نعرف ان كانت تحمينا ام هي من طراز “حاميها حراميها”
ودمتم اّمنين بحماية الله…
مثال على الهندسة الإجتماعية .. إنتحال الشخصية
في هذه الحياة السريعة ولتسهيل الأمور نقوم باستخدام البطاقات الإئتمانية (VISA, Master’s card) في جميع المعاملات اليومية ..لشراء البقالة.. الملابس .. التبضع على الشبكة العنكبوية..حتى عندما تسافر إلى الخارج ..تجد من ينصحك بحمل هذه البطاقات لأنها تحميك عند محاولات السرقة…ولكن … هل هي فعلا امنة .. هل رصيدك البنكي أو تحويشة عمرك في أمان عند حمل هذه البطاقة. تعال معي عزيزي القارئ لمتابعة يوم تخيلي في حياتي .. ونرى كيف يمكن للهندسة الإجتماعية أن تكون خطيرة.. جدا .. وأعذوروني على التفاصيل المملة
تحدث المهندس رياض عن الهندسة الإجتماعية وأود أن أعرض مثالا قد يحدث لأي شخص منا. وهذا المثال ليس للترهيب أو الدعوة لإستخدام مثل هذه الطرق .. انما هوللتذكير بأهمية محاولة تجنب الاخطاء التي يسغل
القصة:
كنت اريد ان اشتري لعبة PS3 جديدة ..ولأني انسى دوما سحب الكاش من الATM قررت ان أدفع بالفيزا .. المهم اخترت اللعبة , ولأني أثق كثيرا بالبائع أعطيته البطاقة ورحت أجول بعيني على الألعاب في المحل.. في هذه الاثناء قام البائع بكتابة رقم البطاقة وتاريخ الانتهاء والرقم الأمني (لا أعرف لماذا يسمونه كذلك) على ورقة وقام بعملية الشراء.. طبعا أعطاني ورقة العملية التي وقعت عليها بعدما تأكدت من أنه سحب المبلغ المطلوب فقط. وعدت إلى البت سعيدا أمني نفسي بلعب هذه اللعبة حتى اّخر الليل.
طبعا البائع بعد خروجي مباشرة دخل إلى google وقام بالبحث عن اسمي (Samer Salah Miqdadi) .. ووجد اني مشترك بالفيسبوك Facebook . دخل إلى الملف الشخصي الخاص بي والذي يقدر على فتحه أي شخص مشترك بfacebook ..ووجد المعلومات التالية
ووجد تاريخ ميلادي و رقم هاتفي الشحصي .. وحمل هذه الملاحظات وذهب إلى الشارع واستخدم هاتفا عموميا واتصل على البنك الخاص بي و جرت المكالمة التالية:
البنك: معاك بنك الذهب كيف استطيع ان أخدمك
البائع: لقد نسيت الرقم السري لبطاقتي الائتمانية واريد إجراء سحب نقدي
البنك : حسنا سأعمل reset وسوف تصلك كرسالة على هاتفك الشخصي
البائع: الا ترى أني أكلمك من هالتف عمومي..لقد فرغت بطاريت هاتفي المحمول من الشحن واحتاج المال لشراء بطارية جديدةلأن زوجتي حامل وانا عالق في زحمة مرورية واحتاج الاتصال بسيارة اسعاف
البنك : انا اسف سيدي ولكن هذه اجراءات البنك وانا لأاستطيع مساعدتك
البائع: انا من عملاء البنك واريد اسمك الكامل ورقمك الوظيفي لأشكو عليك إلى قسم الشكاوي ,اقسم بأنه لو حدث لزوجتي مكرووه سأقوم برفع قضية
البنك: لاداعي للغضب سيدي الكريم هل لي فقط أن أسالك بعض الاسئلة الشخصية
البائع: تفضل
البنك: الاسم
البائع: سامر مقدادي
البنك: رقم الهاتف
البائع: 050 3847283
البنك: تاريخ الميلاد
البائع: 34/3/3009
البنك: شكرا سيدي الكريم سأقوم بعمل Reset وستصلك على هاتفك
البائع: لقد أخبرتك بظروفي و,,
البنك: نعم سيدي وانا واثق ان تعرف ان الباسوورد ستكون هي سنة ميلادك
البائع:3009 يعني
البنك: نعم
البائع:شكرا وانا أعرف مدير خدمة العملاء عندكم وساوصيه بترقيتك لخدمتك الممتازة
البنك: شكرا واسمي محمد محمود في الخدمة دوما..
ينهي البائع المكالمة ويتوجه إلى أقرب انترنت كافيه ويدخل إلى أحد مواقع الشراء الإلكتروني ويقوم بعمل طلبية شراء إلى بريد خاص به في بلاد خارجية خاص بشركة كبيرة تستقبل ملايين الرسائل والطرود ويكون متفقا مع أحد السعاة هناك على ان يسلمه الطرد مقابل مبلغ بسيط.
وتنتهي الحكاية ويخسر سامر مبلغا كبيرا ولا يكتشف ذلك إلا بعد شهر حين اجريت تلك عملية الشراء
ماهي الأخطاء التي جعلت سامر ضحية الهندسة الإجتماعية؟
1- الثقة الزائدة حين سلم البائع البطاقة
2-عدم مراقبة البائع خلال عملية الشراء
3- نشر معلومات شخصية على الانترنت مثل الهاتف وتاريخ الميلاد
ما هي أخطاء الرجل الذي يعمل في البنك ؟
1- عدم اتباع سيايسة امن المعلومات الخاصة بالبنك والتي تقضي بعدم إعطاء الباسوورد على الهاتف بل عن طريق رسالة أو حتى رسالة مغلقة تسلم باليد إلى صاحب الشأن
كيف نتفادى هذه القصة وعدم الوقوع في هذه الاخطاء؟
1- حاول الا تستخدم البطاقات الإتمانية إلا عند الضرورة القصوى. ويكن الإستعاضة عنها ببطاقات مدفوعة مسبقا غير مرتبطة بحسابك البنكي.
2- لاتثق بأحد حين تسلمه البطاقة واطلب من البائع ان يريك ما يقوم به خلال عملية الشراء
3- لا نتشر معلوماتك الشخصية على الانترنت حتى على المواقع الإجتماعية وبرامج المراسلات الفورية مثل msn MESSANGER
4- حاول التأكد من أن البنك الذي تتعامل معه يتبع إجراءات الامن القياسية بالنسبة للبطاقات الإئتمانية
5- حاول الإشتراك بخدمة الرسائل الفورية التي ترسل رسالة إلى هاتفك أو إلى بريدك الالكتروني عندما تتم عند إجراء اي معملة بريصيدك الإئتماني أو الجاري
6- تأكد عند استعمال البطاقة لإئتمانية عند الشراء عن طريق الانترنت أن يكون الحاسب الالي الذي تستخدمه امن وخالي من الفيروسات والبرامج الخبيثة.
اما نصيحتي الشخصية فهي ان تبتعد عن استخدامها نهائيا لأنها غير امنة وتكلف كثيرا عند استخدامها.
أشهر الشخصيات في عالم أمن والحماية (ج1) – بروس شناير
في هذه السلسلة سأقدم ملخصات عن شخصية من الشخصيات التي قدمت الكثير إلى مجال حماية المعلومات. ليس تمجيدا لهذه الشخصية أو ما تعتنقه من اراء. ولكن الهدف الرئيسي تقديم القاريء إلى المجالات التي أضاقتها هذه الشخصيات من خلال تقديمها. لمعرفة المزيد عن هذه الشخصية الرجاء فتح الروابط.
الشخصية الاولى والتي تعتبر كنجوم السينما في عالم الحماية هو بروس شناير (Bruce Schneier).هوأمريكي متخصص في التشفير و أمن الحاسوب. له العديد من الكتابات التي حققت أعلى المبيعات. من أهم كتاباته والتي تعتبر مرجعا في تطبيقات التشفير Applied Cryptography الذي نشر 1996. وله كتابات عديده يمكن الإستفادة منها بشكل كبير في مجال الحماية بشكل عام.
ساهم في العديد من خوارزميات التشفير ولها العديد من الأبحاث العلمية عنها ويمكن قراءة هذه الأبحاث على صفحته الشخصية.
طبعا من الاشياء التي تجعله مشهورا هو الدورية الشهرية (CryptoGram) التي يكتبها ويرسلها إلى القراء بدون أي مقابل . تحوي على اّخر الاخبار و أهم الأحداث واراؤه الشخصية في عالم أمن المعلومات. طبعا يتابع هذه الدورية الكثير من القراء حول العالم (من بينهم أخوكم أنا). للإشتراك بهذه المجلة الرجاء التوجه إلى هذا الموقع.
أنظمة كشف و حماية الإختراق (IPS)
السلام عليكم..
موضوعي الأول الذي سيكون مقدمة مبسطة عن أنظمة الحماية و كشف الاختراقات والتسلل (IDPS) وسيكون لي عودة إلى مواضيع متخصصة في هذا المجال بشكل علمي (من ناحية النظريات المستخدمة) وبشكل تجاري ( من ناحية التطبيقات والشركات الرائدة في هذا المجال)في المستقبل القريب.
مقدمة:
الدفاع في العمق يعد من أفضل الطرق المتبعة حين يصمم مهندسي الأمن والحماية برمجياتهم و معداتهم وانظمتهم بشكل عام. وتعد أنظمة كشف التسلل (IDS) و انظمة مكافحة التسلل (IPS) من أهم المكونات التي ينصح باستخدامها عند تطبيق طريقة الدفاع في العمق. حتى وقت قريب كانت جميع الشركات تسوق منتجاتها بشكل منفرد كأنظمة كشف التسلل (IDS) أو انظمة مكافحة التسلل (IPS) ولكن بسبب التقدم التقني في الاجهزة والبرمجيات ؛ أصبحت تسوق الاّن كنظام موحد يسمى نظام كشف و مكافحة الإختراق (IDPS) ( تنبيه: ملف PDF).
قبل التفاصيل أود أن أوضح أن هذه الأنظمة ليست جدارا ناريا (Firewall) ولا برامج لمكافحة الفيروسات (Anti-Virus). بل هي عبارة عن أنظمة تجهز بشكل معين ويتم توصيلها في الشبكات بطريقة خاصة بحيث تتمكن من مراقبة كل المعلومات المتدفقة إلى داخل الشبكة.
شكل (1) - إحدى طرق تجهيز وتركيب نظام كشف و مكافحة الإختراقات
أين يوصل هذا النظام؟
يوضح الشكل رقم (1) إحدى أفضل الطرق بالنسبة لي لتركيب نظام كشف و مكافحة الإختراق. حيث يتم وضعه عادة على حدود الشبكة. في أغلب الأحيان تكون الحدود عبارة عن جدار ناري يفصل بين الشبكة الخارجية (الانترنت أو أي شبكة غير موثوقة) و الشبكة الداخلية (الانترانت: حيث توجد كل البيانات الداخلية الخاصة بشبكتك). الطريقة الأولى والمتبعة عادة هي تركيب النظام عند النقطة رقم (1) كما هو موضح في الشكل (1) لمرقبة البيانات المتجهة إلى داخل الشبكة الخاصة بك. من فوائد هذه الطريقة هي إمكانية مراقبة جميع البيانات المتجهة إلى الشبكة لكشف ومكافحة أي محاولة إختراق. الطريقة الثانية هي توصيل النظام عند النقطتين (1) و (2) .تهدف هذه الطريقة إلى مراقبة البيانات الداخلة قبل الجدار الناري و البيانات التي تمت فلترتها بعد الجدار الناري ومن فوائدها مكافحة الإختراقات بالإضافة إلى دراسة فعالية الجدار الناري ومدى الإفادة منه. الطريقة الثالثة التي قد يتم اعتمادها هي توصيل النظام عند النقطة (2) فقط وهي طريقة تمكن مراقبي الشبكة من مكافحة الإختراقات بعد فلترة البيانات مما قد يمنع من معرفة المحاولات الفاشلة التي توقفت قبل الجدار الناري.
هل هناك تدخل بشري في هذا النظام؟
طبعا نلاحظ في الشكل(1) وجود غرفة لمراقبة أمن الشبكة أو مركز عمليات الأمن (Security Operations Center – SOC) (طبعا في الشركات الكبيرة) طبعا لا يكتفي المراقبون في هذه الغرف بمراقبة النظام. بل يقومون بتحليل البيانات الواردة من هذه الأنظمة و يقومون بدراستها وتحليلها وتقديم التقارير عنها. وطبعا لأن هذه الأنظمة عبارة عن برمجيات وأجهزة حاسب فإنها لا تستطيع دائما الكشف عن الإختراقات أو حتى مكافحتها. قد تكون هذه الإختراقات معقدة جدا أو جديدة عليها. وهنا يأتي الدور البشري للتدخل مكافحة هذه الإختراقات والرد عليها.
ماذا عن البيانات المتجهة من داخل الشكة إلى خارجها؟
تساؤل يتبادر إلى الأذهان عند ملاحظة ان هذا النظام يراقب فقط البيانات المتجهة من الخارج إلى الداخل. طبعا مراقبة البيانات الداخلة من الانترنت إلى داخل الشبكة أسبابه واضحة لآن مستخدمي الانترنت والشبكات الخارجية غير موثوق بهم بالنسبة لشبكتك الداخلية ولذلك فإن الشبكات تعتمد على هذه الأنظمة لمراقبة أي محاولة إختراق خارجية. ولكن ماذا عن البيانات التي قد يرسلها مستخدمين الشبكة الداخلية إلى الخارج. هل نحتاج إلى مراقبتها. يعتمد هذا السؤال على نوعية البيانات. فمثلا يفضل مهندسي الشبكات في المؤسسات الأمنية والعسكرية مراقبة البيانات الداخلة والخارجة. وهي طبعا طريقة مكلفة حيث يضطر صاحب الشبكة إلى مضاعفة الأجهزة و الموظفين.
كيف تحلل هذه الأنظمة عن الإختراقات وتكشفها؟
هناك عدة طرق تحلل بها هذه الأنظمة البيانات للكشف عن الإختراقات:
1- الإعتماد على نمطية (توقيع) الإختراقات (Signature – based) : وهي عن طريق تحليل جميع البيانات ومقارنتها بقاعدة بيانات هائلة تحوي جميع الأنماط والإحتمالات لإختراقات سابقة ومعروفة. وهي أكثر الطرق فعالية وأبسطها.
2- الإعتماد على البيانات غير المألوفة (Anomaly-based) : وهي طريقة تعتمد على واقع أنه حين يحدث إختراقات فإن البيانات ستتغير وتصبح غير طبيعية أو مألوفة بالنسبة للنظام.ولتفعيل هذا النظام يجب على النظام ان يتعلم من خلال مراقبة الشبكة في الوضع الطبيعي قبل تفعيل خاصية مراقبة الشبكة أو أن يقول مسؤول الشبكة يدويا بإدخال مدخولات تحدد الوضع الطبيعي للشبكة. تعرف هذه الطريقة تعرف أحيانا بطريقة الكشف عن طريق التصرف (Behavior-based).
طبعا بسبب تقدم التقنيات وتطور أجهزة الحاسب الالي سوف نجد أن بعض الأنظمة تستخدم الطريقتين.
كيف يعمل هذا النظام وماهي مكوناته؟
شكل (2) اّلية عمل النظام
نظام كشف الإختراقات قد يكون جهاز حاسب الي مخصص للمراقبة (مثلا من سيسكو CISCO ) أو برنامج يعمل على نظام لينيكس (مثلا من شركة ISS التي امتلكتها IBM مؤخرا)
يعمل النظام عن طريق أجهزة أو قد تكون برامج تسمى الحساسات تقوم بجمع البيانات من الشبكة من ثم إرسالها إلى جهاز أو برنامج (يسمى المحلل) يقوم بتحليل البيانات ودراستها بالإعتماد على الطرق السابق شرحها إما عن طريق نمط الإختراق أو عند وجود بيانات غير طبيعية. بعدها يقوم المحلل بإرسال إنذار إلى برنامج المراقبة الذي يقوم بمراقبته أحد مختصي أمن المعلومات. بالطبع هذا الشرح مبسط جدا وهو غير وافي لأن النظام يحتوي على العديد من المكونات و برمجيات الذكاء الإصطناعي و سجلت فيه عدة وثائق لبراءة الإختراع. ولكن هذه المقالة هدفها الأساسي تقديم القاري إلى هذه الأنظمة.
أنواع أخرى من أنظمة كشف ومكافحة الإختراق
1- نظام كشف ومكافحة إختراق الشبكات (NIPS): هي التي تركب وتوصل فعليا في الشبكات و هي التي حاولت الشرح عنها. من أشهرها :
1- cisco ips
3- ISS IBM IPS
2- نظام كشف ومكافحة إختراق الأجهزة (HOST-based IPS): وهي عباة عن حزمة برامج تعمل بنفس طريقة ال(IPS) ولكنها تراقب جهازا واحد (سواء خادم أو حتي جهاز شخصي). ,و طبعا يمكن الحصول على هذه البرامج من شركات كبيرة مثل Mcafee ..ISS..Bitdefender..Norton..CISCO. ويلاحظ أن العديد من مسؤولي النظم يستخدمون ال HIPS بالإضافة إلى برامج مكافح الفيروسات لرفع درجة الحماية.
أرجو أن أكون قد أفدتكم بمعلوماتي المتواضعة والرجاء توجيه الإستفسارات دون أي تردد.
الصورة رقم 3 توضح ما يراه محلل النظم في يوم عادي
جاري التحميل ...