ما هو Data Leakage Prevention ؟

Data Leakage Prevention هي اختصار DLP و هي استراتيجية أمنية شاملة للحفاظ على البيانات المهمة من الأشخاص الغير مُصرح لهم بالإطلاع عليها ومنع تداولها خارج نطاق المنظمة باختلاف حالة مكان هذه البيانات سواء كانت مخزنة على وحدات التخزين (In-rest)، أو أجهزة المستخدمين والخوادم (In-Use)، أو متنقلة من خلال الشبكة (In-motion).

في الحقيقة إن بناء استراتيجية شاملة للحفاظ على البيانات من تداولها خارج نطاق المنظمة يعتمد بشكل أساسي على تصنيف هذه البيانات (Data Classification). فتطبيق سياسات تصنيف البيانات من قِبل المنظمات من حيث سرية بيناتها و أهميتها مهم جداً ويساعد كثيراً عند فرض القيود التقنية و الحلول الأمنية المناسبة لحماية البيانات. و كمثال على تصنيف البيانات في المنظمات (عام، هام، سري، سري للغاية) فجميع البيانات بشكل عام متفاوتة الأهمية بحسب تصنيفها و أيضاً هناك طرق لإيضاح نوع التصنيف على هذه البيانات بناءً على هيأتها، فالبيانات الورقية يكون تصنيفها مرفق معها أو مطبوع عليها (Labeling)، والبيانات الإلكترونية تصنف عبر إستخدام بعض الأدوات المخصصة لذلك مثل أداة TITUS الشهيرة.

أصبح استخدام التقنية عنصر أساسي لعمل جميع الإدارات والتي يتعامل أفرادها بطريقة مباشرة مع بيانات المنظمة، لذلك أصبح لدى المسؤولون هاجس كبير من تسرب و تداول بياناتها السرية خارج أسوار المنظمة ووصولها لأناس لا يحق لهم الإطلاع عليها.

🔸 ما هي طرق تسرب البيانات ؟

• ◊ الحديث بصوت عالي في الأماكن المفتوحة عن ما تحتويه بيانات المنظمة.

• ◊ ترك الأجهزة الشخصية بدون تسجيل خروج أو قفل للشاشة.

• ◊ سرقة الأجهزة المحمولة والأجهزة الذكية و أجهزة التخزين المتنقلة الغير محمية، والتي تحتوي على بيانات مهمة.

• ◊ التفتيش في سلة المهملات للبحث عن البيانات المهمة.

• ◊ الهندسة الاجتماعية و خداع الموظفين لإستخراج المعلومات المهمة والسرية منهم.

• ◊ نسخ البيانات على أجهزة التخزين المتنقلة (USB, CD/DVD) ونقلها خارج المنظمة.

• ◊ طباعة الملفات المهمة عن طريق الأشخاص الغير مصرح لهم وإخراجها خارج المنظمة.

• ◊ إستخدام الكاميرا المدمجة مع أجهزة الهواتف النقالة لإلتقاط صور للبيانات المهمة.

• ◊ إرسال البيانات المهمة إلى الخارج عبر البريد الإلكتروني.

• ◊ إرسال البيانات المهمة إلى الخارج برفعها لمواقع التخزين التجارية عبر خدمة الإنترنت المقدمة داخل المنظمة.

• ◊ إرسال البيانات المهمة عبر تطبيقات المحادثة (Instant Messageing).

• ◊ ضعف أنظمة تحكم الوصول للتطبيقات و قواعد البيانات و التي عن طريقها يتم الوصول للبيانات المهمة.

• ◊ التنصت على البيانات المرسلة عبر الشبكة الداخلية للمنظمات.

• ◊ أيضاً تواجد الأبواب الخلفية (البرامج التجسسية ) على أجهزة المنظمة يساهم بنسبة كبيرة في عملية تسريب البيانات.

• ◊ وصول المخترقين من عالم الإنترنت إلى الشبكة الداخلية للمنظمة عبر الخدمات الإلكترونية المقدمة من خلال الانترنت.

ما هي طرق المحافظة على المعلومات؟

طرحت بعض الشركات العالمية كـ (Macfee و Bluecoat و EMC) عدة أنظمة مخصصة لاستراتيجيات الـ (Data Leakage Prevention (DLP.
و هنا سوف نتحدث بشكل عام عن أبرز النقاط التي يركز عليها الكثير من المهتمين بهذا الموضوع و الأنظمة المخصصة لذلك و التي تشمل الجوانب التقنية الإدارية والمادية (الفيزيائية) وهي كالآتي :

أولاً وقبل البدء في حماية البيانات يجب على المسؤولين في أي منظمة تصنيف البيانات حسب أهميتها وسريتها و ذلك لإتخاذ الإجراء المناسبة لكل تصنيف.

• ◊ بناء السياسات الأمنية المتعلقة في بيانات المنظمة وإطلاع جميع موظفي المنظمة عليها وحثهم على اتباعها.

• ◊ إيجاد إجراءات أمنية للحفاظ على سرية البيانات تُتبع عند التخلص منها سواء كانت هذه البيانات تقنية أو ورقية.

• ◊ تثقيف وتوعية موظفي المنظمة تجاه المخاطر التقنية كـ (Phishing Email, Malicious URL)، والتي قد تساهم في تسريب البيانات خارج المنظمة.

• ◊ مراقبة محتوى الانترنت والبريد الإلكتروني Content inspection لعمل فلترة و منع جميع البيانات المهمة من الخروج لعالم الإنترنت.

• ◊ تفعيل أنظمة مكافحة الفيروسات على جميع الأجهزة و خدمات الانترنت و البريد الالكتروني.

• ◊ تشفير البيانات المهمة والتي عادةً ما تنتقل من خلال الشبكات الداخلية و الخارجية لمنع المتطفلين من الإطلاع عليها.

• ◊ أنظمة التحكم بالوصول (Access Control) سواء كانت على البيانات أو التطبيقات، وحتى مباني المنظمة يجب أن تكون متواجدة وفعالة بالقدر الذي يحمي البيانات من الوصول الغير مصرح له.

• ◊ يجب أن تكون الصلاحيات الممنوحة لمستخدمي أنظمة المنظمة وتطبيقاتها وفق الحاجة (Least Privileges).

• ◊ تقييد أجهزة المستخدمين و تعطيل أو مراقبة الأجهزة التي قد تساهم في تسريب البيانات مثل (USB, CD/DVD).

• ◊ حماية جميع الخدمات الإلكترونية المقدمة من خلال الانترنت و منع المخترقين من اختراقها عبر التقنيات المتقدمة مثل (Firewall, IPS)، وغيرها من تقنيات الحماية المتقدمة.

• ◊ أيضاً تعتمد كثير من المنظمات على استحدام تقنيات Mobile Device Management (MDM) الحديثة و التي تعمل على الحفاظ على سرية البيانات المتواجدة على الأجهزة المحمولة و الأجهزة الذكية المتنقلة مع موظفي المنظمة خارج نطاقها.

ما هي ثغرة SS7 ؟

تعتبر ثغرة SS7 من أخطر الثغرات في مجال الاتصالات حالياً، ولايوجد طريقة للحماية منها، و هذا ما يدعونا للتساؤل حول القائمين على تأمين الاتصالات الهاتفية وعدم جديتهم في إصلاح هذه الثغرة، فلقد ذهب البعض منهم للقول بأنها تتطلب إعادة هيكله كامله لشبكة الاتصالات العالمية وهذا سيُسبب خسائر كبيرة ووقتاً أطول، وذهب البعض الآخر للقول بأن القرار السياسي للدول هو الذي يعطل إصلاحها وذلك لأن الكثير من الحكومات و أجهزة الإستخبارات تستغل هذه الثغرة للتجسس على الأفراد والجماعات و هذا يصب في مصالحها.

◆ تعريف بروتوكول SS7

هو مجموعة من البروتوكولات الخاصة بالإتصالات الهاتفية ويعبر عنه بالإنجليزي بـ” Signaling System 7″ واختصاره SS7.
ليس هذا هو التعبير الوحيد له، ففي الولايات المتحدة الأمريكية، يُرمز له بـ CCSS7، وفي بعض البلدان الأوروبية ومن بينها “إنجلترا” يسمى C7 أو CCIS7 .

يرجع تاريخ تأسيس بروتوكول SS7 إلى العام 1975 من قبل شركة AT&T، و تم إعتماده رسمياً من قِبل الاتحاد الدولي للاتصالات “CCITT” في عام 1981، كمعوض لجميع البروتوكولات السابقة مثل SS5 و SS6 و R2 اللذي لا يزال يستعمل إلى حد الآن في العديد من البلدان.

حالياً يوجد مشتق من هذا البروتوكول يُسمى SIGTRAN و اللذي تم تأسيسه في العام 2000، وهو يشتغل على بروتوكول الانترنت IP ويُستعمل في شبكات الجيل الثاني والثالث والرابع من اتصالات الموبايل، وكذلك نجده حاضراً في خدمة الإتصال الصوتي عبر الأنترنت VoIP، واللتي يتم فيها نقل بيانات بروتوكول SS7 عبر بروتوكولين جديدين، SIP و Diameter.

◆ وظيفة بروتوكول SS7

الوظيفة الرئيسية لبروتوكول SS7 هي السماح بإجراء اتصالات هاتفية عن طريق الشبكة العامة لتحويل الهاتف PSTN، إلى جانب ذلك هنالك العديد من المهام الأخرى التي يؤديها، نذكر منها :

• ⁙ إرسال الرسائل النصية.

• ⁙ تبادل معلومات المتصلين.

• ⁙ إدارة المكالمات الهاتفية.

• ⁙ ربط و تأمين شبكات الإتصال.

• ⁙ توجيه المكالمات.

• ⁙ إجراء خدمات الفوترة و تقديم الدعم للشبكات الذكية  Intelligent Network

◆ كيف يتم الإتصال عبر بروتوكول SS7

عند ذهابك إلى مُزود خدمة الاتصالات الهاتفية وتقوم بشراء شريحة هاتف، فإنهم يسجلون رقم هاتفك في قاعدة بيانات متصلة مع برج اتصالات رئيسي يُسمى “مسجل الموقع المحلي  Home Location Register” وإختصاره HLR.

هذا البرج هو المسؤول عن جميع الإتصالات لهذا المزود، الذي يضع بدوره أبراجاً أخرى تسمى “مسجل موقع الزائر _ Visitor Location Register” و إختصاره VLR في العديد من المدن، و التي تمكنك من إجراء اتصالات من مختلف الأماكن التي تكون متواجداً فيها عبر هذا المزود.

وكما في شبكة الإنترنت، فإنك عندما تتصل بها، سيتم تحويل طلباتك إلى أقرب راوتر منك، وهذا هو الحال بالنسبة للاتصالات الهاتفية، فعند إجراءك لاتصال هاتفي أو إرسال رسالة وغيرها من الأشياء الأخرى، سيتم توجيهك إلى أقرب VLR إليك.
هذا ال VLR يمكن تقسيمه إلى نوعين :

🔸 النوع الأول :  تابع لشركة الإتصالات التي تسجلت فيها.
🔸 النوع الثاني : تابع لشركة اتصالات أخرى.

وهذا النوع هو الذي يسمح بترابط خدمات شركات الاتصال المختلفه فيما بينها، وهو ما يعبر عنه بالـ “Roaming”.

هنا تكمُن ثغرة SS7

إن الـ “Roaming” هو قيام مزود خدمات اتصال آخر بفتح منفذ “Port” في الـ VLR التابع له والذي يُمكِّنك من إجراء اتصالاتك الهاتفية عبره برقم هاتفك الذي قد تسجلت به في مزود الخدمات الهاتفية الخاص بك.
هذا المنفذ غير مؤَمَّن ويمكنك الاتصال من خلاله دون الحاجة لإدخال كلمة سر، وهذا ما نلاحظه في إستعمالنا اليومي للهاتف و خاصةً الأشخاص الذين يسافرون بكثرة.

هنا يأتي دور الهاكر (Hacker) لكي يقوم بمهامه، إذ أنه يقوم بالاتصال إلى الـ HLR عن طريق معدات و برامج مخصصة في إختراق بروتوكولـ SS7، و يطلب منه المُعرِّف الوحيد لرقم هاتف شخص معين.

عند هذا الطلب، لا يقوم الـ HLR بالتحقق منه، ويذهب مباشرةً إلى أقرب VLR يستعمله الضحيه ويأخذ كل المعلومات منه و يعيد إرسالها إلى الهاكر، الذي يستغلها في إختراق أي حساب على شبكة الانترنت مرتبط برقم هاتف الضحية، كحساباته البنكية أو حساباته على مواقع التواصل الإجتماعي، ويمكنه أيضاً تتبع جميع أنشطته عبر ذلك الرقم.

ما هي فلاشة USB Rubber Ducky ؟

هي فلاشة تستخدم في عمليات الاختراق حيث أن تصميمها من الخارج يشبه فلاشة USB المعروفة، ولكن عند توصليها بجهاز كمبيوتر فإنها تعمل كيبورد أي أنها تُسجل نفسها على لوحة الكمبيوتر كأنها لوحة مفاتيح وليست USB .

هذه الـ USB تحتوي علي SD card بداخلها وهذا الكارت يحتوي على العديد من الأكواد والسكريبتات التي تم كتابتها بواسطة الشخص المبرمج أو المالك لهذه الأداة؛ فبمجرد توصيل هذه الأداة USB Rubber Ducky بجهاز الضحيه، تقوم بتنفيذ الأوامر والسكريبتات الموجودة داخل الكارت بسرعة كبيرة، حيث أنها تعمل كلوحة مفاتيح كما ذكرنا سابقاً. كما يمكنك من خلال USB Rubber key كتابة وتثبيت Backdoors أو غيرها من البرامج الخبيثة.

فيروس الحاسوب هو نوع من أنواع البرمجيات التخريبية الخارجية، صُنعت عمداً بغرض تغيير خصائص ملفات النظام. تتكاثر الفيروسات من خلال نسخ شفرتها المصدرية وإعادة توليدها، أو عن طريق إصابة برنامح حاسوبي بتعديل خصائصه، إصابة البرامج الحاسوبية يتضمن: ملفات البيانات، أو قطاع البوت في القرص الصلب.

مصطلح “فيروس” يشيع استعماله بالخطأ على أنواع أخرى من البرامج الخبيثة، البرامج الخبيثة تشمل الفيروسات إلى جانب العديد من البرمجيات التخريبية الأخرى، نذكر منها على سبيل المثال:

◽ ديدان الحاسوب.
◽ حصان طروادة.
◽ برمجيات الفذية.
◽ راصد لوحة المفاتيح.
◽ الروتكيت.
◽ الآدوير.
◽ برمجيات التجسس، وغيرها…

ظهر مصطلح “فيروس الحاسوب” لأول مرة عام 1985 من قبل مهندس الحاسوب “فرد كوهين”، الفيروسات غالباً ما تنفذ نوع من أنواع الأنشطة التخريبية على الحواسيب المصابة، كالاستحواذ على مساحة القرص الصلب أو على جزء من المعالج، أو الوصول إلى معلومات شخصية أو سرية كأرقام بطاقة الإئتمان، إفساد البيانات، إظهار رسائل سياسية ورسائل هزلية مزعجة على شاشة المستخدم، إرسال رسائل بريدية غير مرغوب فيها لجهات اتصال المستخدم، رصد لوحة المفاتيح الخاصة بالمستخدم ومعرفة ما يكتب.
لحماية حاسوبك من الفيروسات والبرمجيات الخبيثة، ماعليك هو تثبيت مضاد للفيروسات  Antivirus، أو استخدام جدار  الناري  Firewall.

مُصطلح “Malware” هو اختصار لكلمتي “Malicious Software” ويشمل هذا المصطلح الكثير من انواع البرمجيات الخبيثة التي تتسبب في العديد من المشاكل، مثل : عرقلة تشغيل الجهاز، جمع المعلومات الحساسة أو الوصول إلى أنظمة تشغيل الجهاز الخاصة، وتُعتر العامل الأكبر في خسارة الشركات لبياناتها، ولا ينجوا منها الأفراد أيضاً.
يتم تثبت هذه البرمجيات الخبيثة على جهاز الضحية دون موافقة مُسبقة، وهناك عدة طُرُق لتثبيتها.

هُناك عدة أنواع مُختلفة من البرمجيات الخبيثة، نذكر منها على سبيل المثال :

1.  الديدان Worms.

2.  البوتنيت Botnets.

3. الروتكيت Rootkit.

4.  الفيروسات Viruses.

5.  حصان طروادة Trojan horse.

6.  برامج التجسس Spyware.

7.  القنابل المؤقتة Logic bomb.

8.  راصد لوحة المفاتيح Keylogger.

9.  برامج الأمن الاحتيالية Rogue Security Software.

10.  برمجيات الــ Adware.

11.  برامج الــ Ransomware.

12.  برامج الــ Crypto Malware.

هي كلمة مكونة من شقين “Root” وهو مصطلح مأخوذ من نظام Linux أي “الجذر” وهو ما يقابل مصطلح ال Admin (المدير) في نظام Window، و “kit” تعني الأدوات، أي أن معنى RootKit ككل هي الأدوات التي تمنح أي برنامج ضار الحصول على صلاحيات “الجذر” Admin.
أي RootKit تشير إلى قدرة البرنامج الخبيث مهما كان نوعه على إخفاء نفسه عن أعين المستخدم أو برامج الحماية المعروفة، وطريقته في ذلك أنه يخفي نفسه في شكل برنامج أو مهمة أو خدمة موجودة حقاً في نظام التشغيل، أو قد يخفي نفسه في نواة النظام أو الكثير من الطرق والأساليب المتقدمة جداً والمبتكرة، فيعتقد مضاد الفايروسات أنه مجرد ملف عادي من ملفات الـWindows، لكن ما إن يتم استدعاء تلك المهمة أو ذلك البرنامج حتى يتم تشغيل عمل البرنامج الضار الذي دخل تحت غطاء RootKit.
إذاً باختصار فالروت كيت أحد الأساليب المتطورة في إخفاء البرامج الضارة عن أعين المستخدم وأيضا عن أعين برامج الحماية، ومن هنا نستنتج أن مصطلح RootKit في حد ذاته ليس ببرنامج ضار، لكن يُخفي في ثناياه برنامج ضار مثلاً قد يخفي Spyware أو Cryptojacking وهذا ما قد يفسر الصعوبة التي قد تواجهها برامج الحماية في الكشف عنه، لكن الأسوأ من كل هذا أن الروت كيت قد يؤثر بشكل مباشر على نواة نظام التشغيل مما يزيد من صعوبة رصده أو العثور عليه.

مما سبق نستنتج أن عائلة برامج ال RootKit هي الأخطر من نوعها في كل عائلة البرامج الضارة لأنها صعبة الكشف ناهيك عن الحذف، وقد تعمد أحياناً الـ RootKit إلى تعطيل برامج الحماية أو تخريبها أو حذفها بشكل كامل، أو منع المستخدم من تثبيت أي نوع من برامج الحماية في المستقبل، وقد يكون من المستحيل كشفه أو حذفه إلا بحذف النظام ككل وإعادة تثبيته من جديد، لهذا نجد أن العديد من المطورين وشركات الحماية أنتجوا برامج مستقلة عن برامج الحماية متخصصة في الكشف عن RootKit والقضاء عليه عن طريق دراسة سلوكياته وتصرفاته.
تُقسم عائلة الـ rootkit إلى خمس أنواع رئيسية:

🔹 Hardware or firmware rootkit:

وهو نوع من البرامج الخبيثة التي تُصيب العتاد الصلب كالشرائح الإلكترونية داخل الحاسب الآلي أو كرت الشبكة.. إلخ، أو قد تصيب ال firmware أي البرامج المكتوبة بلغات منخفضة المستوى والمسؤولة عن تشغيل العتاد الصلب كالـ BIOS (نظام الإدخال والإخراج الأساسي) والمسؤول عن إقلاع الكمبيوتر أو نظام الـ router وغيرها، وكثيراً ما تقوم شركات بصناعة حواسيب أو أجهزة أو قطع مصابة بهذا النوع وذلك من أجل التجسس على الشعوب …

🔹 Bootloader rootkit:

الــ Bootloader يعني محمّل الإقلاع، وهو عبارة عن برنامج صغير يعمل كحلقة وصل بين نظام التشغيل (ويندوز – لينكس – أندرويد) والعتاد الصلب، فهو المسئول عن تشغيل الـ “Kernel” نواة النظام ومن ثم تحميلها إلى الذاكرة.
قد يصيب ال MBR (Master Boot Recorder)، أما الـ Bootloader rootkit فعند بدأ الـ Bootloader بتحميل النظام يقوم البرنامج الخبيث بمهاجمته واستبدال بعض ملفات النظام الرئيسية بأخرى ملوثة، هذا يعني أن Bootloader rootkit يعمل ويهاجم النظام قبل بدأ النظام بالتحميل في الذاكرة.

🔹 Memory rootkit:

هذا النوع من البرامج الخبيثة يخبأ نفسه داخل الـ RAM (ذاكرة الوصول العشوائي).

🔹 Kernel mode rootkits:

ال Kernel هي نواة النظام، حيث تقوم بدور حلقة الوصل بين عتاد الحاسوب الصلب وبرامجه، وهو جزء من النظام الأساسي أي هناك Kernel لـ Windows مختلف عن Kernel لــ Linux ، وبالتالي Kernel rootkits هي البرامج الخبيثة التي توجد في نواة النظام نفسها.

🔹 Application rootkit:

يقوم هذا النوع من ال rootkit بمهاجمة ملفات النظام الأساسية أو مكتبات النظام (ملفات ال DLL) أو برامجه الأساسية ودمج نفسها فيها أو استبدالها، يُعد هذا النوع من الـ rootkit الأسهل للكشف والحذف، وعند قولنا الأسهل فنقصد ضمن عائلة الـ rootkit فقط وليس بشكل عام فحذف Application rootkit قد يعد أصعب حذفاً من أي نوع من أنواع البرامج الضارة الأخرى كلها.
كما قلنا أن هذا النوع من البرامج الضارة هو الأكثر ضرراً والأكثر صعوبة في الحذف، وبرمجة هكذا نوع من البرامج الخبيثة يحتاج إلى مهارات عالية في البرمجة ومعرفة في اللغات البرمجية المنخفضة المستوى (لغة الآلة ولغة التجميع)، وليس أمر سهل كباقي الأنواع من البرامج الضارة التي يستخدمها “أطفال الهاكرز” فمع استخدام “ميتاسبلويت” أو “نجرات” يُمكن إنتاج برنامج ضار وتشفيره بكل بساطة وخاصة في الوقت الأخير مع انتشار الدورات المجانية الغير تقنية والربحية في اليوتيوب فالآن يُمكن صنع برنامج ضار أو فايروس بدون استعمال سطر برمجي واحد.
◻ طرق الإنتشار والتسلل إلى النظام ؟
بما أنها كما ذكرنا ليست برنامج خبيث بحد ذاته، بل تُشير إلى قدرة البرنامج الخبيث على إخفاء نفسه في النظام، فإن طرق دخولها إلى النظام وإصابته هي مثل طرق الإصابة بكل البرامج الخبيثة الأخرى، من أساليب هندسة اجتماعية أو مرافق الإيميلات أو أحصنة طروادة وغيرها.

الـديدان هي عبارة برامج صغيرة مماثلة للفيروسات لأنها تستطيع تكرار النسخ الوظيفية لنفسها، ذاتية التكرار ويتضاعف حجمها في الذاكرة دون أن تؤثر على الملفات، عكس الفيروسات التي تتطلب نشر ملف المضيف. يمكنها التهام موارد الجهاز و إبطائه إلى حد التوقف، في محاولة سعيها للانتشار و إيجاد مضيف جديد تصيبه.

فهي برامج مستقلة لا تعتمد على غيرها، ولا تتطلب مساعدة الإنسان على نشرها، صنعت للقيام بأعمال تدميرية أو لغرض سرقة بعض البيانات الخاصة بالمستخدمين أثناء تصفحهم للإنترنت، تُصيب الدودة الحواسيب الموصولة بالشبكة بشكل اوتوماتيكي، وتنتقل من جهاز لآخر عن طريق الشبكة وتبدأ في العمل بمهامها بموعد محدد لها مسبقاً، بحيث تلحق الضرر بالمستخدم أو بالمتصلين به، تمتاز بسرعة الانتشار ويصعب التخلص منها نظراً لقدرتها الفائقة على التلون والتناسخ والمراوغة.
تستغل “الدودة” نقطة ضعف النظام أو بعد استخدام المخترق نوعاً من أسالييب الهندسة الاجتماعية “Social engeniering” لخداع المستخدمين.
“الهندسة الاجتماعية هي مجموعة من التقنيات لجعل الناس يقومون بعمل ما أو يُفصِحون بمعلومات سرية عنهم”.
الهندسة الاجتماعية تُعتبر من ضمن طرق الاحتيال عبر الإنترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو الإختراق للوصول إلى الهدف، بطرح أسئلة بسيطة أو تافهة، عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية أو مؤسسة تسمح بطرح هذه الأسئلة دون إثارة الشُبهات.

🔸 أنواع الديدان _ Worms :
تصنف الديدان من خلال الطريقة التي تستخدمها للانتشار، وهذا يعني الطريقة التي تستخدمها لإرسال نسخ من نفسها إلى أجهزة أخرى. وذلك عبر جميع أنظمة النقل المعروفة، مستعلة الممرات بدلاً من استهداف الأجسام القابلة للتنفيذ.
إليكم بعض مُسميات أنواع الديدان “Worms” حسب طُرق انتشارها :

▫ ديدان الرسائل الإلكترونية E-mail Worms :
لأن البريد الإلكتروني يتضمن أداة جمع العناوين في الجهاز المصاب وأداة لإرسالها لخادم SMTP .

▫ ديدان الرسائل الفورية Instant Messaging Worms :
إذا كانت طريقة النقل هو IM التراسل الفوري مثل MSN Messenger و WhatsApp …

▫ ديدان الانترنت Internet Worms :
إذا كانت طريقة النقل هوالشبكات المحلية LAN أو الشبكة العنكبوتية “WWW”.

▫ ديدان مناطق الدردشة IRC :
إذا كانت طريقة النقل هي قنوات مناطق الدردشة IRC.

▫ ديدان شبكات مشاركة الملفات File-sharing Networks Worms :
إذا كانت طريقة النقل هي شبكات الند للند Peer to Peer، فتصيب الملفات المشتركة أو تظهره بأنه ملف مشترك، يتم تصنيفها إلى ديدان تقاسم الملفات.

توجد تصنيفات أخرى تنحصر في أسلوب التثبيت، أو طريقة إطلاق، وفي تعدد أشكالها وقدرتها على التلون والتناسخ والمراوغة.

المتاسبلوت هو مشروع كبير تم إنشاءه سنة 2013 وهو عبارة عن مكتبة من الأدوات، وقواعد بيانات لمجموعة من الثغرات التي يتم اكتشافها، ومعروف أنه بعد هذه المدة الطويلة وبعد كل إصدار جديد يتم إضافة أدوات و ثغرات جديدة إليه، وهو مبرمج بلغة Ruby.
هناك وظائف كثيرة يمكنك استغلال من خلاله هذه الأداة، فهناك من يعتقد أن الأشخاص الذين يتوجهون إليه يكون السبب الرئيسي الاختراق واستغلاله لهذه الأغراض السيئة، في الوقت الذي نجد مجموعة كبيرة لمن يصنفون في الـ “white hat” يستغلون هذه البرنامج لحماية أنفسهم عبر معرفة أحدث الثغرات والأدوات الموجودة وسبل الحماية منها.

🔹 ما هي خطورة الـ Metasploit؟

يستطيع الهاكر من خلال الـ Metasploit التحكم بجهازك كاملاً دون أن تعلم بذلك وهنا تكمن الخطورة، ويمكن أيضاً عبر الميتاسبلوات اختراق الشبكات والسيرفيرات بالأدوات والثغرات التي يتوفر عليها.

🔹 ما هي أشهر الأدوات المتاسبلوت؟

من بين أشهر أدوات الميتاسبلواد نجد مثلاً “nmap project”، فهي تعمل على فحص الشبكات والأنظمة والسيرفيرات حيث تقوم بجمع المعلومات عنها، ويمكن اختراقها بشكل أوتوماتيكي باستخدام أداة خطيرة موجودة ضمن المشروع تدعى db_autopwn، نجد أيضاً أداة buffer” overflow” التي يتم من خلالها استغلال الثغرات المكتشفة، وأدوات أخرى مهمة وتكتسي خطورة كبيرة جدا..
من بين المميزات الأخرى للمتاسبلوت أنه لايترك أي أثار على الاختراق كونه يقوم بشحن مكتبات dll في ذاكرة النظام مباشرة مستغلاً في ذلك الثغرات الموجودة في البرنامج المصابة. ويمكن تشغيله على Windows، رغم أن بيئة الــ Linux هي الأنسب، حيث يشتغل بسرعة وتجاوب أكثر

🔸الخلاصة :

مشروع الميتاسبلوت و استخدامه السهل قد يجعلت الكثيرين من يظنون الهاكر الغيلر أخلاقيين بما فيهم أطفال الهاكر في اختراق أجهزة الآخرين و التحكم بها، وذلك بتنفيذ بضعة أوامر دون أي معرفة أو فهم بالثغرة، أحياناً يكون السبب برمجتها، أو سهولة استغلالها، كما قد يكون صعب استخدامه خصوصاً على المبتدئين لصعوبة فهم الأوامر البرمجية مع مراعات إتقان اللغة الإنجليزية حتى يتم فهم الثغرات بشكل جيد واستغلالها.

هل هذا الرابط الموجود على موقع او البريد الاكتروني الخاص بك هو بالفعل شيء أمن ؟ ، أم أنه محاولة شائنة لربطك بهجوم تصيد احتيالي؟ إليك بعض النصائح حول كيفية التحقق من فيض الروابط التي تغرقك يوميًا ، لكل من الهاتف وسطح المكتب.
هل تعرضت للخداع؟ سواء كنت تستخدم نظام التشغيل Mac أو Windows أو Linux أو iOS أو Android ، فهناك احتمال قوي أن يكون شخص ما قد أرسل إليك بريدًا إلكترونيًا أو رسالة نصية في محاولة للحصول على معلوماتك الشخصية. البيانات تعني المال ، وأنت علامة كبيرة للأشرار.
أفضل توصية يمكنني تقديمها هي التصفح الذكي. هذا يعني أنه يجب عليك دائمًا التحقق مرة أخرى من عنوان URL لموقعك المصرفي وموقع الشبكة الاجتماعية وموقع البريد الإلكتروني قبل تسجيل الدخول. تتضمن معظم المتصفحات ، بما في ذلك Firefox و Chrome و Internet Explorer ، الآن تغيير اللون في الجانب الأيسر من شريط الموقع للإشارة إلى أنه تم التحقق من شرعية الموقع. من الجيد دائمًا كتابة عنوان URL يدويًا ، وعدم متابعة الروابط من بريد إلكتروني مطلقًا. أيضًا ، يعد التحقق من HTTPS بدلاً من HTTP الأقل أمانًا فكرة جيدة ، على الرغم من أن HTTPS ليس مضمونًا.

ولكن ماذا عن هذا الرابط لبعض مقاطع الفيديو المرحة ظاهريًا التي نشرها صديقك للتو على Twitter؟ هناك العديد من الخدمات التي يمكنك استخدامها للتحقق من الارتباط. يعد التصفح الآمن من Google مكانًا جيدًا للبدء. اكتب عنوان URL هذا:

http://google.com/safebrowsing/diagnostic؟site=

متبوعًا بالموقع الذي تريد التحقق منه ، مثل google.com أو عنوان IP. سيُعلمك ما إذا كان قد استضاف برامج ضارة في الـ 90 يومًا الماضية.

خدمة أخرى مماثلة هي hpHosts. أدخل موقعًا في مربع البحث وستخبرك قاعدة بياناته بما إذا كان قد تم استخدام الموقع لتوزيع البرامج الضارة أو هجمات التصيد. يمنحك HpHosts معلومات أكثر تفصيلاً من التصفح الآمن من Google ، إذا كنت مهتمًا بهذا النوع من الأشياء. هناك خدمتان ممتازتان أخريان هما Norton Safe Web ، من Symantec ، و Unmasked Parasites. انطلق في عنوان URL ، وأنت على ما يرام. أو إذا عاد الموقع على أنه غير آمن ، فلا تذهب.
تأتي العديد من مجموعات الأمان مع الوظائف الإضافية للمتصفح للتحقق من الروابط التي تنقر عليها أثناء التنقل ، وتعمل هذه الأجنحة جيدًا في مسح نتائج البحث وإضافة الرموز للإشارة إلى ما إذا كان الرابط آمنًا أم لا. إذا لم يكن لديك مجموعة ، فإن AVG LinkScanner (تنزيل لنظام التشغيل Windows | Mac) عبارة عن وظيفة إضافية مجانية تعمل مع كل من Windows و Mac ، وسيحظر تطبيق Mobilation Android المجاني من AVG (تنزيل) أو Lookout Mobile Security (تنزيل) الروابط الخبيثة على جهاز Android الخاص بك.
للأسف ، لم يحالف مستخدمو iPhone و iPad الحظ. على الرغم من أن التصيد الاحتيالي عبر الشبكات الاجتماعية قد ثبت أنه يعمل على أجهزة iOS التي لم يتم كسر حمايتها ، فإن Apple لا تسمح بتطبيقات التحقق من الارتباط هذه.

أسهل طريقة لفحص الرابط إذا كان أمن أم لا

لا تفتح أي رابط يصلك أنت لست متأكدا منه
لو مضطر أنك تفتح الرابط أول خطوه تقوم بها
1- انسخ الرابط المراد فحصه
2- ادخل موقع التالي :

https://safeweb.norton.com

3- اضغط على بحث
4- إذا كان باللون
الأخضر : سليم
البرتقالي : احذر
الأحمر : ابتعد عنه ( احذفه مباشره ونبه من أرسل لك الرابط )

معلومات سكيورتي – 3 –

لنتفق على هذة المعادلة اولا .. وسنعرف تفاصيلها لاحقاً .
Risk = Asset X Threat X Vulnerability

موضوعنا اليوم هو Security Risk Assessment او اختصاراً SRA . من المواضيع المهمة جداً ، تقيم و تحديد المخاطر في مجال امن المعلومات. ومن بعد التحديد سيكون هناك الية للتحكم بهذة المخاطر . يعتمد تقيم المخاطر في الشركات على عدة عوامل ، وهذة العوامل تختلف من شركة لاخرى .

لكن عموما في اغلب الشركات يتم استخدام العوامل الاتية .

الاصول او Asset والتي تعني المصادر او الاصول ، وفي موضوعنا المعلومات data و التي ستكون الهدف التي تخطط لحمايتها . وهذة المصادر تعتبر اساس و رأس مال الشركة.

التهديد Threat يعتمد مستوى خطورة التهديد من شركة الى اخرى . مثلا درجة خطورة التهديدات واحتمال تحول هذة التهديدات الى اختراقات في البنوك والمصارف العالمية تكون عالية جداً . اما نفس التهديد سيكون طبيعي في شركة متواضعة او صغيرة لا يهمها حتى و ان تحول هذا التهديد الى اختراق حقيقي .

نقاط الضعف Vulnerability ، نقاط الضعف التي تخص ال Asset . وهناك الكثير من المصادر لتحديد نقاط الضعف في المعلومات . سنفصل في هذة النقطة في الكتابات القادمة .

يتم تقييم المواضيع اعلاه على اربع مستويات
Very Low – Low – Moderate – High – Critical

بعدها يتم القرار على اساس النتائج  .و مرة اخرى تحديدات الخطورة يختلف من شركة الى اخرى لكن المبدأ ثابت .