الاختراق الاخلاقي

الملف الشخصي · 05-18-2011 09:54 PM

الاختراق الاخلاقي

السلام عليكم ورحمة الله وبركاته :

الاختراق الاخلاقي

نظره عامة :

إن هذه المقالة تدور حول القرصنة بشكل أخلاقي (الاختراق الأخلاقي) وطريقة عمل اختبار لجهازك وشبكتك ونقاط ضعف الأمن وسد الثغرات التي يحاول لصوص الكمبيوتر اختراقها واستغلالها وبالرغم من أن كلمة أخلاقي يساء فهمها في بعض الأحيان وتستخدم استخدام خاطئ ,إلا أن الكثير منهم ينفذ الأخلاق بشكل مثالي والآمن المحترف يحاول تطبيق المعايير المقبولة , وهناك ممارسون يلتزمون بأداء كل الاختبارات وذلك بعد الرخصة التي يحصل عليها من قبل المالك.

من المعروف عن لصوص الكمبيوتر أنهم يقومون بسرقة الكثير من أعمال وأنظمة الكمبيوتر ويفضلون أنظمة محمية بشكل جيد ورفيع والدخول على أي من المواقع المنيعة يزيد منزلتهم في دوائر لصوص الكمبيوتر.

لذلك وجب علينا التعرف على الاختراق الأخلاقي لتمييزه عن الاختراق العادي (الغير أخلاقي).

ما هو الاختراق؟

( الاختراق بشكل عام هو القدرة على الوصول لهدف معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف. وحينما نتكلم عن الاختراق بشكل عام فنقصد بذلك قدرة المخترق على الدخول إلى جهاز شخص ما بغض النظر عن الأضرار التي قد يحدثها، فحينما يستطيع الدخول إلى جهاز آخر فهو مخترق (Hacker) أما عندما يقوم بحذف ملف أو تشغيل آخر أو جلب ثالث فهو مخرب (Cracker).

كيف يتم الاختراق؟

اختراق الأجهزة هي كأي اختراق آخر لشيءٍ ما.. له طرق وأسس يستطيع من خلالها المخترق التطفل على أجهزة الآخرين عن طريق معرفة الثغرات الموجودة في ذلك النظام.. وغالباً ما تكون تلك الثغرات في المنافذ (Ports) الخاصة بالجهاز... وهذه المنافذ يمكن وصفها بأبسط شكل على أنها بوابات للجهاز على الانترنت.

و يجب أن تعرف في المقام الأول أنك مادمت متصلاً على الشبكة (Online) فأنت معرض للاختراق في أي وقت وبأي طريقة كانت وقد يستهدفك أحد المخترقين (الهاكرز) لسبب ما أو عشوائياً حتى، وربما يكون هذا المخترق خبيراًَ (Expert) فيمكنه اختراقك بحيث لا تحس بما يفعله تجاهك, وعلى هذا فأفضل طريقة هي عدم وضع أشيائك الهامة والخاصة داخل جهازك كرقم بطاقة الائتمان أو أرقامك السرية )[1]. فكما نعلم أن حماية امن المنظمة من أصعب التحديات التطبيقية التي تواجهها المنظمات و قد يكون من الصعب تمييز المستوى الملائم للأمن ببساطة,و لا توجد منظمة مستعدة مائة بالمائة من الإمكانيات التي لديها.

كلمة "مخترق" كلمة لها معنيان:

الأول: معنى تقليدي وهو شخص ما يحب العبث بالبرامج والأنظمة الالكترونية ويتمتع باستكشاف وتعلم كيفية تشغيل أنظمة الحاسب فهم يرغبون باكتشاف الطرق الجديدة وكيفية عملها الكترونياً.

المعنى الأخر: حديثا واجه "المخترقون" معنى جديد وهو ذلك الشخص الذي يقتحم المواقع بشكل خبيث للمكسب الشخصي, هؤلاء المخترقون (لصوص كمبيوتر مجرمون) هدفهم الشهرة والربح فهم من الممكن أن يقوموا بتعديل أو حذف أو سرقة معلومات حرجة.

قد يتساءل البعض عن " الاختراق الأخلاقي"

قائلاً: وهل هناك اختراق أو تسلل أخلاقي؟ فجميع الاختراقات التي تنفذ يكون هدفها واضح وهو التخريب والأفعال الغير أخلاقية التي تنتهك خصوصية الأفراد والشركات ؟

نجيب عليه بقولنا : انه كما في هذه الحياة الخير والشر فأن كلمة مخترق ( (hackerلها دلالات ايجابية غالبا,

فهناك ( (ethical hacker المخترق الأخلاقي و ((unethical hackers المخترق غير الأخلاقي

فقد اتجهت الكثير من الشركات العالمية إلى توظيف أناس لهم خبرتهم في مجال الاختراق الكمبيوتري وتعاقدت معهم لأداء مهمة الاختراق الأخلاقي.

"الاختراق الأخلاقي":

عادة ما يكون جهة مستقلة تقوم المنظمة بإبرام عقد معها لاختبار حماية أنظمتها من الاختراق ، وتختلف بنود العقد من منظمة إلى أخرى بحسب حساسية المعلومات, من المعروف إن الاختراق الأخلاقي يمكن أن يكون من مصدر خارجي أو أن يكون عن طريق فريق داخلي منظم, و أن يكون المقصد الأساسي من الاختراق الأخلاقي تمييز نقاط الضعف في أي منظمة.

يقوم المخترق الأخلاقي بمحاولة تفادي جميع المعوقات -أنظمة الحماية- التي يواجهها في سبيل الوصول إلى معلومة ليس من المفترض أن يصل لها ، وأحيانا يطلب من المخترق أن يحاول الإطاحة بنظام قائم بهدف منع المستخدمين من الوصول إلى هذا النظام أو الخدمة .

تنتهي هذه العملية بتقديم تقرير مفصل عن مستوى الحماية الذي توفره المنظمة وما يمكن أن تقوم به من تحسينات لتفادي أحد الأضرار التي قد تمس بالمنظمة جراء محاولات قادمة .

إن عملية الاختراق الأخلاقي تحتاج إلى تخطيط, ويجب أن تكون مقررة ومتفق عليها لضمان نجاح الجهود المبذولة في أداء الاختبار.
فالخطوة الأولى من التخطيط يكون باجتماع المختبر والجهة المعنية بالاختبار لتحديد خطة العمل وتحديد نوع الاختبار المطلوب وعدد الخوادم أو التطبيقات المراد اختبارها، بعد ذلك يتم توقيع اتفاقية بين كل من المختبر والجهة المعنية بالاختبار وتحديد موعد الاختبار والأجهزة المستخدمة ورقم ال (IP). ولكي تكون هذه العملية آمنه وقانونيه لابد أن تحتوي الاتفاقية المبرمة بين الطرفين على شروط التسليم والخدمات وتفاصيل الخدمة بشكل واضح لكل الأطراف. بعد الانتهاء من توقيع الاتفاقية وقبول الإدارة - فليس هناك خطة أمن تضمن النجاح بالإضافة إلى ذلك لا يمكن لخطة أمن تفتقر إلى دعم الإدارة ستنجح- يقوم المختبر بجمع اكبر عدد من المعلومات المتوفرة عبر الانترنت ويكون ذلك من خلال استخدام تقنيات في الاختراق تسمىGoogle Hack والتي تستخدم محرك البحث "قوقل" كمساعد لها في معرفة المعلومات المتوفرة عبر الانترنت, بعد مرحلة جمع المعلومات يقوم المختبر بالتعرف على الهدف المراد اختباره بشكل أكبر عن طريق مسح المنافذ الموجودة, بعد ذلك يقضى المختبر معظم فترة المشروع المتفق عليها باكتشاف نقاط الضعف وتحليل تلك النقاط, في نهاية عملية الاختبار يقوم المختبر بكتابة تقرير مفصل عن جميع المخاطر ونقاط الضعف والثغرات المكتشفة مع تقديم نصائح وإرشادات لإغلاق تلك الثغرات.

و هناك نقطة لابد من توضيحها ألا وهي أن انقطاع الخدمات للعملاء خلال عمل الاختبارات احتمال وارد ينبغي أن يؤخذ بعين الاعتبار. على الرغم من أن القصد من القرصنة الأخلاقية ليست لتعطيل الخدمة ، ومعظم المنظمات تتفهم ذلك وهي على استعداد تام لعمل الاختبار على نظامها خارج أوقات ذروة الإنتاج.

تشمل عملية الاختبار في الاختراق الأخلاقي على المعلومات التالية:

- تعيين الأنظمة التي ستختبر

-الأخطار الممكنة
-التسلسل الزمني للاختبارات
-كمية الاختبارات التي ستنفذ

- معرفة كمية الأنظمة الموجودة
-ما العمل عند اكتشف نقطة ضعف في النظام.

وكما نعلم فإن وجود اختبارات صحيحة وبفكر سليم ممكن أن يوفر المال للمنظمة, بحماية أنظمتها من لصوص الكمبيوتر حيث يكون هجومهم مخطط بشكل ممتاز فإنهم من الممكن أن يتسببوا في الخراب والدمار لأكبر الشركات والمنظمات لهذا السبب عملية الاختراق الأخلاقي تحتاج إلى مزيد من الإصرار والصبر لكي تضمن الحماية والأمان ضد هؤلاء اللصوص الخبثاء

سأتطرق لبعض المصطلحات المهمة المتعلقة بمقالتي والتي تتردد كثيرا وتفيد المهتمين بأمن المعلومات:

1- "white hat hacker" وتترجم إلى المخترق ذو القبعة البيضاء.

وهو ما يطلق عليه "المخترق الأخلاقي"
2- المخترق ذو القبعة السوداء" black hat hacker"

3- المخترق ذو القبعة الرمادية"gray hat hacker"

سأذكر هنا وصفا بسيطا لكل منهم:

المخترق ذو القبعة البيضاء "المخترق الأخلاقي" – هو ما ذكرت تعريفه سابقا -

(عكس ذلك تماما، يأتي المخترق ذو القبعة السوداء وهو النوع الدارج بكثرة للأسف, وهو الذي يقوم بمحاولة اختراق شيء ما بغرض التخريب أو كشف معلومة غير مصرح له بالوصول إليها، ويقوم بذلك بدون أي تصريح أو موافقة من الضحية.

وصلنا إلى النوع الثالث والأخير وهو المخترق ذو القبة الرمادية، وهو يجمع بين صفات الصنفين السابقين، فهو أحيانا يقوم بلبس قبعة بيضاء، فيما يقوم أحيانا بتبديل القبعة إلى السوداء فيصبح بهذا ذو قبعة رمادية

في المعظم لا يكون هدف هذا النوع من المخترق تخريبي، وإنما يكون للتوعية أو لإيصال رسالة ما)[2].

شهادة المخترق الأخلاقي من مجمع التجارة الإلكترونية

تتطلب هذه الشهادة إجراء قسم مثل القسم الخاص بالأطباء بأن لا يستخدم هذه المعرفة للإضرار بالناس وإلا سوف يطبق في حقه القانون الدولي بناء على حصوله على هذه الشهادة.

ceh

وهي شهادة دولية مقدمة من مجمع التجارة الالكترونية (EC-Council) المتخصص في شهادات الأمن و الحماية.

هذه الشهادة C|EH تعتبر من أقوى الشهادات التي تقدم EC-Council فهي قاعدة كاملة للمهتمين بالأمن والحماية.

و يفضل أن يتمتع الدارس بخبرة في مجالات الأمن و الحماية أو أن يكون حاصلاً على شهادات (ICDL/IC3) و (MCSE) و (CCNA) لتحقيق الاستفادة القصوى.

المواضيع التي تغطيها الشهادة:

1- مقدمة كاملة عن الاختراق وتاريخه و جمع المعلومات وعمل مسح (scan) للهدف المطلوب وكيفية معرفة نطاق ضعفه، والاتصال من خلالها ، وكيفية إبقاء الاتصال مع الهدف ، واستغلال الاتصال بالكامل ثم تغطية آثاره.

2- اختراق الأنظمة مثل ويندوز واللينكس واختراق الشبكات السلكية واللاسلكية وفك تشفيرها والتقاط ما يمر من خلالها.

3- اختراق المواقع والخوادم وقواعد البيانات وتصدير الهجمات ، وتزييف الهوية والحقن السام ، وتسميم الاتصال ، وخطف الهوية ، واستغلال ضعف الأنظمة ، وهجمات DoS , DDoS وعلم التشفير وفك التشفير ، والتروجونات و الفايروسات وكيفية صنعهم

4- أنظمة كشف الاقتحام IDS و IPS و دراسة كاملة عن جدار الحماية وتخطي هذه الأنظمة كلها.

5- عمل المسح الأمني للشبكات والأنظمة ومعرفة نقاط الضعف والثغرات وكيفية سد هذه الثغرات.

ceh-1

عن اختبار الحصول على الشهادة:

المخطط التالي يبين الخطوات الواجب إتباعها وهي:

1- حضور الدورة التدريبية الأمنية الخاصة بشهادة المخترق الأخلاقي- تحتاج قبل الدخول لهذه الدورة خبرة كافية عن أنظمة التشغيل سواء الوندوز او اللينكس او اليونكس ، وخبرة كبيرة في الشبكات وقواعد البيانات وبرمجة صفحات الانترنت- مع التنبيه على ضرورة التأكد من أن مركز التدريب الذي يعقد هذه الدورة هو مركز مصرح به من مجمع التجارة الالكترونية.

2- الاستعداد لاختبار الحصول على الشهادة

3- إجراء الاختبار.

4- في حالة تحقيق نسبة 70% على الأقل تحصل على الشهادة , وعند حصولك على أقل من 70% لابد من إعادة الخطوات من البداية.

ceh-2

(الجدير بالذكر أنه حتى يتم التأكد من عدم استخدام برامج الاختراق التي يستلمها المتدربون خلال تلك الدورات لأغراض غير أخلاقية، فإن المخابرات الأمريكية تحتفظ بقائمة بأسماء جميع الذين حصلوا على هذه الدورات لمراقبة تحركاتهم على شبكة الإنترنت إذا لزم الأمر)[3].

وفي ختام مقالتي و بعد توضيح مفهوم "الاختراق الأخلاقي" لابد أن يكون لدى كلاً منا القدرة الكاملة على التمييز بين:
المخترق -لص الكمبيوتر- ( (unethical hacker الذي هدفه الأساسي لا يخلو من الخبث والعبث في ممتلكات الغير.
والمخترق الأخلاقي( (ethical hacker الذي يسعى لإصلاح النظم والنهوض بمستوى الحماية لدى المنظمة.

ادارة سكيورتي العرب

المواضيع المحتمل أن تكون متشابهة .
أنظمة منع الاختراق وعلاقتها بامن المعلومات