أحداث سابقة لهجمات أمنية
وسرقة 300,000 بطاقة ائتمان وطلب CD Universe اختراق هاكر روسي لشركة
فدية 100,000 دولار
نشر معلومات البطاقات على الانترنت >----
بصورة غير Daewoo Securities بيع أسهم بقيمة 21,7 مليون دولار تديرها شركة
قانونية بعد اختراق شبكتها.
قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زملائه.
اختراق منشاه .. وزاره الدفاع
اختراق عاملين .. هندسه اجتماعيه
اختراق حاسوب – فيروسات وتروجين الصين وامريكا
اذكر حادثه اختراق مشهور كاختراق احد البنوك
ايش اهميه امن المعلومات - قصه اختراق عسكري .
لماذا السريه مهمه ؟
ليس لدي شيء أرغب بإخفائه
لكن
هل تريد أن يطلع الآخرون على بريدك؟
هل تريد أن يستخدم بريدك لإرسال الرسائل المزعجة للآخرين؟
هل تريد أن يستطيع الآخرون الاطلاع على الملفات الموجودة على جهازك
هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟
التوازن بين عناصر أمن المعلومات
أمثلة:
نظام الملاحة الجوية: السلامة + التوافرية < السرية
شركات صناعة السيارات: السرية < السلامة + التوافرية
الأنظمة العسكرية: السرية + السلامة + التوافرية
فمثلا رواتب الموظفين - المعلومات العسكرية لا يجب أن تصل إلى مخابرات العدوا
اذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالأمن القومي والأسرار العسكرية مثلا إعطاء عنصري السرية والتكاملية أقصى درجات الاهتمام ،
التجسسSnooping
هي سرقة البيانات المنتقلة من مكان إلى آخر ومعرفة محتواها. على سبيل المثال، إذا تم نقل ملف عبر الإنترنت يحتوي على البيانات سرية، التجسس هو الحصول على هذا الملف ومعرفة ما فيه من بيانات.
التنصت Traffic Analysis
التنصت بعكس التجسس، لا تستطيع الإستفادة من البيانات بشكل مباشر (بسبب أنها مشفرة مثلا). ولكن تستطيع معرفة الكثير من المعلومات الأخرى التي قد تكون مفيدة من خلال مراقبة حزم البيانات المنتقلة من جهاز إلى آخر. على سبيل المثال، تستطيع معرفة وجهة الملف (من خلال معرفة الـ IP الخاص بالوجهة). ومعلومة واحدة قد لا تكون مفيدة وحدها، ولكن المعلومات الصغيرة قد تفيد إذا ما جمعتهم معًا.
التعديل Modification
التعديل هي خطوة تلي الحصول على حزمة البيانات، فيستطيع المهاجم تغيير البيانات لتكون في صالحه هو. على سبيل المثال، يستطيع المهاجم الإستفادة من رسالة عميل بنك يريد تحويل أمواله إلى حساب آخر من خلال تغيير الحساب المستفيد ليكون حسابه المهاجم.
سرقة الهوية Masquerading OR Spoofing
سرقة الهوية هي ادعاء المهاجم والتظاهر أنه شخصٌ آخر. كادعاء المهاجم أنه عميل بنك معين (من خلال سرقة كلمة المرور الخاصة بهذا العميل مثلا). وتشمل سرقة الهوية إدعاء أنه مؤسسة أيضًا! فقد يدعي المهاجم أنه البنك ليأخذ معلومات حساسة من العميل.
إعادة إرسال Replaying
هذا الهجوم يعتمد على سرقة نسخة من رسالة معينة، ومن ثم إعادة إرسالها في وقت لاحق. على سبيل المثال، ينسخ المهاجم رسالة لعميل أراد تحويل أموال له من البنك لقيامه المهاجم بخدمة معينة للعميل. في وقت لاحق، يرسل المهاجم نفس الرسالة إلى البنك ليتم تحويل المبلغ مرة ثانية وثالثة ورابعة وهكذا..
الإنكار Repudiation
طريقة الهجوم هذه مختلفة تماما عن كل ما سبق. في هذه الطريقة ينكر أحد طرفي الإتصال قيامه بالإتصال. على سبيل المثال، يقوم عميل بنك بطلب تحويل أموال إلى حساب آخر، وبعد فترة يُنكر طلبه هذا الطلب. أو قيام شخص بشراء بضاعة على الإنترنت، وبعد الدفع، يُنكر البائع حصوله على الأموال.
الحرمان من الخدمة Denial of Service
من أشهر الهجمات على الإطلاق في عالم أمن المعلومات. لها عدة طرق، منها إرسال طلبات كثيرة إلى الموقع تجعله بطيئا أو تقوم بإيقاعه كليا. قد يشمل أيضا الحصول على الرسائل القادمة من الموقع إلى عميل معين ومسحها، ليُخيل للعميل أن المُخدم قد سقط. أو العكس، يقوم المهاجم بمسح كل الرسائل الموجهة من العميل إلى الموقع.
وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير او تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول الى الموقع ، وتتطلب ضمان عدم إنكار الزبون أن التصرف الذي نفذه على الموقع ( كطلب الشراء ) قد صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .
البيانات تتغير دائما، فمثلا في البنك حينما يقوم أحدهم بسحب نقدي، يجب تغيير ما تبقى له في حسابه بناءً على ما تم سحبه. السلامة تعني أن تبقى البيانات كما هي ولا يستطيع تغييرها إلا الأشخاص المصرح لهم بهذا وبالطريقة الصحيحة. وسلامة البيانات ليست مهددة فقط بفعل هجومي من خارج المؤسسة، انقطاع الكهرباء أو زيادة الشحنة الكهربائية قد تؤثر في البيانات! (تذكر أن كل البينات المنتقلة في الشبكة هي عبارة عن شحنات كهربائية).
مثال ذلك قوائم اسماء المقبولين في كليه من الكليات
ونعني بحمايتها من التغيير بإن يقوم شخص ما بحذف بعذ الاسماء او ادراج اسماء اخرى بدلا منها مما يسبب الارباك للناس والحرج للجهه المعنيه
مثال اخر تغيير مبلغ حواله من 100 ريال الى 1000000 ريال .
ترميز التجزئة Hash Encoding
يضمن ترميز التجزئة، أو التجزئة، عدم إتلاف الرسائل أو التلاعب بها أثناء الإرسال. تستخدم عملية التجزئة معادلة رياضية لإنشاء قيمة عددية فريدة خاصة بالبيانات. وفي حالة تغيير ولو حرفًا واحدًا، لن تكون نتيجة المعادلة، ويطلق عليها تشفير الرسالة، مطابقة. ومع ذلك، فإن الدالّة ذات مسار واحد. ولا يسمح معرفة تشفير الرسالة للمتطفل بإعادة إنشاء الرسالة، مما يجعل من الصعب على الشخص اعتراض خوارزمية التجزئة الآمنة
SHA-1
وتشفير الرساله
MD5
يقصد بالتوقيع الالكتروني التوقيع الرقمي علامة أمان إلكترونية يمكن إضافتها إلى الملفات. ويتيح للمستخدم إمكانية التحقق من ناشر الملف كما يساعد في التحقق من أن الملف لم يتم تغييره منذ تم توقيعه رقميًا.
تقنية التوقيع الرقمي:
يتم عن طريق صيغة رياضية خلق مفتاحين مختلفين ولكنهما مرتبطين رياضياً، المفتاح الخاص (Private key) والمفتاح العام (Public key)، الأول والذي لا يعرفه سوى المرسل يستخدم لتشفير البيانات والثاني يستخدم لفك شيفرة الرسالة و يكون معروف لدى الشخص المستقبل أو لدى جهات موثوقة للوصول إليه في حال استدعت الحاجة.
إذا أراد أحدهم ارسال ملف الكتروني موقع رقمياً، تقوم برمجيات خاصة موجودة لدى الموقّع بإنشاء قيمة هاش عن طريق تطبيق وظيفة هاش على البيانات الأصلية، ثم تشفير تلك القيمة باستخدام المفتاح الخاص للمرسل، وأخيراً يُرفق التوقيع (قيمة هاش بعد التشفير) مع الرسالة. وللتحقق من صحة التوقيع، يستخدم المستقبل المفتاح العام الموافق للمفتاح الخاص للمرسل لفك شيفرة التوقيع، فإن نجحت عملية فك شيفرة التوقيع، فهذا يعني أن المرسل قد وقَّع الرسالة بالفعل، وكخطوة ثانية تقوم برمجيات المستقبل باحتساب نتيجة هاش جديدة للرسالة الأصلية بواسطة نفس وظيفة الهاش المستخدمة في خلق التوقيع الرقمي، فإن تطابقت قيمة هاش للتوقيع الذي فكت شيفرته مع قيمة هاش التي تم احتسابها من قِبَل برمجيات المستقبل، فهذا يعني أن ملف الرسالة سليم ولم يتعرض لأي تخريب أثناء الارسال.
مزايا استخدام التوقيع الرقمي:
- التأكد من وثوقية المرسل: بفضل وجود زوج من المفاتيح،عام وخاص، لا يمكن تزوير التوقيع الرقمي إلا في حال معرفة المفتاح الخاص للمرسل.- التأكد من وثوقية الرسالة: مقارنة نتائج الهاش تؤكد ما إذا تم التلاعب بالرسالة بعد التوقيع أم حافظت على محتواها نفسه.- الالتزام: إن نتيجة وثوقية استخدام المفتاح الخاص عند انشاء توقيع رقمي من قِبَل المرسل يُلزمه بالاعتراف بمحتوى الرسالة ولا يدع له مجالاً للتنكر لها.
الهاش يحدث في كل من المصدر وفي الهدف او في الاثنين معا في اوقات مختلفه ( كان يكون ذلك في بدايه الشهر وفي منتصف الشهر )
يتم المقارنه بين القيمتين اذا وجد بان قيمه الهاش متطابقه ولم تتغير فان المعلومات سليمه ولم تتغير
في حاله تغير قيمتي الهاش فاننا نعرف بإن المعلومات حدث لها تعديل وفقدنا تكامل المعلومات بسبب دخول غير مصرح به
من اشهر خوارزميات المزيج MD5, HMAC, or SHA-1
مثال : موظفي بنك لا يقدرون فتح النظام
سقوط موقع الكتروني للخدمات الالكترونيه – حذف فواتير العملاء
يوفر RAID صفيف متكرر من الأقراص المستقلة طريقةً لتخزين البيانات عبر الأقراص الثابتة المتعددة للتكرار (الوفرة الاحتياطية). لنظام التشغيل، يظهر صفيف RAID كقرص منطقي واحد. وتوضح المصطلحات التالية طريقة صفيف RAID في تخزين البيانات على الأقراص المختلفة:
التماثل - للكشف عن أخطاء البيانات.
تقسيم البيانات - لكتابة البيانات عبر محركات أقراص متعددة.
النسخ المتطابق - لتخزين البيانات المكررة على محرك ثانٍ
يوفر صفيف RAID (صفيف متكرر من الأقراص المستقلة) طريقةً لتخزين البيانات عبر الأقراص الثابتة المتعددة للتكرار (الوفرة الاحتياطية). لنظام التشغيل، يظهر صفيف RAID كقرص منطقي واحد. يوضح الشكل 2 مقارنة لمستويات RAID المختلفة. وتوضح المصطلحات التالية طريقة صفيف RAID في تخزين البيانات على الأقراص المختلفة:
تقسيم البيانات - لكتابة البيانات عبر محركات أقراص متعددة.
النسخ المتطابق - لتخزين البيانات المكررة على محرك ثانٍ
بالنسبة للبنوك انه اضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه إعطاء عنصر الاستمرارية ذات القدر من الأهمية ، فان عملت المصارف في حقل البنوك الإلكترونية او الخدمات المصرفية تصبح المعلومات غير ذات قيمه اذا كان من يحق له الاطلاع عليها لا يمكنه الوصول اليها
التحقق من الهوية
• الجواز، بطاقة الأحوال
سرية المعلومات
• ظرف مغلق
سلامة البيانات
• ظرف مغلق مختوم
عدم الإنكار
• التوقيع والتاريخ
ومحور الخطر هو الإنسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فإدراك هذا الشخص حدود صلاحياته ، وإدراكه آليات التعامل مع الخطر ، وسلامة الرقابة على أنشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات التهديدات نوعين تهديدات بفعل الطبيعه وتهديدات بشريه
تهديدات طبيعيه مثلا الصواعق .. الحرائق .. الاعاصير .. الخ
تهديدات بفعل البشر وهي نوعين
التهديدات الداخلية - تتمثل في المستخدمين والموظفين ممن لهم حق الوصول إلى البيانات والأجهزة والشبكة مثال ذلك اخطاء الموظف الغير مقصوده كادخال بيانات خاطئه.
ويقصد اماكن الضعف في النظام والتي تتيح للمهاجم الاعتداء على سلامه النظام
الثغرات قي تكون قصور في البرمجات او خلل في التصميم او نتيجه لاستخدام المهاجم برامج خبيثه مثل الفيروسات
ثغرة تسمح للهاكر أن يقلص من ضمان المعلومات لنظام ما. فالضعف هو تقاطع ثلاثة عناصر:
عيب في النظام
وهاكر يصل لهذا العيب
وقدرة هذا الهاكر على استغلال هذا العيب.
المهاجمين من الداخل
%87 من منفذي الهجمات من داخل المنظمة )تقرير وزارة الدفاع الأمريكية(
معدل تكاليف الهجوم الداخلي 2,7 مليون دولار
)SANS معدل تكاليف الهجوم الخارجي 57 ألف دولار )موقع
عدم وجود العوائق الأمنية بسبب التواجد داخل الشبكة
ويقصد اماكن الضعف في النظام والتي تتيح للمهاجم الاعتداء على سلامه النظام
الثغرات قي تكون قصور في البرمجات او خلل في التصميم او نتيجه لاستخدام المهاجم برامج خبيثه مثل الفيروسات
التهديدات الخارجيه
أمثلة لمخاطر أمنية
انتحال الشخصية
خسارة السمعة
سرقة أجهزة
انقطاع الخدمة )مثل توقف البريد الإلكتروني(
نشر معلومات سرية
التصنت
الإصطياد الإلكتروني
بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمةفعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل
الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
وجود الدافع:
المال
الانتقام
المنافسة
إثبات القدرات الفنية
أغراض سياسية
2. وجود طريقة لتنفيذ الهجوم
Vulnerabilities 3. وجود ثغرات أمنية
التصميم
التهيئة
الشبكة
الجهاز
نظام التشغيل
البرنامج