Professional Documents
Culture Documents
اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ
(Introduction) اﻟﻣﻘدﻣﺔ
By
CONTENTS
1.2رؤﯾﺔ ﻣﺑﺳطﮫ ﻋن اﻣن اﻟﻣﻌﻠوﻣﺎت )4 .......... ................................................................................................ (Information security overview
ﻣﺳﺗوى اﻷﻣﺎن ﻓﻲ أي ﻣن اﻷﻧظﻣﺔ أو اﻟﺷﺑﻛﺎت اﻟﻣوﺟودة ﺗﺗﺣد ﺑﻘوة اﻟﺛﻼﺛﺔ أﺷﯾﺎء اﻟﺗﺎﻟﯾﺔ6 ..........................................................................................:
) IPv6 security threatsاﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ ﻣن اﺳﺗﺧدام 10 ................. ................................................................................................ (IPv6
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
2
16 .........................................................................................................................................................Misconfiguration attacks-3
18 ................ ................................................................ (scope and limitations of the ethical hackers)ﻧطﺎق وﺣدود اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن
18 .........................................................................................................................................................................................Scope
18 ............... ................................................................................................................................................................Limitations
21 ...................... ................................................................ structure and contents of security policiesھﯾﻛل وﻣﺣﺗوي اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ
22 ............................................................ (Steps to Create and Implement Security Policies)اﻟﺧطوات ﻹﻧﺷﺎء وﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ
•
https://www.facebook.com/tibea2004 ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
3
"إذاً ،إذا ﻛﻧت ﺗﻌرف اﻟﻌدو وﺗﻌرف ﻧﻔﺳك – ﻓﻼ ﺣﺎﺟﺔ ﺑك ﻟﻠﺧوف ﻣن ﻧﺗﺎﺋﺞ ﻣﺋﺔ ﻣﻌرﻛﺔ .إذا ﻋرﻓت ﻧﻔﺳك ﻻ اﻟﻌدو ،ﻓﻛل
ﻧﺻر ﺗﺣرزه ﺳﯾﻘﺎﺑﻠﮫ ھزﯾﻣﺔ ﺗﻠﻘﺎھﺎ .إذا ﻛﻧت ﻻ ﺗﻌرف ﻧﻔﺳك أو اﻟﻌدو – ﺳﺗﻧﮭزم ﻓﻲ ﻛل ﻣﻌرﻛﺔ"
ﻛﺗﺎب ﻓن اﻟﺣروب ﻟﻠﻌﺑﻘري واﻟﻔﯾﻠﺳوف اﻟﻌﺳﻛري اﻟﺻﯾﻧﻲ ﺳون ﺗزو
ﻓﻲ ﻋﺻرﻧﺎ اﻟﺣﺎﻟﻲ اﻧﻘﻠﺑت اﻟﻣوازﯾن ،أﺻﺑﺢ اﻟﺻﻐﺎر ﻛﺑﺎرا ﺑﻌﻘوﻟﮭم ﻓﻲ ﻋﺎﻟم اﻟﮭﺎﻛر أﻋﻣﺎرھم ﺗﺗراوح ﻣﺎ ﺑﯾن ال 16ﺳﻧﺔ وال 20ﺳﻧﺔ .ﻓﻲ ھذا
اﻟﺳن ﺗﺟد ﻛﺛﯾرون ﻣﺣﺗرﻓون ﻓﻲ ﻋﺎﻟم اﻟﮭﺎﻛرز ،ﻣﻧﮭم اﻟطﯾب وﻣﻧﮭم اﻟﺧﺑﯾث ،اﻟﻣﺧﺗرﻗون أﺟﻧﺎس .وﻗد ﺗﺟد ﻓﯾﮭم ﻣن ﯾﺳﺎﻋد اﻟﻧﺎس ﻓﻲ اﺳﺗرﺟﺎع
ﺑﯾﺎﻧﺎﺗﮭم وﺑرﯾدھم اﻻﻟﻛﺗروﻧﻲ .وﻣﻧﮭم ﻣن ﯾﻘوم ﺑﺳرﻗﺔ اﻟﻧﺎس ﻣدﻋﯾﺎ اﻧﮫ ﺷﺧص طﯾب وھو ﻓﻲ اﻷﺻل ﻣﺗﻠﺻص ﯾرﯾد أن ﯾﺧﺗرق ﻋﺑﺛﺎ ،ﻛﺛرت
ﻋﻣﻠﯾﺎت اﻻﺧﺗراﻗﺎت ﻓﻲ اﻟﻌﺎﻟم اﻟﻌرﺑﻲ .وﻻﺣظﻧﺎ اﻻﺧﺗراﻗﺎت اﻟﻛﺛﯾرة ﻋﻠﻰ اﻟﻣواﻗﻊ اﻟﻌرﺑﯾﺔ وﺑﺄﯾدي ﻋرﺑﯾﺔ ﻟﻸﺳف .أﺻﺑﺢ اﻟﮭﺎﻛر وﺳﯾﻠﺔ ﻟﻠﺗﮭدﯾد
ووﺳﯾﻠﺔ ﻟﻼﻧﺗﻘﺎم وأﺻﺑﺢ وﺳﯾﻠﺔ ﻟﻼﺳﺗﻔﺎدة ﻣن اﻷﺷﺧﺎص إﻣﺎ ﻣن اﺟل اﻟﻣﺎل أو ﺷﻲء ﯾرﯾده وﻟم ﯾﺟده إﻻ ﻋﻧد ﺷﺧص ﻣﺎ ،ھذه اﻟﺛﻼﺛﺔ ﻣن اﻏﻠب ﻣﺎ
ﯾﺣدث ﺑﯾن ﻣﺎ ﯾﺳﻣون ﺑﺎﻟﮭﺎﻛر .ﻟذﻟك ﻓﻣن اﻟﻣﮭم ﺟدا أن ﻧﺿﻊ ﻓﻲ اﻋﺗﺑﺎراﺗﻧﺎ أن اﻟﮭﺎﻛر ﯾﻌﻣل ﻋﻠﻰ ﻛﺳر اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك واﻷﻧظﻣﺔ اﻟﺗﻲ
ﺗﺣﺗوﯾﮭﺎ ﻣن اﺟل اﻟﻌدﯾد ﻣن اﻷﺳﺑﺎب واﻷھداف ،ﻟذﻟك ﻓﺎﻧﮫ ﻣن اﻟﻣﮭم ﻓﮭم ﻛﯾﻔﯾﺔ اﺧﺗراق اﻟﻣﮭﺎﺟﻣﯾن اﻟﮭﺎﻛرز ﻟﻸﻧظﻣﺔ واﺳﺗﻐﻼل اﻟﺛﻐرات وأﯾﺿﺎ
ﻣﻌرﻓﺔ اﻟﮭدف ﻣن ھذا اﻟﮭﺟوم.
ﻣن اﻟواﺟب ﻋﻠﻰ ﻛل ﻣن ﻣدﯾري اﻷﻧظﻣﺔ ) (ADMINوﻣﺣﺗرﻓﻲ اﻷﻣن ﻓﻲ اﻟﺷﺑﻛﺎت ) (network security prof.اﻟﻘﯾﺎم ﺑﺣﻣﺎﯾﺔ اﻟﺑﻧﯾﺔ
اﻟﺗﺣﺗﯾﺔ ﻷﻧظﻣﺗﮭم ) (infrastructureﻣن اﻟﺛﻐرات وذﻟك ﺑﻣﻌرﻓﺔ اﻟﻌدو )اﻟﮭﺎﻛرز( وﻣﺎ اﻟذي ﯾﺳﻌﻰ إﻟﯾﮫ ﻣن اﺳﺗﺧدام أﻧظﻣﺗك )اﺳﺗﻐﻼﻟﮭﺎ ﻓﻲ
اﻷﻧﺷطﺔ اﻟﻐﯾر ﻗﺎﻧوﻧﯾﮫ واﻟﺿﺎرة( وھذا ھو اﻟﻣﻐزى ﻣن اﻟﻣﻘوﻟﺔ اﻟﺳﺎﺑﻘﺔ ﻣن ﻛﺗﺎب ﻓن اﻟﺣرب.
ﻣﺎ ھو اﻟﮭﺎﻛرز؟
أ
طﻠﻘت ھذه اﻟﻛﻠﻣﺔ أول ﻣﺎ أطﻠﻘت ﻓﻲ اﻟﺳﺗﯾﻧﯾﺎت ﻟﺗﺷﯾر إﻟﻰ اﻟﻣﺑرﻣﺟﯾن اﻟﻣﮭرة اﻟﻘﺎدرﯾن ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﻛﻣﺑﯾوﺗر وﻣﺷﺎﻛﻠﮫ ﺑﺧﺑرة ودراﯾﺔ
ﺣﯾث أﻧﮭم ﻛﺎﻧوا ﯾﻘدﻣون ﺣﻠوﻻ ﻟﻣﺷﺎﻛل اﻟﺑرﻣﺟﺔ ﺑﺷﻛل ﺗطوﻋﻲ ﻓﻲ اﻟﻐﺎﻟب.
ﺑﺎﻟطﺑﻊ ﻟم ﯾﻛن اﻟوﯾﻧدوز أو ﻣﺎ ﯾﻌرف ﺑﺎﻟـ Graphical User Interfaceأو GUIﻗد ظﮭرت ﻓﻲ ذﻟك اﻟوﻗت وﻟﻛن اﻟﺑرﻣﺟﺔ ﺑﻠﻐﺔ
اﻟﺑﯾﺳﯾك واﻟﻠوﻏو واﻟﻔور ﺗوران ﻓﻲ ذﻟك اﻟزﻣن ﻛﺎﻧت ﺟدﯾرة ﺑﺎﻻھﺗﻣﺎم .وﻣن ھذا اﻟﻣﺑدأ ﻏدا اﻟﻌﺎرﻓﯾن ﺑﺗﻠك اﻟﻠﻐﺎت واﻟﻣﻘدﻣﯾن اﻟﻌون ﻟﻠﺷرﻛﺎت
واﻟﻣؤﺳﺳﺎت واﻟﺑﻧوك ﯾﻌرﻓون ﺑﺎﻟﮭﺎﻛرز وﺗﻌﻧﻲ اﻟﻣﻠﻣﯾن ﺑﺎﻟﺑرﻣﺟﺔ وﻣﻘدﻣﻲ ﺧدﻣﺎﺗﮭم ﻟﻶﺧرﯾن ﻓﻲ زﻣن ﻛﺎن ﻋددھم ﻻ ﯾﺗﺟﺎوز ﺑﺿﻊ أﻟوف ﻋﻠﻰ
ﻣﺳﺗوى اﻟﻌﺎﻟم أﺟﻣﻊ .ﻟذﻟك ﻓﺈن ھذا اﻟوﺻف ﻟﮫ ﻣدﻟوﻻت إﯾﺟﺎﺑﯾﺔ وﻻ ﯾﺟب ﺧﻠطﮫ ﺧطﺄ ﻣﻊ اﻟﻔﺋﺔ اﻷﺧرى اﻟذﯾن ﯾﺳطون ﻋﻧوه ﻋﻠﻰ اﻟﺑراﻣﺞ
وﯾﻛﺳرون رﻣوزھﺎ ﺑﺳﺑب اﻣﺗﻼﻛﮭم ﻟﻣﮭﺎرات ﻓﺋﺔ اﻟﮭﺎﻛرز اﻟﺷرﻓﺎء .وﻧظرا ﻟﻣﺎ ﺳﺑﺑﺗﮫ اﻟﻔﺋﺔ اﻷﺧﯾرة ﻣن ﻣﺷﺎﻛل وﺧﺳﺎﺋر ﻻ ﺣﺻر ﻟﮭﺎ ﻓﻘد أطﻠﻖ
ﻋﻠﯾﮭم إﺳﻣﺎ ً ﻣرادﻓﺎ ﻟﻠﮭﺎﻛرز وﻟﻛﻧﮫ ﯾﺗداول ﺧطﺄ اﻟﯾوم وھو )اﻟﻛراﻛرز (Crackersﻛﺎن اﻟﮭﺎﻛرز ﻓﻲ ﺗﻠك اﻟﺣﻘﺑﺔ ﻣن اﻟزﻣن ﯾﻌﺗﺑرون ﻋﺑﺎﻗرة ﻓﻲ
اﻟﺑرﻣﺟﺔ ﻓﺎﻟﮭﺎﻛر ھو اﻟﻣﺑرﻣﺞ اﻟذي ﯾﻘوم ﺑﺗﺻﻣﯾم أﺳرع اﻟﺑراﻣﺞ واﻟﺧﺎﻟﻲ ﻓﻲ ذات اﻟوﻗت ﻣن اﻟﻣﺷﺎﻛل واﻟﻌﯾوب اﻟﺗﻲ ﺗﻌﯾﻖ اﻟﺑرﻧﺎﻣﺞ ﻋن اﻟﻘﯾﺎم
ﺑدورة اﻟﻣطﻠوب ﻣﻧﮫ .وﻷﻧﮭم ﻛذﻟك ﻓﻘد ظﮭر ﻣﻧﮭم إﺳﻣﺎن ﻧﺟﺣﺎ ﻓﻲ ﺗﺻﻣﯾم وإرﺳﺎء ﻗواﻋد أﺣد اﻟﺑراﻣﺞ اﻟﻣﺳﺗﺧدﻣﺔ اﻟﯾوم وھﻣﺎ دﯾﻧﯾس رﯾﺗﺷﻲ
وﻛﯾن ﺗوﻣﺳون اﻟﻠذان ﻧﺟﺣﺎ ﻓﻲ أواﺧر اﻟﺳﺗﯾﻧﯾﺎت ﻓﻲ إﺧراج ﺑرﻧﺎﻣﺞ اﻟﯾوﻧﯾﻛس اﻟﺷﮭﯾر إﻟﻰ ﺣﯾز اﻟوﺟود .ﻟذﻟك ﻓﻣن اﻷﻓﺿل ﻋدم إطﻼق ﻟﻘب
اﻟﮭﺎﻛر ﻋﻠﻰ اﻷﻓراد اﻟذﯾن ﯾدﺧﻠون ﻋﻧوه إﻟﻰ اﻷﻧظﻣﺔ ﺑﻘﺻد اﻟﺗطﻔل أو اﻟﺗﺧرﯾب ﺑل ﻋﻠﯾﻧﺎ إطﻼق ﻟﻘب اﻟﻛراﻛرز ﻋﻠﯾﮭم وھﻲ ﻛﻠﻣﺔ ﻣﺄﺧوذة ﻣن
اﻟﻔﻌل Crackﺑﺎﻹﻧﺟﻠﯾزﯾﺔ وﺗﻌﻧﻲ اﻟﻛﺳر أو اﻟﺗﺣطﯾم وھﻲ اﻟﺻﻔﺔ اﻟﺗﻲ ﯾﺗﻣﯾزون ﺑﮭﺎ.
ھو ﻋﻣﻠﯾﺔ ﻓﺣص واﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ اﻟﺧﺻﮫ ﺑك ﻣن اﺟل إﯾﺟﺎد اﻟﺛﻐرات وﻧﻘﺎط اﻟﺿﻌف واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﯾﺳﺗﺧدﻣﮭﺎ اﻟﮭﺎﻛرز .اﻟﺷﺧص اﻟذي
ﯾﻘوم ﺑﮭذه اﻟﻌﻣﻠﯾﺔ ھو اﻟﮭﺎﻛر اﻷﺑﯾض ) (white hackerاﻟذي ﯾﻌﻣل ﻋﻠﻰ اﻟﮭﺟوم ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺑﻘﺻد اﻛﺗﺷﺎف اﻟﺛﻐرات ﺑﮭﺎ ﺑدون
اﻟﺣﺎق أي ﺿرر .وھذا ﻣن اﻟطﺑﯾﻌﻲ ﯾؤدى إﻟﻰ زﯾﺎدة ﻣﻌدﻻت اﻷﻣن ﻟدى اﻟﻧظﺎم اﻟﺧﺎص ﺑك .أو ﺑﻣﻌﻧﻰ أﺧر ھو أﻧﺳﺎن ﻟﮫ ﻣﮭﺎرات ﺗﻌطﯾﮫ
إﻣﻛﺎﻧﯾﺔ اﻟﻔﮭم واﻟﺑﺣث ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﻣﺧﺗﻠﻔﺔ ،وھذا اﻟﺷﺧص ﯾﻌﺗﺑر ﻧﻔﺳﮫ ھﺎﻛرز ﺣﯾث ﯾﺳﺗﺧدم ﻧﻔس ﻣﻌرﻓﺗﮫ وﻧﻔس
أدواﺗﮫ وﻟﻛن ﺑدون أن ﯾﺣدث أي ﺿرر.
ﻣﺎ اﻟﻔرق ﺑﯾن اﻟﮭﺎﻛرز اﻷﺧﻼﻗﻲ واﻟﮭﺎﻛرز اﻟﻌﺷواﺋﻲ؟
اﻟﮭﺎﻛرز اﻷﺧﻼﻗﻲ ) :(ethical hackerھو ﺧرﯾﺞ ھذه اﻟﺷﮭﺎدة او ﻣﺎ ﯾﻌﺎدﻟﮭﺎ ﺣﯾث ﯾﻛﺗﺳب ﻗوﺗﮫ ﻣن ﺧﻼل ﺧﺑرة أﻓﺿل ھﺎﻛرز ﻓﻲ •
اﻟﻌﺎﻟم وﯾﺳﺗﺧدﻣﮭﺎ ﻓﻲ ﺗﺣﺳﯾن اﻟوﺿﻊ اﻷﻣﻧﻲ ﻷﻧظﻣﺔ اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ.
اﻟﮭﺎﻛرز اﻟﻌﺷواﺋﻲ ھو اﻟﮭﺎﻛر اﻟﻣدﻣر. •
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
4
ھذا اﻟﻣﺻطﻠﺢ ﯾﺷﯾر إﻟﻰ اﻟطرﯾﻘﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺣﻣﺎﯾﺔ أي ﻧوع ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ او ﺑﻣﻌﻧﻰ أﺧر وﺿﻊ ﺣﺎﺋط أﻣن ﺣول اﻟﻣﻌﻠوﻣﺎت اﻟﻣﮭﻣﺔ
وذﻟك ﻟﺣﻣﺎﯾﺗﮭﺎ ﻣن ﻗﺑل اﻻﺗﻲ:
Unauthorized access .1اﻟوﻟوج/اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ.
Disclosure .2اﻟﻛﺷف ﻋن ھذه اﻟﻣﻌﻠوﻣﺎت.
Alteration .3اﻟﺗﻌدﯾل ﻋﻠﻰ ھذه اﻟﻣﻌﻠوﻣﺎت.
Destruction .4ﺗدﻣﯾر ھذه اﻟﻣﻌﻠوﻣﺎت.
اﻟﻣﻌﻠوﻣﺎت ﺗﻌﺗﺑر ﻣن اﻟﻣﺻﺎدر اﻟﮭﺎﻣﺔ ﻟذﻟك ﯾﺟب أن ﺗﻛون أﻣﻧﮫ ،وذﻟك ﻻن وﻗوع ھذه اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻷﯾدي اﻟﺧطﺄ ﻗد ﯾﺳﺑب ﺗﮭدﯾدا ﻛﺑﯾرا ﻋﻠﻰ
اﻟﺑﻧﯾﺔ اﻟﺗﻲ ﺗﺧﺻﮭﺎ ھذه اﻟﻣﻌﻠوﻣﺎت.
IC3
ھو اﺧﺗﺻﺎر إﻟﻰ Internet Crime complaint centerوھﻲ ﺷرﻛﺔ ﺗﻌﻣل ﻋﻠﻰ رﺻد اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ ﺛم إﻋطﺎء ﺗﻘرﯾر ﻋن ھذا
واﻟﻣوﻗﻊ اﻹﻟﻛﺗروﻧﻲ ﻟﮭﺎ ھو www.ic3.gov
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
5
HACK VALUE
ھو ﻣﻔﮭوم ﺑﯾن اﻟﮭﺎﻛرز ﻋﻠﻰ اﻧﮫ ﺷﻲء ﻣﮭم ﯾﺳﺗﺣﻖ اﻟﻘﯾﺎم ﺑﮫ أو ﻣﺛﯾر ﻟﻼھﺗﻣﺎم أو ﺑﻣﻌﻧﻰ أﺧر ھو ﻗﯾﻣﺔ اﻟﻌﻣل اﻟذي ﺳوف ﯾﻘوم ﺑﮫ.
EXPLOIT
ھﻲ طرﯾﻘﺔ اﺧﺗراق ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﻣن ﺧﻼل ﻧﻘﺎط اﻟﺿﻌف اﻟﻣوﺟودة ﻓﯾﮫ وھذا اﻟﻣﺻطﻠﺢ ﯾﺳﺗﺧدم ﻓﻲ أي ھﺟﻣﮫ ﻣن أي ﻧوع ﻋﻠﻰ اﻷﻧظﻣﺔ
واﻟﺷﺑﻛﺎت وﯾﻣﻛن أن ﯾﻛون أﯾﺿﺎ ﻋﺑﺎره ﻋن ﺗطﺑﯾﻘﺎت أﺧرى أو أواﻣر ) (commandsواﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺳﺑب ﺳﻠوك ﻏﯾر ﻣﺗوﻗﻊ
ﻟﺑراﻣﺞ ﻗﺎﻧوﻧﯾﮫ أو أﺟﮭزه ﻗﺎﻧوﻧﯾﺔ ﻋن طرﯾﻖ اﺧذ ﻣﯾزات ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﺗﺣﺗوﯾﮭﺎ.
VULNERABILITY
ھو ﻣﺻطﻠﺢ ﯾﻌﺑر ﻋن ﻧﻘﺎط اﻟﺿﻌف/اﻟﺛﻐرات ،وﻗد ﺗﻛون ﻧﻘﺎط اﻟﺿﻌف ھذه إﻣﺎ ﻧﻘﺎط ﺿﻌف ﻓﻲ اﻟﺗﺻﻣﯾم ) (design codeأو أﺧطﺎء
) (error/bugsواﻟﺗﻲ ﻗد ﺗﺳﺑب ﺳوﻟك ﻏﯾر ﻣﺗوﻗﻊ أو ﻏﯾر ﻣرﻏوب ﻓﯾﮫ ﻓﻲ ﻧظﺎم اﻷﻣن .وھو ﯾﻌﺗﺑر اﻟﻣﺻدر اﻟذي ﯾﮭﺗم ﺑﮫ اﻟﮭﺎﻛر ﻟﻛﻲ
ﯾﻌﻣل ﻋﻠﯾﮫ.
TARGET OF EVALUATION
ھو ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت أو اﻟﺷﺑﻛﺎت ) (IT systemأو ﺑرﻧﺎﻣﺞ أو ﻣﺣﺗوى ﯾﺳﺗﺧدم ﻟﻠوﺻول إﻟﻰ درﺟﮫ ﻣﻌﯾﻧﮫ ﻣن اﻷﻣن .وھذا اﻟﻧوع ﯾﺳﺎﻋد ﻓﻲ
ﻓﮭم وظﺎﺋف وﺗﻘﻧﯾﺎت وﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻷﻧظﻣﺔ واﻟﻣﻧﺗﺟﺎت.
ZERO-DAY ATTACK
ھو ﻋﺑﺎره ﻋن ھﺟوم ﯾﺳﺗﻐل ﺛﻐره اﻣﻧﯾﮫ ﻟم ﺗﻛن ﻣﻌروﻓﮫ ﻣﺳﺑﻘﺎ ﻟﻠﻣﺑرﻣﺟﯾن ﻓﻲ ﺗطﺑﯾﻖ ﻛﻣﺑﯾوﺗر وھذا ﯾﻌﻧﻰ أن اﻟﻣﺑرﻣﺟﯾن ﻟدﯾﮭم ﺻﻔر ﯾوم
ﻟﻣﻌﺎﻟﺟﺔ ھذا اﻟﺿﻌف.
DAISY CHAINING
ﺗﻌﻧﻰ أن اﻟﮭﺎﻛر اﻟذي اﺳﺗطﺎع اﻟوﺻول إﻟﻰ ﻗﺎﻋدة اﻟﻣﻌﻠوﻣﺎت ﻓﺎﻧﮫ ﯾﻌﻣل ﻋﻠﻰ ﺗﻛﻣﻠﺔ أھداﻓﮫ ﻋن طرﯾﻖ ﺗﻐطﯾﺔ أﺛﺎر ﻣﺎ ﻓﻌﻠﮫ وﯾﺗم ذﻟك ﺑﺗدﻣﯾر
ﻣﻠﻔﺎت اﻟﺳﺟل ) (destroy log fileوذﻟك ﻹﺧﻔﺎء اﻟﮭوﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮫ.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
6
ھﻲ اﻟﺣﺎﻟﺔ اﻟﺗﻲ ﯾﻛون ﻓﯾﮭﺎ ﻋﻣﻠﯾﺔ ﺟﻌل اﻟﻣﻌﻠوﻣﺎت واﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻸﻧظﻣﺔ ) (Infrastructureﻣن اﻟﺻﻌب ﺳرﻗﺗﮭﺎ وﺗﺗﻛون ﻣن ﺧﻣس ﻣراﺣل
• ) Confidentialityاﻟﺧﺻوﺻﯾﺔ(
ھﻲ اﻹﺟﺎﺑﺔ ﻋﻠﻰ اﻟﺳؤال )ﻣن ﻟﮫ اﻟﺣﻖ ﻓﻲ اﻷطﻼح/اﻟدﺧول ﻋﻠﻰ ھذه اﻟﻣﻌﻠوﻣﺎت؟( أو ﺑﻣﻌﻧﻰ اﺻﺢ ھﻲ ﺻﻼﺣﯾﺎت اﻟدﺧول.
• Integrity
ﺷﻛل اﻟﺑﯾﺎﻧﺎت )ﻣﻧﻊ أي ﺗﻐﯾر ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت(.
• ) Availabilityاﻹﺗﺎﺣﺔ(
اﻟﺑﯾﺎﻧﺎت ﺗﻛون ﻣﺗﺎﺣﮫ ﻟﻣن ﻟﮫ اﻟﺣﻖ ﻓﻲ اﻟدﺧول ﻋﻠﯾﮭﺎ أو ﺑﻣﻌﻧﻰ أﺧر أن اﻟﻧظﺎم اﻟﻣﺳﺋول ﻋن ﻧﻘل وﺗﺧزﯾن وﻣﻌﺎﻟﺟﺔ اﻟﺑﯾﺎﻧﺎت ﯾﻛون ﻣﺗﺎﺣﺎ ﻟﻣن ﻟﮫ
اﻟﺣﻖ ﻓﻲ اﻟدﺧول ﻋﻠﯾﮭﺎ.
• Authenticity
ھذا ﯾﺷﯾر إﻟﻰ ﺳﻣﺔ )اﻻﺗﺻﺎﻻت ،أو اﻟوﺛﯾﻘﺔ ،أو أي ﺑﯾﺎﻧﺎت( واﻟﺗﻲ ﺗﺿﻣن ﻧوﻋﯾﺔ ﻛوﻧﮭﺎ ﺣﻘﯾﻘﯾﺔ أم ﻻ ) (genuineﻏﯾر ﻣﻘﻠده ﻣن اﻷﺻل.
واﻷدوار اﻟرﺋﯾﺳﯾﺔ ﻣن ﻋﻣﻠﯾﺔ اﻟﻣﺻﺎدﻗﺔ authenticationﺗﺷﻣل اﻻﺗﻲ:
.1اﻟﺗﺄﻛﯾد ﻣن ھوﯾﺔ اﻟﻣﺳﺗﺧدم ھل ھو ھذا اﻟﻣﺳﺗﺧدم م اﻟﻣﻌرف ﻟدﯾﮫ أم ﻻ.
.2ﺿﻣﺎن أن اﻟرﺳﺎﻟﺔ اﻟﻘﺎدﻣﺔ ﻣﻧﮫ اﺻﻠﯾﮫ وﻟم ﯾﺗم اﻟﺗﻐﯾر ﻓﻲ ﻣﺣﺗواھﺎ أو ﻟﯾﺳت ﻣزوره.
.3ﺗﺳﺗﺧدم ﻛل ﻣن biometricو smart cardsواﻟﺷﮭﺎدة اﻟرﻗﻣﯾﺔ digital certificateﻓﻲ اﻟﺗﺄﻛد ﻣن ﻣﺻداﻗﯾﮫ اﻟﺑﯾﺎﻧﺎت
أو اﻻﺗﺻﺎل أو ﺣﺗﻰ اﻟﻣﺳﺗﻧدات.
• Non-repudiation
ھذا ﯾﺷﯾر إﻟﻰ اﻟﻘدرة ﻋﻠﻰ اﻟﺗﺄﻛد ﻣن أن طرﻓﻲ اﻟﻌﻘد أو اﻻﺗﺻﺎﻻت ﻻ ﯾﺳﺗطﯾﻌﺎ أن ﯾﻧﻛرا ﺻﺣﺔ اﻟﺗوﻗﯾﻊ ﻋﻠﻰ اﻟوﺛﯾﻘﺔ أو اﻟرﺳﺎﻟﺔ اﻟﻣرﺳﻠﺔ ﺑﯾﻧﮭم
ﻣن اﻷﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك ﺑروﺗﻛول HTTPSو.Kerberos
ﻣﺳﺗوى اﻷﻣﺎن ﻓﻲ أي ﻣن اﻷﻧظﻣﺔ أو اﻟﺷﺑﻛﺎت اﻟﻣوﺟودة ﺗﺗﺣد ﺑﻘوة اﻟﺛﻼﺛﺔ أﺷﯾﺎء اﻟﺗﺎﻟﯾﺔ:
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
7
ﺣﯾث ﻧﻼﺣظ وﺟود داﺋرة ﺻﻔراء واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺗﺣرك ﻓﻲ أي زاوﯾﺔ ﻣن زاوﯾﺎ اﻟﻣﺛﻠث واﻟﺗﻲ ﺗدل ﻋﻠﻰ ﻣﻌﻧﻰ .ﺣﯾث ﻣﻛﺎﻧﮭﺎ اﻟﺣﺎﻟﻲ ﯾدل
اﻧﮫ ﻣﻊ زﯾﺎدة اﻷﻣﺎن ) (securityﻓﺎﻧﮫ ﺳوف ﯾﻘل اﻷداء )(Usability – Functionality
INFORMATION SECURITY THREATS AND ATTACK VECTOR 1.3
ھذا ﯾﺷﯾر إﻟﻰ اﻟﻣﺳﺎر اﻟذي ﯾﺗﺧذه اﻟﻣﮭﺎﺟم ﻟﻠوﺻول إﻟﻰ ﻣرﻛز اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ أﻧظﻣﺔ اﻟﺷﺑﻛﺔ ﻷداء ﺑﻌض اﻷﻧﺷطﺔ اﻟﻣﺧﺗﻠﻔﺔ.
:Attack Vectorﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻻﺳﺗﻔﺎدة ﻣن اﻟﺛﻐرات اﻟﻣوﺟودة ﻓﻲ ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﻟﺣﻣل اﻟﮭﺟوم اﻟﺧﺎص ﺑﮫ .اﻟﻣﺳﺎرات اﻟﻣﺗﺎﺣﺔ اﻟﺗﻲ
ﻣﻣن اﻟﻣﻣﻛن أن ﯾﺳﺗﺧدﻣﮭﺎ اﻟﻣﮭﺎﺟم ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﻘرﺻﻧﺔ ﻛﺎﻻﺗﻰ:
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
8
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
9
اﻟﻣﺻطﻠﺢ ) (Information Warfare/InfoWarﯾﺷﯾر إﻟﻰ اﺳﺗﺧدام ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت واﻻﺗﺻﺎﻻت ICTﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﺑﻌض
اﻟﻣزاﯾﺎ اﻟﺗﻧﺎﻓﺳﯾﺔ ﻣن اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ أو ﺑﻣﻌﻧﻰ أﺧر ھو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ.
أو ﺑﻣﻌﻧﻰ أﺧر ھو اﺻطﻼح ظﮭر ﻓﻲ ﺑﯾﺋﺔ اﻹﻧﺗرﻧت ﻟﻠﺗﻌﺑﯾر ﻋن اﻋﺗداءات ﺗﻌطﯾل اﻟﻣواﻗﻊ وإﻧﻛﺎر اﻟﺧدﻣﺔ واﻻﺳﺗﯾﻼء ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت ،وﻛﻣﺎ
ﯾﺷﯾر اﻻﺻطﻼح ﻓﺎن اﻟﮭﺟﻣﺎت واﻟﮭﺟﻣﺎت اﻟﻣﻘﺎﺑﻠﺔ ھﻲ اﻟﺗﻲ ﺗدل ﻋﻠﻰ وﺟود ﺣرب ﺣﻘﯾﻘﯾﺔ ،وﺑﻣﺎ إﻧﮭﺎ ﺣرب ﻓﮭﻲ ﺣرب ﺑﯾن ﺟﮭﺎت ﺗﺗﻧﺎﻗض
ﻣﺻﺎﻟﺣﮭﺎ وﺗﺗﻌﺎرض ﻣواﻗﻔﮭﺎ ،ﻟﮭذا ﺗﻛون ﻓﻲ اﻟﻐﺎﻟب ھﺟﻣﺎت ذات ﺑﻌد ﺳﯾﺎﺳﻲ ،أو ھﺟﻣﺎت ﻣﻧﺎﻓﺳﯾن ﻓﻲ ﻗطﺎع اﻷﻋﻣﺎل .وﻟذا وﺻﻔت ﺣﻣﻼت
اﻟﮭﺎﻛرز اﻟﯾوﻏﺳﻼﻓﯾﯾن ﻋﻠﻰ ﻣواﻗﻊ اﻟﻧﺎﺗو أﺑﺎن ﺿرﺑﺎت اﻟﻧﺎﺗو ﺑﺎﻧﮭﺎ ﺣرب ﻣﻌﻠوﻣﺎت ،ووﺻﻔت ﻛذﻟك ھﺟﻣﺎت اﻟﻣﺧﺗرﻗﯾن اﻷﻣرﯾﻛﺎن ﻋﻠﻰ ﻣواﻗﻊ
ﺻﯾﻧﯾﺔ ﻓﻲ اطﺎر ﺣﻣﻠﺔ أﻣرﯾﻛﯾﺔ ﻋﻠﻰ اﻟﺻﯾن ﺗﺣت ذرﯾﻌﺔ ﺣﻘوق اﻷﻧﺳﺎن واﻟﺗﻲ ﺗﻣت ﺑدﻋم ﺣﻛوﻣﻲ أﻣرﯾﻛﻲ ﺑﺎﻧﮭﺎ ﺣرب ﻣﻌﻠوﻣﺎت ،وأﺷﮭر
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
10
ﺣروب اﻟﻣﻌﻠوﻣﺎت اﻟﻘﺎﺋﻣﺔ ﺣﺗﻰ اﻷن اﻟﻣﻌرﻛﺔ اﻟﻣﺳﺗﻌرة ﺑﯾن اﻟﺷﺑﺎب اﻟﻌرب واﻟﻣﺳﻠم وﺗﺣدﯾدا ﺷﺑﺎب اﻟﻣﻘﺎوﻣﺔ اﻟﻠﺑﻧﺎﻧﯾﺔ واﻟﻣدﻋوﻣﯾن ﻣن ﺧﺑراء
اﺧﺗراق ﻋرب وﻣﺳﻠﻣﯾن ،وﺑﯾن ﺟﮭﺎت ﺗﻘﻧﯾﺔ ﺻﮭﯾوﻧﯾﺔ ﻓﻲ اطﺎر ﺣرب ﺗﺳﺗﮭدف إﺛﺑﺎت اﻟﻣﻘدرات ﻓﻲ اﺧﺗراق اﻟﻣواﻗﻊ وﺗﻌطﯾﻠﮭﺎ أو اﻻﺳﺗﯾﻼء
ﻋﻠﻰ ﺑﯾﺎﻧﺎت ﻣن ھذه اﻟﻣواﻗﻊ .وھذا اﻻﺻطﻼح ﻓﻲ ﺣﻘﯾﻘﺗﮫ اﺻطﻼح إﻋﻼﻣﻲ أﻛﺛر ﻣﻧﮫ أﻛﺎدﯾﻣﻲ ،وﯾﺳﺗﺧدم ﻣرادﻓﺎ ﻓﻲ ﻏﺎﻟﺑﯾﺔ اﻟﺗﻘﺎرﯾر
ﻻﺻطﻼح اﻟﮭﺟﻣﺎت اﻹرھﺎﺑﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ وﻧﺟده ﻟدى اﻟﻛﺛﯾرﯾن اﺻطﻼح واﺳﻊ اﻟدﻻﻟﺔ ﻟﺷﻣول ﻛل أﻧﻣﺎط ﻣﺧﺎطر وﺗﮭدﯾدات واﻋﺗداءات وﺟراﺋم
اﻟﺑﯾﺋﺔ اﻹﻟﻛﺗروﻧﯾﺔ ،وﻧرى ﻗﺻر اﺳﺗﺧداﻣﮫ ﻋﻠﻰ اﻟﮭﺟﻣﺎت واﻟﮭﺟﻣﺎت اﻟﻣﺿﺎدة ﻓﻲ ﺿوء ﺣروب اﻟرأي واﻟﻣﻌﺗﻘد ﻟﺗﻣﯾﯾزه ﻋن ﺑﻘﯾﺔ أﻧﺷطﺔ ﺗﻌطﯾل
اﻟﻣواﻗﻊ اﻟﺗﻲ ﻻ ﺗﻧطﻠﻖ ﻣن ﻣﺛل ھذه اﻷﻏراض.
:Defensive InfoWar
ﯾﺷﯾر إﻟﻰ ﺟﻣﯾﻊ اﻻﺳﺗراﺗﯾﺟﯾﺎت واﻟﻣﺑﺎدرات اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠدﻓﺎع ﺿد ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ).(ICT assets
:Offensive InfoWar
ﯾﺷﯾر إﻟﻰ InfoWarاﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠﮭﺟوم ﻋﻠﻰ اﻟﻣؤﺳﺳﺎت ) (ICT assetsﻓﻲ اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ.
IPv6ﻣﻘﺎرﻧﺔ ﺒ IPv4ﻓﺎﻧﮫ ﯾﻣﻠك ﺗﺣﺳﯾﻧﺎت اﻣﻧﯾﮫ اﻓﺿل ﻣﻧﮫ واﻟﺗﻲ ﺗﺻل ﺑك إﻟﻰ ﻣﺳﺗوى اﻋﻠﻰ ﻣن اﻷﻣﺎن واﻟﺧﺻوﺻﯾﺔ ﻟﻠﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﻣر
ﻋﺑر اﻟﺷﺑﻛﺔ وﻟﻛن ﻣﻊ ذﻟك ﻓﺎﻧﮫ ﯾﺣﻣل ﺑﻌض اﻟﺗﮭدﯾدﯾﺎت ﻛﺎﻻﺗﻰ:
Auto-Configuration threat-1
IPv6ﯾدﻋم اﻹﻋداد اﻷﻟﻰ ) (Authconfigﻟﻌﻧﺎوﯾن اﻟﺷﺑﻛﺔ ) ,(IPواﻟﺗﻲ ﺗﺗرك اﻟﻣﺳﺗﺧدم ﻋرﺿﮫ ﻟﻠﮭﺟوم ﻋﺑر ﺑﻌض اﻟﺛﻐرات اذا ﻟم ﯾﺗم
اﻹﻋداد اﻟﺻﺣﯾﺢ واﻷﻣن ﻣن اﻟﺑداﯾﺔ.
Trespassing-8
اﻟﻣﯾزات اﻟﻣﺳﺗﻘﺑﻠﯾﺔ ﻟﻌﻧﺎوﯾن IPv6اﻟﺗﻲ ﯾﺗم اﺳﺗﻛﺷﺎﻓﮭﺎ ﻣن اﻟﻣﻣﻛن أن ﺗﺳﺗﻐل ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ اﺟﺗﯾﺎز اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك ﻣن اﺟل
اﻟوﺻول إﻟﻰ ﻣوارد اﻟﺷﺑﻛﺔ اﻟﻣﻘﯾدة ).(restricted resources
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
12
ﻣن ھو اﻟﮭﺎﻛرز؟
ھو ﻋﺑﺎره ﻋن ﺷﺧص ﻣﺣﺗرف ﯾﻣﻛﻧﮫ اﺧﺗراق اﻷﻧظﻣﺔ واﻟﺷﺑﻛﺎت ﺑطرﯾﻘﮫ ﻏﯾر ﻗﺎﻧوﻧﯾﮫ أو ﺑدون ﺗﺻرﯾﺢ ﻣن أﺟل ﺗدﻣﯾر أو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت
اﻟﺣﺳﺎﺳﺔ أو أداء ﺑﻌض اﻟﮭﺟﻣﺎت اﻷﺧرى ﻋﻠﻰ اﻷﺟﮭزة اﻷﺧرى .وھذا اﻟﺷﺧص ﯾﺗﻣﯾز ﺑﺄﻧﮫ ﯾﻣﻠك ذﻛﺎء ﻣﻊ ﻣﮭﺎرات ﺟﯾده ﻓﻲ ﻋﻠم اﻟﻛﻣﺑﯾوﺗر ﻣﻊ
اﻟﻣﻘدرة ﻋﻠﻰ إﻧﺷﺎء وﻓﺣص ﺑراﻣﺞ وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر.
ﺑﻌض اﻟﻣﮭﺎﺟﻣﯾن ﻟدھﯾم ھواﯾﺔ ﻓﻲ رؤﯾﺔ ﻛم اﻟﻌدد ﻣن اﻷﺟﮭزة واﻟﺷﺑﻛﺎت اﻟذي اﺧﺗراﻗﮭﺎ .اﻟﺑﻌض اﻷﺧر ﯾﺳﺗﺧدم ھذا ﻟﻛﺳب اﻟﻣﻌﻠوﻣﺎت أو ﻟﻔﻌل
ﺷﻲء ﻏﯾر ﻗﺎﻧوﻧﻲ ﻣﺛل ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت اﻻﺳﺗﺛﻣﺎرﯾﺔ أو ﻣﻌﻠوﻣﺎت ﻛﺎرت اﻻﺋﺗﻣﺎن )(ATIMأو اﻟرﻗم اﻟﺳري ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻏﯾرھﺎ.
أﻧواع اﻟﮭﺎﻛرز:
) Black Hatsاﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟﺳوداء(
ھم أﻓراد ﻟدﯾﮭم ﻣﮭﺎرات اﺳﺗﺛﻧﺎﺋﯾﺔ ﻓﻲ ﻋﻠم اﻟﺣوﺳﺑﺔ) ، (computer scienceاﻟﻠﺟوء إﻟﻰ أﻧﺷطﺔ ﺿﺎرة أو ﻣدﻣرة ،ﻛﻣﺎ أﻧﮭم
ﻣﻌروﻓﯾن أﯾﺿﺎ ﺑﺎﺳم ﻛراﻛرز ).(crackers
ھؤﻻء اﻷﻓراد داﺋم ﻣﺎ ﯾﺳﺗﺧدﻣون ﻣﮭﺎراﺗﮭم ﻓﻲ اﻷﻧﺷطﺔ اﻟﺗدﻣﯾرﯾﺔ واﻟﺗﻲ ﺗﺳﺑب ﺿرر ﻛﺑﯾر ﻟﻠﺷرﻛﺎت واﻟﻣؤﺳﺳﺎت واﻷﻓراد .ھؤﻻء ﯾﺳﺗﺧدﻣون
ﻣﮭﺎراﺗﮭم ﻓﻲ إﯾﺟﺎد اﻟﺛﻐرات ﻓﻲ اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ واﻟﺗﻲ ﺗﺷﻣل أﯾﺿﺎ اﻟﻣواﻗﻊ اﻟﺣﻛوﻣﯾﺔ وﻣواﻗﻊ اﻟدﻓﺎع واﻟﺑﻧوك وھﻛذا.
ﺑﻌﺿﮭم ﯾﻔﻌل ذﻟك ﻣن اﺟل أﺣداث ﺿرر أو ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت أو ﺗدﻣﯾر ﺑﯾﺎﻧﺎت أو ﻛﺳب اﻟﻣﺎل ﺑطرﯾﻘﮫ ﺳﮭل ﻋن طرﯾﻖ ﻗرﺻﻧﮫ اﻟرﻗم اﻟﺗﻌرﯾﻖ
ﻟﻌﻣﻼء اﻟﺑﻧوك.
) White Hatsاﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟﺑﯾﺿﺎء(
ھم أﻓراد ﯾﻌﺗﻧﻘون ﻣﮭﺎرات اﻟﻘرﺻﻧﺔ )اﻻﺧﺗراق( وﯾﺳﺗﺧدﻣون ھذه اﻟﻣﮭﺎرات ﻣن اﺟل اﻷھداف اﻟدﻓﺎﻋﯾﺔ؛ ﻛﻣﺎ أﻧﮭم ﻣﻌروﻓﯾن أﯾﺿﺎ
ﺑﺎﺳم اﻟﻣﺣﻠﻠﯾن اﻷﻣﻧﯾن ) .(security analystsﻓﻲ ھذه اﻷﯾﺎم ﻓﺎن ﻣﻌظم اﻟﺷرﻛﺎت ﯾﻣﻠﻛون ﻣﺣﻠﻠﯾن اﻣﻧﯾن ﻣن اﺟل ﺣﻣﺎﯾﺔ
أﻧظﻣﺗﮭم ﺿد اﻟﮭﺟﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ .ھؤﻻء ﯾﺳﺎﻋدون اﻟﺷرﻛﺎت ﻟﺗﺎﻣﯾن اﻟﺷﺑﻛﺎت اﻟﺧﺎﺻﺔ ﺑﮭم.
) Gray Hatsاﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟرﻣﺎدﯾﺔ(
ھم أﻓراد ﻟدﯾﮭم ﻣﮭﺎرات اﻟﮭﺎﻛر ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﻓﻲ اﻟﮭﺟوم واﻟدﻓﺎع ﻋﻠﻰ ﺣد ﺳواء ﻓﻲ أوﻗﺎت ﻣﺧﺗﻠﻔﺔ .وھؤﻻء ﯾﻘﻌون ﺑﯾن
Black Hatsو .White Hatsھؤﻻء ﯾﻣﻛﻧﮭم أﯾﺿﺎ ﻣﺳﺎﻋدة اﻟﮭﺎﻛر ﻓﻲ إﯾﺟﺎد اﻟﺛﻐرات اﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻷﻧظﻣﺔ واﻟﺷﺑﻛﺎت وﻓﻰ
ﻧﻔس اﻟوﻗت ﯾﻘوﻣون ﺑﻣﺳﺎﻋدة اﻟﻣؤﺳﺳﺎت ﻓﻲ ﺗﺣﺳﯾن ﻣﻧﺗﺟﺎﺗﮭم ) (software and hardwareﻋن طرﯾﻖ ﺟﻌﻠﮭﺎ أﻛﺛر أﻣﺎﻧﺎ وھﻛذا.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
13
:HACKTIVISM
ھو ﻋﻣل ﻟﺗﻌزﯾز أﺟﻧدة ﺳﯾﺎﺳﯾﺔ ﻋن طرﯾﻖ اﻟﻘرﺻﻧﺔ ،ﺧﺎﺻﺔ ﻋن طرﯾﻖ ﺗﺷوﯾﮫ أو ﺗﻌطﯾل ﺑﻌض اﻟﻣواﻗﻊ .واﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﮭذه
اﻷﺷﯾﺎء ﯾﺳﻣﻰ .hacktivistأو ﺑﻣﻌﻧﻰ أﺧر )ھذا ﯾﺷﯾر إﻟﻰ ﻓﻛرة اﻟﻘرﺻﻧﺔ ﻷﺳﺑﺎب(
ھؤﻻء اﻷﺷﺧﺎص ﯾزدھرون ﻓﻲ اﻟﺑﯾﺋﺔ ﺣﯾث ﺗوﺟد اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﺑﺳﮭوﻟﺔ .وھذا ﯾﮭدف إﻟﻰ إرﺳﺎل رﺳﺎﻟﺔ ﻣن ﺧﻼل
أﻧﺷطﺔ اﻟﻘرﺻﻧﺔ واﻛﺗﺳﺎب اﻟرؤﯾﺔ ﻣن أﺟل ﻗﺿﯾﺔ ﻣﻌﯾﻧﮫ .وﻣﻌظم اﻷھداف إﻣﺎ أن ﺗﻛون اﻟوﻛﺎﻻت اﻟﺣﻛوﻣﯾﺔ ،واﻟﺷرﻛﺎت ﻣﺗﻌددة اﻟﺟﻧﺳﯾﺎت ،أو
أي ﻛﯾﺎن آﺧر ﯾﻧظر إﻟﯾﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﻛﯾﺎن ﺳﯾﺊ ) (bad or wrongﻣن وﺟﮭﺔ ﻧظر ھؤﻻء اﻷﺷﺧﺎص .وﻟﻛن ﯾﺑﻘﻰ اﻟواﻗﻊ ،أن اﻛﺗﺳﺎب اﻟوﺻول
اﻟﻐﯾر ﻣﺻرح ﺑﮫ ھو ﺟرﯾﻣﺔ ،ﻣﮭﻣﺎ ﻛﺎن اﻟﻘﺻد ﻣن ذﻟك.
أو ﺑﻣﻌﻧﻰ أﺧر ھم ﯾﻘوﻣون ﺑﻌﻣﻠﯾﺔ اﻟﻘرﺻﻧﺔ ﻟﺳﺑب ﻣﻌﯾن ﻗد ﯾﻛون ﺑداﻓﻊ اﻻﻧﺗﻘﺎم ،أو أﺳﺑﺎب ﺳﯾﺎﺳﯾﺔ أو اﺟﺗﻣﺎﻋﯾﺔ أو إﯾدﯾوﻟوﺟﯾﺔ ،أو ﻟﻠﺗﺧرﯾب،
واﻻﺣﺗﺟﺎج واﻟرﻏﺑﺔ ﻓﻲ إذﻻل اﻟﺿﺣﺎﯾﺎ.
ﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ preparatory phaseأي اﻟﻣرﺣﻠﺔ اﻟﺗﺣﺿﯾرﯾﺔ واﻟﺗﻲ ﻓﯾﮭﺎ ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺟﻣﻊ أﻛﺑر ﻗدر ﻣﻣﻛن ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﮭدف
ﻟﺗﻘﯾﻣﮫ ﻗﺑل ﺗﻧﻔﯾذ ھﺟﻣﺗﮫ .أﯾﺿﺎ ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ اﻟﻣﮭﺎﺟم ﯾﮭﺗم ﺑﺎﻻﺳﺗﺧﺑﺎرات اﻟﺗﻧﺎﻓﺳﯾﺔ ﻟﻣﻌرﻓﺔ اﻟﻣزﯾد ﻋن اﻟﮭدف .ھذه اﻟﻣرﺣﻠﺔ ﺗﺷﻣل أﯾﺿﺎ
) network scanningﻓﺣص اﻟﺷﺑﻛﺔ( ﺳواء ﻣن اﻟداﺧل أو اﻟﺧﺎرج ﺑدون دﺧول ﻋﻠﻰ اﻟﻧظﺎم.
ھذه اﻟﻣرﺣﻠﺔ ھﻲ اﻟﻣرﺣﻠﺔ اﻟﺗﻲ ﻋن طرﯾﻘﮭﺎ ﯾﺿﻊ اﻟﻣﮭﺎﺟم اﺳﺗراﺗﯾﺟﯾﺎت اﻟﮭﺟوم واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺄﺧذ ﺑﻌض اﻟوﻗت ﺣﺗﻰ ﯾﺣﺻل ﻋﻠﻰ
اﻟﻣﻌﻠوﻣﺎت اﻟﻣﮭﻣﺔ.
ﺟزء ﻣن ھذه اﻟﻣرﺣﻠﺔ ﯾﺷﻣل اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ) .(social engineeringاﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ أو ﻣﺎ ﯾﻌرف ﺑﻔن اﺧﺗراق اﻟﻌﻘول ھﻲ ﻋﺑﺎره
ﻋن ﻣﺟﻣوﻋﮫ ﻣن اﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺟﻌل اﻟﻧﺎس ﯾﻘوﻣون ﺑﻌﻣل ﻣﺎ أو ﯾﻔﺻﺣون ﻋن ﻣﻌﻠوﻣﺎت ﺳرﯾﮫ .وﺗﺳﺗﺧدم ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﻘرﺻﻧﺔ ﻓﻲ
اﻟﻣرﺣﺔ اﻷوﻟﻰ )ﻣرﺣﻠﺔ ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت( ﺣﯾث أن اﻟﮭدف اﻷﺳﺎﺳﻲ ﻟﻠﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ھو طرح أﺳﺋﻠﺔ ﺑﺳﯾطﺔ أو ﺗﺎﻓﮭﺔ )ﻋن طرﯾﻖ اﻟﮭﺎﺗف أو
اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ اﻧﺗﺣﺎل ﺷﺧﺻﯾﺔ ذي ﺳﻠطﺔ أو ذات ﻋﻣل ﯾﺳﻣﺢ ﻟﮫ ﺑطرح ھذه اﻷﺳﺋﻠﺔ دون إﺛﺎرة اﻟﺷﺑﮭﺎت(.
ﺑﻌض ﺗﻘﻧﯾﺎت اﻟﻔﺣص اﻷﺧرى ھﻲ ) Dumpster divingاﻟﻐوص ﻓﻲ ﺳﻠﺔ اﻟﻣﮭﻣﻼت( وھﻲ ﻋﺑﺎره ﻋن ﻋﻣﻠﯾﮫ اﻟﻧظر ﻓﻲ ﺳﻠﺔ ﻣﮭﻣﻼت ﺑﻌض
اﻟﻣﻧظﻣﺎت ﻣن اﺟل اﻟوﺻول إﻟﻰ ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ اﻟﻣﺳﺗﺑﻌدة.
اﻟﻣﮭﺎﺟم أﯾﺿﺎ ﯾﻣﻛﻧﮫ اﺳﺗﺧدام ﺷﺑﻛﺔ اﻟﻣﻌﻠوﻣﺎت اﻷﻧﺗرﻧت ﻟﻠﺣﺻول ﻋﻠﻰ ﺑﻌض اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل واﻟﺷرﻛﺎء ﻓﻲ اﻟﻌﻣل
واﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﺳﺗﺧدﻣﺔ وﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ اﻷﺧرى وﻟﻛن dumpster divingﺗدﻋﻣك ﺑﻣﻌﻠوﻣﺎت أﻛﺛر ﺣﺳﺎﺳﯾﮫ ﻣﺛل اﺳم
اﻟﻣﺳﺗﺧدم واﻟرﻗم اﻟﺳري وأرﻗﺎم اﻟﻛرﯾدت ﻛﺎرد واﻟﺣﺎﻟﺔ اﻟﻣﺎﻟﯾﺔ ورﻗم اﻻﺋﺗﻣﺎن اﻻﺟﺗﻣﺎﻋﻲ وﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
14
:Passive Reconnaissanceاﻟﺗﻌﺎﻣل ﻣﻊ اﻟﮭدف وﻟﻛن ﺑطرﯾﻘﮫ ﻏﯾر ﻣﺑﺎﺷره ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت; ﻣﺛل ﺳﺟﻼت
اﻟﺑﺣث اﻟﻌﺎﻣﺔ و ﻧﺷرات اﻷﺧﺑﺎر و اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ و dumpster divingوﻏﯾرھﺎ
:Active reconnaissanceﯾﻧطوي ﻋﻠﻰ اﻟﺗﻔﺎﻋل اﻟﻣﺑﺎﺷر ﻣﻊ اﻟﮭدف ﺑﺎﺳﺗﺧدام أي وﺳﯾﻠﺔ; ﻣﺛل اﺳﺗﺧدام اﻷدوات
ﻟﻠﻛﺷف ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﻣﻛﺎن ﺗواﺟد اﻟﻣوﺟﮫ/اﻟراوﺗر وھﻛذا.
• Scanning
اﻟﻣﺳﺢ ھو ﻣﺎ ﯾﻔﻌﻠﮫ اﻟﻣﮭﺎﺟم ﻗﺑل ﺗﻧﻔﯾذ اﻟﮭﺟوم .وﯾﺷﯾر اﻟﻣﺳﺢ إﻟﻰ ﻓﺣص اﻟﺷﺑﻛﺔ ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻣﺣددة ﻋﻠﻰ أﺳﺎس اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗم
ﺟﻣﻌﮭﺎ ﻣن ﺧﻼل ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع ) ،(Reconnaissanceﯾﺳﺗﺧدم اﻟﻘراﺻﻧﺔ اﻟﻣﺳﺢ ﻟﻠﺣﺻول ﻋﻠﻰ ﻧﻘطﺔ دﺧول )اﻟﺛﻐرة( ﻟﻠﺑدء ﻓﻲ اﻟﮭﺟوم،
وﺗﺗﺿﻣن ﻋﻣﻠﯾﺔ اﻟﻣﺳﺢ ﻣﺳﺢ اﻟﻣﻧﺎﻓد ،ﺧراﺋط اﻟﺷﺑﻛﺔ اﻟﺿﻌف اﻷﻣﻧﻲ ،وﻣﺎ إﻟﻰ ذﻟك.
اﻟﻣﮭﺎﺟم داﺋﻣﺎ ﻣﺎ ﯾﺳﺗﺧدم اﻷدوات اﻟﺟﺎھزة ﻣﺛل network/host scannerو war dialersﻹﯾﺟﺎد اﻟﻧظﺎم واﻛﺗﺷﺎف اﻟﺛﻐرات اﻟذي ﯾﺣﺗوﯾﮭﺎ.
• Gaining Access
ھذه اﻟﻣرﺣﻠﺔ ﺗﻌﺗﺑر اھم ﻣرﺣﻠﮫ وﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ .potential damageوھذه اﻟﻣرﺣﻠﺔ ﺗﺷﯾر إﻟﻰ ﻣرﺣﻠﺔ اﻻﺧﺗراق ،اﻟﻣﺧﺗرق ﯾﺳﺗﻐل اﻟﺿﻌف
ﻓﻲ اﻟﻧظﺎم ،ﺣﯾث ﯾﻣﻛن أن ﯾﺣدث ذﻟك ﻋﻠﻰ ﻣﺳﺗوى ﺷﺑﻛﺔ ﻣﺣﻠﯾﺔ ) (LANأو اﻷﻧﺗرﻧت أو ﻋﻠﻰ ﻣﺳﺗوى ﻧظﺎم اﻟﺗﺷﻐﯾل أو ﻋﻠﻰ ﻣﺳﺗوى
اﻟﺗطﺑﯾﻘﺎت ،وﻣن اﻷﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك. password cracking، session hijacking، denial of service،buffer overflows :
• Maintaining Access
وﺗﺷﯾر إﻟﻰ اﻟﻣرﺣﻠﺔ اﻟﺗﻲ ﯾﺣﺎول ﻓﯾﮭﺎ اﻟﻣﺧﺗرق ﺣﻔظ ﻣﻠﻛﯾﺔ اﻟدﺧول ﻣﺟددا إﻟﻰ اﻟﻧظﺎم ،ﻣن ﺧﻼل وﺻول ﺣﺻري ﺑﺎﺳﺗﺧدام ،Backdoors
،Rootkitsأو ،Trojansﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﺧﺗرق ﺑﺗﺣﻣﯾل ورﻓﻊ اﻟﻣﻠﻔﺎت ،واﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺑﯾﺎﻧﺎت واﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺧﺗرق
• Clearing Tracks
ﺗﺷﯾر إﻟﻰ اﻷﻧﺷطﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ اﻟﻣﺧﺗرق ﻹﺧﻔﺎء دﺧوﻟﮫ إﻟﻰ اﻟﻧظﺎم ،ﺑﺳﺑب اﻟﺣﺎﺟﺔ ﻟﻠﺑﻘﺎء ﻟﻔﺗرات طوﯾﻠﺔ ،وﻣواﺻﻠﺔ اﺳﺗﺧدام اﻟﻣوارد ،وﺗﺷﺗﻣل
إﺧﻔﺎء ﺑﯾﺎﻧﺎت اﻟدﺧول واﻟﺗﻐﯾﯾر ﻓﻲ ﻣﻠف .Log
ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟدﺧول إﻟﻰ اﻟﻧظﺎم .وﯾﺟب أن ﯾﻛون اﻟﮭﺎﻛر ﻗﺎدرا ﻋﻠﻰ اﻛﺗﺷﺎف ﻧﻘﺎط اﻟﺿﻌف واﻟﺛﻐرات ﻓﻲ
اﻟﻧظﺎم ﺣﺗﻰ ﯾﺗﻣﻛن ﻣن اﻟدﺧول .وﻣن ھذه اﻟطرق ﻛﺎﻻﺗﻰ:
:Operating System attacks-1ﺣﯾث ھﻧﺎ ﯾﺑﺣث اﻟﻣﮭﺎﺟم ﻋن ﺛﻐرات ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ) (OS vulnerabilitiesوﯾﺳﺗﺧدم
ھذه اﻟﺛﻐرات ﻟﻠدﺧول إﻟﻰ ﻧظﺎم اﻟﺷﺑﻛﺔ.
:Application-level attacks-2إن ﻣﻌظم اﻟﺗطﺑﯾﻘﺎت/اﻟﺑراﻣﺞ ﺗﺄﺗﻲ ﻣﻊ وظﺎﺋف وﻣﯾزات ﻻ ﺗﻌد وﻻ ﺗﺣﺻﻰ .وﻟﻛن ﻣﻊ ﻧدرة ﻣن
اﻟوﻗت ﻹﺟراء اﺧﺗﺑﺎر ﻛﺎﻣل ﻗﺑل ﺧروج اﻟﻣﻧﺗﺞ إﻟﻰ اﻟﺳوق .ﯾؤدى اﻟﻰ ان ھذه اﻟﺗطﺑﯾﻘﺎت ﯾﻛون ﻟدﯾﮭﺎ ﺑﻌض ﻣن ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﺧﺗﻠﻔﺔ واﻟﺗﻲ ﻗد
ﺗﺻﺑﺢ ﻣﺻدرا ﻟﻠﮭﺟوم ﻣن ﻗﺑل اﻟﮭﺎﻛر.
:Misconfiguration attacks-3ﻣﻌظم ﻣدﯾري اﻷﻧظﻣﺔ ) (Adminﻻ ﯾﻣﻠﻛون اﻟﻣﮭﺎرات اﻟﺿرورﯾﺔ ﻣن اﺟل ﺻﯾﺎﻧﺔ أو
إﺻﻼح ﺑﻌض اﻟﻣﺳﺎﺋل/اﻟﻘﺿﺎﯾﺎ ،واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ أﺧطﺎء ﻓﻲ ﻋﻣﻠﯾﺎت اﻹﻋداد .ﺑﻌض ھذه اﻷﺧطﺎء ﻣن اﻟﻣﻣﻛن أن ﺗﻛون ﻣﺻدرا
ﻟﻠﻣﮭﺎﺟم ﻟﻠدﺧول إﻟﻰ اﻟﺷﺑك ھﺎو اﻟﻧظﺎم اﻟذي ﯾﺳﺗﮭدﻓﮫ.
:Shrink wrap code attacks-4ﺗطﺑﯾﻘﺎت أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﺄﺗﻰ ﺑﺎﻟﻌدﯾد ﻣن ﻣﻠﻔﺎت اﻻﺳﻛرﯾﺑت اﻟﻣﺑﺳطﺔ ﻟﻛﻲ ﺗﺳﮭل اﻟﻌﻣل ﻋﻠﻰ
ﻣدﯾري اﻷﻧظﻣﺔ ) ،(Adminوﻟﻛن ﻣﺛل ھذه اﻻﺳﻛرﺑﺎت ﺗﺣﺗوي أﯾﺿﺎ ﻋﻠﻰ اﻟﻌدﯾد ﻣن اﻟﺛﻐرات واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ ھذ اﻟﻧوع ﻣن
اﻟﮭﺟوم.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
15
أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ،واﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ اﻟﯾوم ﻣﻊ اﻟﻛﺛﯾر ﻣن اﻟﻣﻣﯾزات ،أﺻﺑﺣت ﺗزداد ﺗﻌﻘﯾدا .وﻣﻊ اﻻﺳﺗﻔﺎدة ﻣن اﻟﻛﺛﯾر ﻣن ھذه اﻟﻣﻣﯾزات اﻟﺗﻲ
ﺗوﻓرھﺎ ھذه اﻷﻧظﻣﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن ،ﺗﺟﻌل اﻟﻧظﺎم ﻋرﺿﺔ ﻟﻣزﯾد ﻣن ﻧﻘﺎط اﻟﺿﻌف ،وﺑﺎﻟﺗﺎﻟﻲ ﻋرﺿﮫ ﻟﻠﻘراﺻﻧﺔ .أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﻌﻣل
ﻋﻠﻰ ﺗﺷﻐﯾل اﻟﻌدﯾد ﻣن اﻟﺧدﻣﺎت ﻣﺛل واﺟﮭﺎت اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ) .(GUIوھذه ﺗدﻋم اﺳﺗﺧدام اﻟﻣﻧﺎﻓذ portsوطرﯾﻘﺔ اﻟوﺻول إﻟﻰ ﺷﺑﻛﺔ
اﻹﻧﺗرﻧت ،ﻟذﻟك ﻓﮭذه ﺗﺗطﻠب اﻟﻛﺛﯾر ﻣن اﻟﺗﻐﯾر واﻟﺗﺑدﯾل ﻟﻠﺗﺣﻛم ﻓﻲ ھذا .ھﻧﺎ ﯾﺑﺣث اﻟﻣﮭﺎﺟم ﻋن ﺛﻐرات ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل )(OS vulnerabilities
وﯾﺳﺗﺧدم ھذه اﻟﺛﻐرات ﻟﻠدﺧول إﻟﻰ ﻧظﺎم اﻟﺷﺑﻛﺔ .ﻹﯾﻘﺎف اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﻟدﺧول إﻟﻰ ﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟﺧﺎﺻﺔ ﺑك ،ﻓﺈن ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم
ﻻﺑد ﻟﮭم ﻣن ﻣواﻛﺑﺔ اﻻﻛﺗﺷﺎﻓﺎت واﻟطرق اﻟﺟدﯾدة اﻟﻣﺧﺗﻠف واﻟﻣﺗﺑﻌﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن وﻣراﻗﺑﺔ اﻟﺷﺑﻛﺔ ﺑﺷﻛل ﻣﺳﺗﻣر .ﺗطﺑﯾﻖ اﻟﺗﺻﺣﯾﺣﺎت
واﻹﺻﻼﺣﺎت ﻟﯾﺳت ﺳﮭﻠﺔ ﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر ﻷﻧﮭﺎ ﺷﺑﻛﺔ ﻣﻌﻘده.
ﻣﻌظم ﻣﺳﺗﺧدﻣﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﯾﻘوﻣون ﺑﺗﺛﺑﯾت اﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت واﻟﺗﻲ ﺗﻘوم ﺑﻌﺿﮭﺎ ﺑﻔﺗﺢ ﺑﻌض اﻟﻣﻧﺎﻓذ portsاﻓﺗراﺿﯾﺎ .واﻟﺗﻲ ﺗﺳﮭل
ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﻛﺗﺷﺎف اﻟﻌدﯾد ﻣن اﻟﺛﻐرات .ﺗﺛﺑﯾت اﻟﺑﺎﺗﺷﺎت patchesوﻣﻠﻔت اﻹﺻﻼح fix-fileﻟم ﯾﻌد ﺳﮭﻼ ﻣﻊ ﺗﻌﻘﯾدات اﻟﺷﺑﻛﺔ
اﻟﻣوﺟودة ﻓﻲ ھذه اﻷﯾﺎم .وأﯾﺿﺎ ﻣﻌظم اﻟﺑﺎﺗﺷﺎت ﺗﻌﻣل ﻋﻠﻰ ﺣل اﻟﻣﺷﺎﻛل واﻟﺛﻐرات اﻟﺣﺎﻟﯾﺔ وﻟﻛن ﻻ ﯾﻣﻛن اﻋﺗﺑﺎره اﻟﺣل اﻟداﺋم.
ﺑﻌض ﻣن ھذه اﻟﮭﺟﻣﺎت ﺗﺷﻣل اﻻﺗﻲ:
Buffer overflow vulnerabilities Bugs in the operating system
Unpatched operating system Exploiting specific network protocol implementation
Attacking built-in authentication systems Breaking file system security
Cracking passwords and encryption mechanisms
APPLICATION-LEVEL ATTACKS-2
ﯾﺗم إﺻدار اﻟﺗطﺑﯾﻘﺎت إﻟﻰ ﺳوق اﻟﻌﻣل ﻣﻊ اﻟﻌدﯾد ﻣن اﻟﻣﻣﯾزات واﻟﻌدﯾد ﻣن اﻷﻛواد اﻟﻣﻌﻘدة .وﻣﻊ اﻟطﻠب اﻟﻣﺗزاﯾد ﻟﻠﺗطﺑﯾﻘﺎت ﻟﻣﺎ ﺗﺣﻣﻠﮫ ﻣن
وظﺎﺋف وﻣﯾزات ،أدى إﻟﻰ إھﻣﺎل ﻣطوري اﻟﺗطﺑﯾﻘﺎت اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻠﺗطﺑﯾﻖ ،واﻟذي أﻋطﻰ اﻟﻔرﺻﺔ ﻟوﺟود اﻟﻌدﯾد ﻣن اﻟﺛﻐرات .اﻟﮭﺎﻛر ﯾﻌﻣل
ﻋﻠﻰ اﻛﺗﺷﺎف ھذه اﻟﺛﻐرات اﻟﻣوﺟود ﻓﻲ اﻟﺗطﺑﯾﻘﺎت ﺑﺎﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﻷدوات واﻟﺗﻘﻧﯾﺎت.
اﻟﺗطﺑﯾﻘﺎت ﻟﻣﺎ ﺑﮭﺎ ﻣن ﺛﻐرات ﺗﺻﺑﺢ ﻋرض ﻟﻠﮭﺟﻣﺎت ﻣن ﻗﺑل اﻟﮭﺎﻛر ﻧﺗﯾﺟﺔ اﻷﺳﺑﺎب اﻷﺗﯾﺔ:
.1ﻟﻣطوري اﻟﺑراﻣﺞ اﻟﺟداول اﻟزﻣﻧﯾﺔ اﻟﺿﯾﻘﺔ ﻟﺗﺳﻠﯾم اﻟﻣﻧﺗﺟﺎت ﻓﻲ اﻟوﻗت اﻟﻣﺣدد ) (tight schedules to deliverواﻟذي ﯾؤدى إﻟﻰ
ظﮭور اﻟﺗطﺑﯾﻘﺎت ﻓﻲ ﺳوق اﻟﻌﻣل ﺑدون اﻻﺧﺗﺑﺎرات اﻟﻛﺎﻓﯾﺔ ﻋﻠﯾﮫ.
.2ﺗطﺑﯾﻘﺎت اﻟﺑراﻣﺞ ﺗﺄﺗﻰ ﻣﻊ اﻟﻌدﯾد ﻣن اﻟوظﺎﺋف واﻟﻣزاﯾﺎ.
.3ﻟﯾس ھﻧﺎك ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻟوﻗت ﻷداء اﺧﺗﺑﺎر ﻛﺎﻣل ﻗﺑل اﻹﻓراج ﻋن اﻟﻣﻧﺗﺟﺎت ).(dearth of time
.4اﻷﻣن ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﺗﻛون ﻣرﺣﻠﺔ ﻻﺣﻘﺔ ،وﯾﺗم ﺗﺳﻠﯾﻣﮭﺎ ﻓﯾﻣﺎ ﺑﻌد ﺑﺎﻋﺗﺑﺎرھﺎ ﻋﻧﺎﺻر إﺿﺎﻓﯾﺔ). (add-on component
ﺿﻌف أو ﻋدم وﺟود ﺧطﺄ اﻟﺗدﻗﯾﻖ ) (poor or nonexistent error checkingﻓﻲ اﻟﺗطﺑﯾﻘﺎت اﻣر ﯾؤدى إﻟﻰ اﻻﺗﻲ:
) Buffer overflow attacks .1اﻟﮭﺟوم ﺑﺈﻏراق ذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت(
Active content .2
Cross-site scripting .3
Denial-of service and SYN attacks .4
SQL injection attacks .5
Malicious bots .6
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
16
Session Hijacking-1
denial of service-2
MISCONFIGURATION ATTACKS-3
ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻹﻋداد ) (misconfigurationﯾؤﺛر ﻋﻠﻰ ﻣﻠﻘﻣﺎت/ﺳﯾرﻓرات اﻟوﯾب ،وﻣﻧﺻﺎت اﻟﺗطﺑﯾﻖ ،وﻗواﻋد اﻟﺑﯾﺎﻧﺎت ،واﻟﺷﺑﻛﺎت ،أو
اﻹطﺎرات) (frameworkاﻟﺗﻲ ﻗد ﺗؤدي إﻟﻰ اﻟدﺧول /اﻟﻐﯾر اﻟﻣﺷروع illegal accessأو اﺣﺗﻣﺎﻟﯾﺔ اﻣﺗﻼك اﻟﻧظﺎم .إذا ﺗم إﻋداد اﻟﻧظﺎم ﺑﺷﻛل
ﺧﺎطﺊ ،ﻣﺛل ﻋﻧدﻣﺎ ﯾﺗم ﺗﻐﯾﯾر ﻓﻲ ﺗﺻرﯾﺣﺎت/أذوﻧﺎت اﻟﻣﻠف ،ﻓﯾؤدى إﻟﻰ ﺟﻌﻠﮫ ﻏﯾر آﻣن.
ﻋﻧد ﺗﺛﺑﯾت ﻧظﺎم اﻟﺗﺷﻐﯾل أو اﻟﺗطﺑﯾﻘﺎت ﻓﺎﻧﮫ ﯾﺄﺗﻲ ﻣﻊ اﻟﻌدﯾد ﻣن اﻻﺳﻛرﺑﺎت واﻟﺗﻲ ﺗﺳﮭل ﻋﻠﻰ Adminاﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ .وﻟﻛن اﻟﻣﺷﻛﻠﺔ ھﻧﺎ " ﻟﯾﺳت
ﺿﺑط " أو ﺗﺧﺻﯾص ھذه اﻻﺳﻛرﺑﺎت اﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ اﻟرﻣوز اﻻﻓﺗراﺿﯾﺔ أو ھﺟوم .shrink-wrap code
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
17
إذا ﻛﺎن اﻟﻣﺗﺳﻠل ھو أو ھﻲ ﯾرﯾد اﻟدﺧول ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻓﺎﻧت ﻟن ﺗﺳﺗطﯾﻊ أن ﺗﻔﻌل ﺷﻲء أﻣﺎم ھذا وﻟﻛن اﻟﺷﻲء اﻟوﺣﯾد اﻟذي ﯾﻣﻛﻧك
اﻟﻘﯾﺎم ﺑﮫ ھو ﺟﻌل اﻷﻣر أﻛﺛر ﺻﻌوﺑﺔ ﻋﻠﯾﮫ ﻟﻠﺣﺻول ﻋﻠﻰ ﻧظﺎﻣك.
اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ) : (ethical hackingﻣﺛل اﻟﻘرﺻﻧﺔ ﯾﺷﻣل اﻟﺗﻔﻛﯾر اﻹﺑداﻋﻲ ،واﺧﺗﺑﺎر ﻣواطن اﻟﺿﻌف واﻟﺗدﻗﯾﻖ اﻷﻣﻧﻲ اﻟذي ﻻ ﯾﻣﻛﻧﮫ
اﻟﺗﺄﻛد ﻣن أن اﻟﺷﺑﻛﺔ آﻣﻧﺔ.
اﺳﺗراﺗﯾﺟﯾﺔ اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ ) :(Defense-in-Depth Strategyﻟﺗﺣﻘﯾﻖ ذﻟك ،ﺗﺣﺗﺎج اﻟﻣﻧظﻣﺎت ﻟﺗﻧﻔﯾذ اﺳﺗراﺗﯾﺟﯾﺔ "اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ"
ﻋن طرﯾﻖ اﺧﺗراق ﺷﺑﻛﺎﺗﮭم ﻟﺗﻘدﯾر ﻣواطن اﻟﺿﻌف وﻋرﺿﮭم ﻟﮭذه.
اﻟﮭﺟوم اﻟﻣﺿﺎد ) :(Counter the Attacksاﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ھو ﺿروري ﻷﻧﮫ ﯾﺳﻣﺢ ﺑﻣﺟﺎﺑﮭﺔ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﯾﺷﻧﮭﺎ اﻟﻘراﺻﻧﺔ اﻟﺧﺑﯾﺛﺔ
ﺑطرﯾﻘﺔ اﻟﺗوﻗﻊ ) (anticipating methodsواﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻻﻗﺗﺣﺎم ﻧظﺎم.
• اﻟﻣﺧﺗرق اﻷﺧﻼﻗﻲ ﯾﺣﺎول أن ﯾﺟﺎوب ﻋﻠﻰ اﻷﺳﺋﻠﺔ اﻟﺗﺎﻟﯾﺔ:
• ﻣﺎذا ﯾﻣﻛن أن ﯾرى اﻟدﺧﯾل ﻋﻠﻰ ﻧظﺎم اﻟﮭدف؟
ﻣراﺣل اﻻﺳﺗطﻼع واﻟﻣﺳﺢ )(reconnaissance and scanning
• ﻣﺎ اﻟذي ﯾﻣﻛن أن ﯾﻘوم ﺑﮫ اﻟﻣﺗﺳﻠل ﺑﮭذه اﻟﻣﻌﻠوﻣﺎت؟
ﻣراﺣل اﻟوﺻول واﻟﻣﺣﺎﻓظﺔ ﻋﻠﻰ اﻟوﺻول )(Gaining Access and Maintaining Access
• ھل ﯾوﺟد دﺧﯾل ﻋﻠﻰ اﻟﻧظﺎم؟
ﻣراﺣل اﻻﺳﺗطﻼع وﺗﻐطﯾﺔ اﻷﺛر )(reconnaissance and covering tracks
• ھل ﺟﻣﯾﻊ أﺟزاء ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﯾﺗم ﺣﻣﯾﺎﺗﮫ وﺗﺣدﯾﺛﮫ وﺗﻣﻛﯾن اﻟﺑﺎﺗﺷﺎت ﺑﺎﺳﺗﻣرار؟
• ھل ﻣﻘﺎﯾس اﻣن اﻟﻣﻌﻠوﻣﺎت ﻣﻣﺗﺛﻠﮫ ﻟﻣﻌﺎﯾر اﻟﺻﻧﺎﻋﺔ واﻟﻘﺎﻧون؟
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
18
ﻧطﺎق وﺣدود اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن )(SCOPE AND LIMITATIONS OF THE ETHICAL HACKERS
SCOPE
LIMITATIONS
اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ ھﻲ ﻋﻣﻠﯾﺔ ﻗﺎﻧوﻧﯾﮫ ﯾﺗم ﺗﻧﻔﯾذھﺎ ﺑواﺳطﺔ pen testerﻹﯾﺟﺎد ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﺑﯾﺋﺔ ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت .وﻟﻛﻲ ﯾﺗم ھذا
ﯾﺟب أن ﯾﺗﻣﺗﻊ اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ﺑﺑﻌض اﻟﻣﮭﺎرات ﻛﺎﻻﺗﻰ:
.1ﺧﺑﯾر ﻓﻲ ﻣﺟﺎل اﻟﺣوﺳﺑﺔ وﺑﺎرع ﻓﻲ ﻣﺟﺎﻻت اﻟﺗﻘﻧﯾﺔ.
.2ﯾﻣﻠك ﻣﻌﻠوﻣﺎت ﻗوﯾﺔ ﻓﻲ ﻋﻠم اﻟﺑرﻣﺟﺔ واﻟﺷﺑﻛﺎت.
.3ﻣﻌرﻓﺗﮫ اﻟﻣﺗﻌﻣﻘﺔ ﻟﻸﺷﯾﺎء اﻟﻣﺳﺗﮭدﻓﺔ ،ﻣﺛل وﯾﻧدوز وﯾوﻧﻛس وﻟﯾﻧﻛس.
.4ﻟدﯾﺔ ﻣﻌرﻓﺔ ﻣﺛﺎﻟﯾﺔ ﻹﻗﺎﻣﺔ اﻟﺷﺑﻛﺎت واﻷﺟﮭزة ذات اﻟﺻﻠﺔ واﻟﺑرﻣﺟﯾﺎت.
.5ﻟدﯾﺔ ﻣﻌرﻓﺔ ﻣﺛﺎﻟﯾﺔ ﻓﻲ اﻷﺟﮭزة واﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﻗدﻣت ﻋن طرﯾﻖ ﺑﺎﺋﻌﻲ اﻟﻛﻣﺑﯾوﺗر وأﺟﮭزة اﻟﺷﺑﻛﺎت ذات ﺷﻌﺑﯾﺔ.
.6ﻟﯾس ﻣن اﻟﺿروري أن ﯾﺣﻣل ﻣﻌرﻓﮫ إﺿﺎﻓﯾﺔ ﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻟوﺿﻊ اﻷﻣﻧﻲ.
.7ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻋﻠﻰ دراﯾﺔ ﺑﺑﺣوث اﻟﺿﻌف.
.8ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻟدﯾﮫ اﻟﺳﯾﺎدة ﻓﻲ ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت اﻻﺧﺗراق أو اﻟﻘرﺻﻧﺔ.
.9ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻋﻠﻰ اﺳﺗﻌداد ﻻﺗﺑﺎع ﺳﻠوك ﺻﺎرم إذا اﺣﺗﺎج اﻷﻣر ﻟﮭذا.
ﯾﺗم اﺗﺧﺎذ اﻟﻌدﯾد ﻣن اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﻟﻠدﻓﺎع ﻣن اﻟﻌﻣﻖ ) (Defense-in-Depthﻟﺣﻣﺎﯾﺔ أﺻول اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺷرﻛﺔ .وﺗﺳﺗﻧد ھذه
اﻻﺳﺗراﺗﯾﺟﯾﺔ ﻋﻠﻰ ﻣﺑدأ ﻋﺳﻛري أﻧﮫ ﻣن اﻟﺻﻌب ﻋﻠﻰ اﻟﻌدو ھزﯾﻣﺔ ﻧظﺎم دﻓﺎﻋﻲ ﻣﻌﻘد وﻣﺗﻌدد اﻟطﺑﻘﺎت ﻣن اﺧﺗراق ﺣﺎﺟز واﺣد .إذا ﺣدث
واﺳﺗطﺎع اﻟﮭﺎﻛر اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ،ﻓﺈن اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ ) (Defense-in-Depthﯾﻘﻠل اﻟﺗﺄﺛﯾر اﻟﺳﻠﺑﻲ وﯾﻌطﻲ اﻹدارﯾﯾن واﻟﻣﮭﻧدﺳﯾن
اﻟوﻗت ﻟﻧﺷر ﻣﺿﺎدات ﺟدﯾدة أو ﻣﺣدﺛﺔ ﻟﻣﻧﻊ ﺗﻛرار ھذا اﻻﺧﺗراق ﻣرة أﺧرى.
• اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ ) (Defense-in-Depthھﻲ اﺳﺗراﺗﯾﺟﯾﺔ اﻷﻣن اﻟﺗﻲ ﺗوﺿﻊ ﻋدة طﺑﻘﺎت واﻗﯾﺔ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت.
• ﯾﺳﺎﻋد ﻋﻠﻰ ﻣﻧﻊ وﻗوع ھﺟﻣﺎت ﻣﺑﺎﺷرة ﺿد ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت واﻟﺑﯾﺎﻧﺎت ﺑﺳﺑب ﻛﺳر طﺑﻘﺔ واﺣدة ﻻ ﯾؤدي إﻻ اﻧﺗﻘﺎل اﻟﻣﮭﺎﺟم إﻟﻰ
اﻟطﺑﻘﺔ اﻟﺗﺎﻟﯾﺔ.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
19
ھﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﻣﺣددة ﻟﺗﺣدﯾد وﺗﺣﻠﯾل ،وﺗﺣدﯾد اﻷوﻟوﯾﺎت ،وﺗﺳوﯾﺔ اﻟﺣوادث اﻷﻣﻧﯾﺔ ﻻﺳﺗﻌﺎدة اﻟﻧظﺎم إﻟﻰ ﻋﻣﻠﯾﺎت اﻟﺧدﻣﺔ اﻟﻌﺎدﯾﺔ
ﻓﻲ أﻗرب وﻗت ﻣﻣﻛن وﻣﻧﻊ ﺗﻛرار ﻧﻔس اﻟﺣﺎدث.
ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻊ أي ﺣﺎدث وﻗﻊ ﻓﻲ ﻣؤﺳﺳﺔ ﻣﺎ وﺣﻠﮭﺎ ﺑﺎﺗﺑﺎع اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ ﻣن ﻗﺑل إدارة اﻟﺣوادث
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
20
ﺳﯾﺎﺳﺔ اﻷﻣن ) :(Security Policyھو وﺛﯾﻘﺔ أو ﻣﺟﻣوﻋﺔ ﻣن اﻟوﺛﺎﺋﻖ اﻟﺗﻲ ﺗﺻف اﻟﺿواﺑط اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺗﻧﻔﯾذھﺎ ﻓﻲ اﻟﺷرﻛﺔ ﻋﻠﻰ
ﻣﺳﺗوى ﻋﺎﻟﻲ ﻟﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ اﻟﺗﻧظﯾﻣﯾﺔ ﻣن اﻟﮭﺟﻣﺎت ﺳواء ﻣن اﻟداﺧل أو اﻟﺧﺎرج .ﺗﺣدد ھذه اﻟوﺛﯾﻘﺔ اﻟﮭﯾﻛل اﻷﻣﻧﻲ اﻟﻛﺎﻣل ﻟﻠﻣﻧظﻣﺔ ،وﺗﺷﻣل
اﻟوﺛﯾﻘﺔ أھداف واﺿﺣﺔ ،واﻷھداف واﻟﻘواﻋد واﻷﻧظﻣﺔ واﻹﺟراءات اﻟرﺳﻣﯾﺔ ،وھﻠم ﺟرا.
ھذه اﻟﺳﯾﺎﺳﺎت ﻣن اﻟواﺿﺢ إﻧﮭﺎ ﺗذﻛر اﻷﺻول اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺣﻣﺎﯾﺗﮭﺎ واﻟﺷﺧص اﻟذي ﯾﻣﻛﻧﮫ ﺗﺳﺟﯾل اﻟدﺧول واﻟوﺻول إﻟﯾﮭﺎ ،اﻟذﯾن ﯾﻣﻛن ﻋرض
اﻟﺑﯾﺎﻧﺎت اﻟﻣﺣددة ،ﻓﺿﻼ ﻋن اﻟﻧﺎس اﻟذﯾن ﯾﺳﻣﺢ ﻟﮭم ﺑﺗﻐﯾﯾر اﻟﺑﯾﺎﻧﺎت ،وﻣﺎ إﻟﻰ ذﻟك .ﻣن دون ھذه اﻟﺳﯾﺎﺳﺎت ،ﻓﺈﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﺣﻣﺎﯾﺔ اﻟﺷرﻛﺔ
ﻣن اﻟدﻋﺎوى اﻟﻘﺿﺎﺋﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ ،اﻟﻌﺎﺋدات اﻟﻣﻔﻘودة ،وھﻠم ﺟرا.
ﻌرف اﻻﺳﺗﺧدام اﻟﻣﻘﺑول أو اﻟﻣرﺿﻲ ﻟﺟﻣﯾﻊ اﻟوﺳﺎﺋط اﻹﻟﻛﺗروﻧﯾﺔ ﻓﻲ اﻟﻣﻧظﻣﺔ. ﻋﻠﻰ وﺟﮫ اﻟﻌﻣوم ﺳﯾﺎﺳﺔ اﻷﻣن ھﻲ اﻟﺧطﺔ اﻟﺗﻲ ﺗ ٌ ّ
ﺳﯾﺎﺳﺎت اﻷﻣن ھﻲ أﺳﺎس اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻷﻣﻧﯾﺔ) . (Security infrastructureھذه اﻟﺳﯾﺎﺳﺎت ﺗﻌﻣل ﻋﻠﻰ ﺗﺄﻣﯾن وﺣﻣﺎﯾﺔ ﻣوارد اﻟﻣﻌﻠوﻣﺎت
ﻟﻠﻣؤﺳﺳﺔ وﺗوﻓﯾر اﻟﺣﻣﺎﯾﺔ اﻟﻘﺎﻧوﻧﯾﺔ ﻟﻠﻣﻧظﻣﺔ .ھذه اﻟﺳﯾﺎﺳﺎت ﻣﻔﯾدة ﻓﻲ اﻟﻣﺳﺎﻋدة ﻓﻲ ﺗﺣﻘﯾﻖ اﻟوﻋﻲ ﻟﻠﻣوظﻔﯾن اﻟﻌﺎﻣﻠﯾن ﻓﻲ اﻟﻣؤﺳﺳﺔ ﻋﻠﻰ اﻟﻌﻣل
ﻣﻌﺎ ﻟﺗﺄﻣﯾن اﺗﺻﺎﻻﺗﮭم ،وﻛذﻟك اﻟﺗﻘﻠﯾل ﻣن ﻣﺧﺎطر ﺿﻌف اﻷﻣن ﻣن ﺧﻼل ﻋﺎﻣل اﻷﺧطﺎء اﻟﺑﺷرﯾﺔ ﻣﺛل اﻟﻛﺷف ﻋن ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ إﻟﻰ
ﻣﺻﺎدر ﻏﯾر ﻣﺻرح ﺑﮭﺎ أو ﻏﯾر ﻣﻌروﻓﮫ ،اﻻﺳﺗﺧدام اﻟﻐﯾر ﻻﺋﻖ ﻟﻺﻧﺗرﻧت ،وﻣﺎ إﻟﻰ ذﻟك .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﺗوﻓر ھذه اﻟﺳﯾﺎﺳﺎت اﻟﺣﻣﺎﯾﺔ ﺿد
اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ واﻟﺗﮭدﯾدات اﻟﺧﺑﯾﺛﺔ ،واﻻﺳﺗﺧﺑﺎرات اﻷﺟﻧﺑﯾﺔ ،وھﻠم ﺟرا .أﻧﮭﺎ ﺗﺗﻧﺎول أﺳﺎﺳﺎ اﻷﻣن اﻟﻣﺎدي ،وأﻣن اﻟﺷﺑﻛﺎت ،أذون اﻟدﺧول،
اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت ،واﻟﺗﻌﺎﻓﻲ ﻣن اﻟﻛوارث.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
21
ﻣﺛﺎل ﻋﻠﻰ ذﻟكpersonnel security policy ،Physical security policy : •
ﺳﯾﺎﺳﺔ اﻷﻣن ھو ﻋﺑﺎره ﻋن ﻣﺳﺗﻧد ﯾﺣﺗوي ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻋن طرﯾﻘﺔ وﺗﺧطط اﻟﺷرﻛﺔ ﻟﺣﻣﺎﯾﺔ أﺻول اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻣن اﻟﺗﮭدﯾدات
اﻟﻣﻌروﻓﺔ واﻟﻐﯾر ﻣﻌروﻓﺔ .ھذه اﻟﺳﯾﺎﺳﺎت ﺗﺳﺎﻋد ﻋﻠﻰ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺳرﯾﺔ ،وﺗواﻓر ،وﺳﻼﻣﺔ اﻟﻣﻌﻠوﻣﺎت .ﯾوﺟد أرﺑﻌﺔ أﻧواع رﺋﯾﺳﯾﺔ ﻣن
اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ:
Promiscuous Policy (1ﺳﯾﺎﺳﮫ ﺧﻔﯾﻔﺔ :ﺗﺗﻣﯾز ھذه اﻟﺳﯾﺎﺳﺔ ﺑﻌدم وﺟود أي ﻗﯾود ﻋﻠﻰ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت .ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم
اﻟوﺻول إﻟﻰ أي ﻣوﻗﻊ ،وﺗﺣﻣﯾل أي ﺗطﺑﯾﻖ ،واﻟوﺻول إﻟﻰ ﻛﻣﺑﯾوﺗر أو ﺷﺑﻛﺔ ﻣن ﻣوﻗﻊ ﺑﻌﯾد .ﻓﻲ ﺣﯾن أن ھذا ﯾﻣﻛن أن ﯾﻛون ﻣﻔﯾدا
ﻓﻲ اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ ﻟﻠﺷرﻛﺎت ﺣﯾث ﻛﺎن اﻟﻧﺎس اﻟذﯾن ﯾﺳﺎﻓرون أو اﻟﻌﻣل ﻓﻲ اﻟﻣﻛﺎﺗب اﻟﻔرﻋﯾﺔ ﺗﺣﺗﺎج إﻟﻰ اﻟوﺻول إﻟﻰ ﺷﺑﻛﺎت
ﺗﻧظﯾﻣﯾﺔ ،اﻟﻌدﯾد ﻣن اﻟﺗﮭدﯾدات ﻣﺛل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ) ،(malwareواﻟﻔﯾروﺳﺎت ،وطروادة ﻣوﺟودة ﻋﻠﻰ ﺷﺑﻛﺔ اﻷﻧﺗرﻧت .ﺑﺳﺑب
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
22
ﺣرﯾﺔ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت ،وھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ) (malwareﻣن اﻟﻣﻣﻛن أن ﺗﺄﺗﻲ ﻛﻣرﻓﻘﺎت دون ﻋﻠم اﻟﻣﺳﺗﺧدم .ﯾﺟب أن
ﯾﻛون ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ ﻓﻲ ﺣﺎﻟﺔ ﺗﺄھب ﻟﻠﻐﺎﯾﺔ إذا ﻣﺎ ﺗم اﺧﺗﯾﺎر ھذا اﻟﻧوع ﻣن اﻟﺳﯾﺎﺳﺔ.
Permissive Policy (2ﺳﯾﺎﺳﮫ ﻣﺗﺳﺎھﻠﺔ :ﯾﺗم ﻗﺑول أﻏﻠﺑﯾﺔ ﺣرﻛﺔ اﻟﻣرور) (internet trafficﻋﻠﻰ اﻹﻧﺗرﻧت ،وﻟﻛن ﯾﺗم ﺣظر
اﻟﻌدﯾد ﻣن اﻟﺧدﻣﺎت واﻟﮭﺟﻣﺎت اﻟﺧطﯾرة اﻟﻣﻌروﻓﺔ .وﻷﻧﮫ ﯾﻌﻣل ﻋﻠﻰ ﺣظر اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﻓﻘط ،ﻓﺈﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﻟﻣﺳؤوﻟﻲ
اﻟﻧظﺎم ﻣواﻛﺑﺔ اﻟﺗطور اﻟﺣﺎﻟﻲ ﻓﻲ اﻟﮭﺟﻣﺎت .اﻹدارﯾﯾن ﯾﺣﺎوﻟون داﺋﻣﺎ اﻟﻠﺣﺎق ﺑﺎﻟرﻛب ﺑﻣﻌرﻓﺔ اﻟﮭﺟﻣﺎت واﻻﺧﺗراﻗﺎت اﻟﺟدﯾدة.
Prudent Policy (3ﺳﯾﺎﺳﮫ ﺣﻛﯾﻣﮫ :ﺗﺑدأ ھذه اﻟﺳﯾﺎﺳﺔ ﺑﺣظر ﻛﺎﻓﺔ اﻟﺧدﻣﺎت .ﻣﺳؤوﻟﻲ اﻟﻧظﺎم ) (administratorﯾﻣﻛﻧوا ﻓﻘط
اﻟﺧدﻣﺎت اﻷﻣﻧﺔ واﻟﺿرورﯾﺔ ﺑﺷﻛل ﻓردي .وھذا ﯾوﻓر أﻗﺻﻰ ﻗدر ﻣن اﻷﻣﺎن .ﻛل ﺷﻲء ﻣﺛل أﻧﺷطﺔ اﻟﻧظﺎم واﻟﺷﺑﻛﺔ ﯾﺗم ﺗﺳﺟﯾﻠﮫ.
Paranoid Policy (4ﺳﯾﺎﺳﮫ ﻣرھﺑﮫ :ﺗﺑدأ ھذه اﻟﺳﯾﺎﺳﺔ ﺑﻣﻧﻊ ﻛل ﺷﻲء .ھﻧﺎك ﻗﯾود ﺻﺎرﻣﺔ ﻋﻠﻰ اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ
ﺑﺎﻟﺷرﻛﺔ ،ﺳواء ﻛﺎن اﺳﺗﺧدام اﻟﻧظﺎم أو اﺳﺗﺧدام اﻟﺷﺑﻛﺔ .ﺑﺳﺑب ھذه اﻟﻘﯾود ﻋﻠﻰ اﻟﻣﻠﻘم serverﺑﺷﻛل ﻣﻔرط ،ﻓﺈن اﻟﻣﺳﺗﺧدﻣﯾن ﻏﺎﻟﺑﺎ
ﻣﺎ ﯾﺣﺎوﻟون إﯾﺟﺎد اﻟﺳﺑل ﺣول ھذه اﻟﺳﯾﺎﺳﺔ.
اﻟﺧطوات ﻹﻧﺷﺎء وﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ )(STEPS TO CREATE AND IMPLEMENT SECURITY POLICIES
ﺗﻧﻔﯾذ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﯾﻘﻠل ﻣن ﺧطر اﻟﺗﻌرض ﻟﮭﺟوم .وﺑﺎﻟﺗﺎﻟﻲ ،ﯾﺟب أن ﯾﻛون ﻛل ﺷرﻛﺔ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﺧﺎﺻﺔ اﻟﺗﻲ ﺗﻘوم ﻋﻠﻰ أﻋﻣﺎﻟﮭﺎ.
وﻓﯾﻣﺎ ﯾﻠﻲ اﻟﺧطوات اﻟﺗﻲ ﯾﺟب أن ﺗﺗﺑﻌﮭﺎ ﻛل ﻣؤﺳﺳﺔ ﻣن أﺟل وﺿﻊ وﺗﻧﻔﯾذ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ:
.1ﺗﻧﻔﯾذ ﻟﻌﻣﻠﯾﺔ ﺗﻘﯾﯾم اﻟﻣﺧﺎطر ﻟﺗﺣدﯾد اﻟﻣﺧﺎطر إﻟﻰ أﺻول ﻣﻌﻠوﻣﺎت اﻟﻣﻧظﻣﺔ.
.2اﻟﺗﻌﻠم ﻣن اﻟﻣﺑﺎدئ اﻟﺗوﺟﯾﮭﯾﺔ اﻟﻘﯾﺎﺳﯾﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﻧظﻣﺎت.
.3ﻓﻲ وﺿﻊ اﻟﺳﯾﺎﺳﺎت ﻓﺈﻧﮭﺎ ﺗﺷﻣل اﻹدارة اﻟﻌﻠﯾﺎ وﺟﻣﯾﻊ اﻟﻣوظﻔﯾن اﻵﺧرﯾن.
.4ﺗﻌﯾﯾن ﻋﻘوﺑﺎت واﺿﺣﺔ وﺗﻧﻔﯾذھﺎ وأﯾﺿﺎ ﻣراﺟﻌﺔ وﺗﺣدﯾث اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ.
.5ﺟﻌل اﻟﻧﺳﺧﺔ اﻟﻧﮭﺎﺋﯾﺔ ﻣﺗﺎﺣﺔ ﻟﺟﻣﯾﻊ اﻟﻣوظﻔﯾن ﻓﻲ اﻟﻣﻧظﻣﺔ.
.6ﺿﻣﺎن ﻛل ﻓرد ﻣن اﻟﻣوظﻔﯾن أن ﯾﻘوم ﺑﻘراﺋﮫ ،وﻓﮭم اﻟﺳﯾﺎﺳﺔ.
.7ﺗﺛﺑﯾت اﻷدوات اﻟﺗﻲ ﺗﺣﺗﺎﺟﮭﺎ ﻟﺗطﺑﯾﻖ ﺳﯾﺎﺳﺔ.
.8ﺗدرﯾب ﻣوظﻔﯾك وﺗﺛﻘﯾﻔﮭم ﺣول اﻟﺳﯾﺎﺳﺔ.
• Remote-Access Policy
ﯾﺣدد ﻣن ﻟﮫ اﻟﺻﻼﺣﯾﺔ ﻓﻲ اﺳﺗﺧدام اﻻﺗﺻﺎل ﻋن ﺑﻌد ،وﯾﺣدد اﻟﺿواﺑط اﻷﻣﻧﯾﺔ ﻟﮭذا اﻻﺗﺻﺎل ﻋن ﺑﻌد.
• Information-Protection Policy
ﯾﺣدد ﻣﺳﺗوﯾﺎت ﺣﺳﺎﺳﯾﺔ اﻟﻣﻌﻠوﻣﺎت ،وﻣن اﻟذي ﯾﺗﺎح ﻟﮫ اﻟوﺻول ﻟﮭذه اﻟﻣﻌﻠوﻣﺎت؟ وﻛﯾف ﯾﺗم ﺗﺧزﯾﻧﮭﺎ وﻧﻘﻠﮭﺎ؟ وﻛﯾف ﯾﻧﺑﻐﻲ ﺣذﻓﮭﺎ ﻣن وﺳﺎﺋط
اﻟﺗﺧزﯾن؟
• Firewall-Management Policy
ﯾﺣدد وﺻول ،وإدارة ،ورﺻد اﻟﺟدران اﻟﻧﺎرﯾﺔ ﻓﻲ اﻟﻣﻧظﻣﺎت.
• Special-access Policy
ﺗﺣدد ھذه اﻟﺳﯾﺎﺳﺔ أﺣﻛﺎم وﺷروط ﻣﻧﺢ وﺻول ﺧﺎص إﻟﻰ ﻣوارد اﻟﻧظﺎم.
• Network-Connection Policy
ﯾﺣدد اﻟذﯾن ﯾﻣﻛﻧﮭم ﺗﺛﺑﯾت ﻣوارد ﺟدﯾدة ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،واﻟﻣواﻓﻘﺔ ﻋﻠﻰ ﺗرﻛﯾب اﻷﺟﮭزة اﻟﺟدﯾدة ،وﺗوﺛﯾﻖ ﺗﻐﯾرات اﻟﺷﺑﻛﺔ ،اﻟﺦ.
• Password Policy
ﯾوﻓر ﻣﺑﺎدئ ﺗوﺟﯾﮭﯾﺔ ﻻﺳﺗﺧدام ﻛﻠﻣﺔ ﻣرور ﻗوﯾﺔ ﻋﻠﻰ ﻣوارد اﻟﻣﻧظﻣﺔ ﻟﺣﻣﺎﯾﺗﮭﺎ.
Research Vulnerabilityھﻲ ﺗﻘﻧﯾﺎت ﯾﺳﺗﺧدﻣﮭﺎ ﻣﺧﺗﺑري اﻻﺧﺗراق ﻻﻛﺗﺷﺎف اﻟﺛﻐرات وﺿﻌف اﻟﺗﺻﻣﯾم اﻟﺗﻲ ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ اﻟﮭﺟوم
ﻋﻠﻰ اﻟﺗطﺑﯾﻘﺎت و أﻧظﻣﮫ اﻟﺗﺷﻐﯾل ,وﺗﺷﻣل اﻟدراﺳﺔ اﻟدﯾﻧﺎﻣﯾﻛﯾﺔ ﻟﻠﻣﻧﺗﺟﺎت واﻟﺗﻘﻧﯾﺎت و اﻟﺗﻘﯾﯾم اﻟﻣﺳﺗﻣر ﻹﻣﻛﺎﻧﯾﺔ اﻻﺧﺗراق .ھذه اﻟﺑﺣوث ﺗﺳﺎﻋد ﻛل
ﻣن ﻣﺳﺋوﻟﻲ اﻷﻣن واﻟﻣﮭﺎﺟﻣﯾن .وﯾﻣﻛن ﺗﺻﻧﯾﻔﮭﺎ ﻋﻠﻰ أﺳﺎس:
• ﻣﺳﺗوى اﻟﺧطورة )ﻣﻧﺧﻔﺿﺔ ،ﻣﺗوﺳطﺔ ،أو ﻋﺎﻟﯾﺔ(
• اﺳﺗﻐﻼل اﻟﻧطﺎق )ﻣﺣﻠﻲ) ،(localﻋن ﺑﻌد).((remotely
SecurityFocus .4
اﻟﻣﺻدرhttp://www.securityfocus.com :
ھذا اﻟﻣوﻗﻊ ﯾرﻛز ﻋﻠﻰ ﻋدد ﻗﻠﯾل ﻣن اﻟﻣﺟﺎﻻت اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ھﻲ ﻣن أﻋظﻣﮭﺎ أھﻣﯾﺔً ﻟﻠﻣﺟﺗﻣﻊ اﻷﻣﻧﻲ .وﻋﻧد ﺗﺻﻔﺢ اﻟﻣوﻗﻊ ﺳوف ﺗرى ﺑﻌض
اﻟﺗﺻﻧﯾﻔﺎت ﻣﻧﮭﺎ ﻛﺎﻻﺗﻰ:
BugTraqﯾﺣﺗوى ﻋﻠﻰ ﻗﺎﺋﻣﮫ ﺑرﯾدﯾﮫ ﻛﺑﯾرة اﻟﺣﺟم واﻹﻓﺻﺎح اﻟﻛﺎﻣل ﻟﻣﻧﺎﻗﺷﺔ ﺗﻔﺻﯾﻠﯾﺔ واﻹﻋﻼن ﻋن اﻟﺛﻐرات اﻷﻣﻧﯾﺔ ﻟﻠﻛﻣﺑﯾوﺗر .وھو ﯾﻌﺗﺑر
ﺣﺟر اﻷﺳﺎس ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﺟﺗﻣﻊ اﻷﻧﺗرﻧت اﻷﻣﻧﻲ.
The SecurityFocus Vulnerability Databaseﯾوﻓر ﻟﻠﻣﺗﺧﺻﺻﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن ﻣﻌﻠوﻣﺎت ﻣﺣدﺛﮫ ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻟﺟﻣﯾﻊ
اﻟﻣﻧﺻﺎت واﻟﺧدﻣﺎت.
Help Net Security .5
اﻟﻣﺻدرhttp://www.net-security.org :
ھو ﻣوﻗﻊ إﺧﺑﺎري ﯾوﻣﻲ ﻋن اﻷﻣن واﻟذي ﯾﻐطﻲ أﺣدث اﻷﺧﺑﺎر ﻋن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وأﻣن اﻟﺷﺑﻛﺎت ﻣﻧذ ﺗﺄﺳﯾﺳﮭﺎ ﻋﺎم .1998ﺑﺟﺎﻧب ﺗﻐطﯾﺔ
ﻟﻸﺧﺑﺎر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ،ﻓﺄﻧﮫ ﯾرﻛز أﯾﺿﺎ ﻋﻠﻰ ﺟودة اﻟﻣواد اﻟﻔﻧﯾﺔ واﻟورﻗﺎت ،وﻧﻘﺎط اﻟﺿﻌف ،ﺗﺣذﯾرات اﻟﺑﺎﺋﻌﯾن ،واﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ،
وﺗﺳﺗﺿﯾف أﻛﺑر ﻣﺳﺎﺣﺔ ﺗﺣﻣﯾل ﻟﻠﺑرﻣﺟﯾﺎت اﻷﻣﻧﺔ ﻣﻊ ﺑراﻣﺞ وﯾﻧدوز ،ﻟﯾﻧﻛس ،وﻧظﺎم اﻟﺗﺷﻐﯾل .Mac OS X
HackerStorm .6
اﻟﻣﺻدرhttp://www.hackerstorm.com.uk :
ھو ﻣورد أﻣﻧﻲ ﻟﻠﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن وﻣﺧﺗﺑري اﻻﺧﺗراق ﻟوﺿﻊ ﺧطط اﺧﺗﺑﺎر اﻻﺧﺗراق أﻓﺿل وﻧطﺎﻗﺎت أﻓﺿل ،وإﺟراء ﺑﺣوث ﻋن اﻟﺿﻌف.
Computerworld .8
اﻟﻣﺻدرhttp://www.computerworld.com :
ﻷﻛﺛر ﻣن 40ﺳﻧﮫ أﺻﺑﺣت computer worldاﻟﻣﺻدر اﻟرﺋﯾﺳﻲ ﻟﻸﺧﺑﺎر اﻟﺗﻛﻧوﻟوﺟﯾﺎ واﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻣﺳﺗوى اﻟﻌﺎﻟم.
HackerJournals .9
اﻟﻣﺻدرhttp://www.hackerjournals.com :
ھو ﻣﺟﺗﻣﻊ أﻣن اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ اﻹﻧﺗرﻧت .إﻧﮭﺎ ﺗﻧﺗﺷر اﻷﺧﺑﺎر اﻟﻣﺗﻌﻠﻘﺔ ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد ﻟﺗﮭدﯾدات أﻣن اﻟﻣﻌﻠوﻣﺎت واﻟﻘﺿﺎﯾﺎ ﻣن ﺟﻣﯾﻊ أﻧﺣﺎء
اﻟﻌﺎﻟم .وھم ﻋﺑﺎره ﻋن ﻓرﯾﻖ ﺑﺣﺛﻲ ﯾﻌﻣل ﻋﻠﻰ ﺑﺣث وﺗﺟﻣﯾﻊ اﻷﺧﺑﺎر ﻣن ﻋﺷرات اﻵﻻف ﻣن اﻟﻣواﻗﻊ ﻟﺗﺟﻠب ﻟك ﻋﻧﺎوﯾن اﻷﻣن اﻷﻛﺛر ﻣﻼءﻣﺔ
ﻓﻲ ﻣﻛﺎن واﺣد .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻷﺧﺑﺎر ،ﻓﺄﻧﮭﺎ ﺗﺳﺗﺿﯾف blogsواﻟﻣﻧﺎﻗﺷﺎت ،وأﺷرطﺔ اﻟﻔﯾدﯾو اﻟﺗﻌﻠﯾﻣﯾﺔ ،وﻟﻘد أﺻﺑﺢ ﻣن أﻓﺿل ﻣواﻗﻊ اﻹﺧﺗراق
اﻷﻛﺛر ﺷﮭره ﻓﻲ اﻟﻌﺎﻟم.
WindowsSecurity Blogs .10
اﻟﻣﺻدرhttp://blogs.windowsecurity.com :
ﻛﺗب ﺑواﺳطﺔ اﻟﻣؤﻟﻔﯾن اﻟﻣﺷﮭورﯾن اﻟذﯾن ﯾﻘودون ﺧﺑراء اﻟﺻﻧﺎﻋﺔ.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
25
اﺧﺗﺑﺎر اﻻﺧﺗراق ) :(penetration testھو وﺳﯾﻠﺔ ﻟﺗﻘﯾﯾم ﻣﺳﺗوﯾﺎت اﻷﻣن ﻟﻧظﺎم أو ﻟﺷﺑﻛﺔ ﻣﻌﯾﻧﺔ .ﺗﺳﺎﻋد ﻋﻠﻰ ﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ ﺣﯾث إذا ﻟم ﯾﺗم
اﻛﺗﺷﺎف ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﺳرع وﻗت ﻣﻣﻛن ﻓﺈﻧك ﺳوف ﺗﻛون ﻣﺻدر ﺳﮭل ﻟﻠﮭﺎﻛر.
ﺧﻼل اﺧﺗﺑﺎر اﻻﺧﺗراق ،ﻓﺎن اﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﮭذا اﻻﺧﺗﺑﺎر ﯾﺣﻠل ﻛل اﻹﺟراءات اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ اﻟﻣﻧظﻣﺔ ﻟﺗﺷﺧﯾص ﺿﻌف اﻟﺗﺻﻣﯾم،
واﻟﻌﯾوب اﻟﻔﻧﯾﺔ ،وﻧﻘﺎط اﻟﺿﻌف .ھﻧﺎك ﻧوﻋﺎن ﻣن اﻻﺧﺗﺑﺎر ﻛﺎﻻﺗﻰ:
• اﻟﺻﻧدوق اﻷﺳود )(black box
ھو إﻧﺷﺎء ھﺟوم ﻣن ﻗﺑل أﺷﺧﺎص ﻟﯾس ﻟدﯾﮭم ﻣﻌرﻓﺔ ﻣﺳﺑﻘﺔ ﻋن اﻟﺑﯾﻧﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻔﺣﺻﮭﺎ.
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
26
ﻻ ﺗﻧﺳوﻧﺎ ﺑﺎﻟدﻋﺎء
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
•
https://www.facebook.com/tibea2004 د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ