1

‫اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ‬
(Introduction) ‫اﻟﻣﻘدﻣﺔ‬

By

Dr.Mohammed Sobhy Teba

Introduction
https://www.facebook.com/tibea2004
 ‫‪1‬‬

‫‪CONTENTS‬‬

‫‪3 ............................................................................................................................................................ Introduction to Ethical Hacker‬‬

‫ﻣﺎ ھو اﻟﮭﺎﻛرز؟ ‪3 ..................... ................................................................................................................................................................‬‬

‫ﻣﺎ ھو اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ‪ethical hacking‬؟‪3 ................. ................................................................................................................................‬‬

‫ﻣﺎ اﻟﻔرق ﺑﯾن اﻟﮭﺎﻛرز اﻷﺧﻼﻗﻲ واﻟﮭﺎﻛرز اﻟﻌﺷواﺋﻲ؟‪3 ........ ................................................................................................................................‬‬

‫‪ 1.2‬رؤﯾﺔ ﻣﺑﺳطﮫ ﻋن اﻣن اﻟﻣﻌﻠوﻣﺎت )‪4 .......... ................................................................................................ (Information security overview‬‬

‫‪4 .............................................................................................................................................................................................. IC3‬‬

‫)‪5 .......... ................................................................................................Data Breach Investigations Report (Verizon business‬‬

‫ﺑﻌض اﻟﻣﺻطﻠﺣﺎت اﻟﻣﮭﻣﺔ‪5 ....... ................................................................................................................................................................:‬‬

‫‪5 ................. ................................................................................................................................................................Hack Value‬‬

‫‪5 ........................................................................................................................................................................................ Exploit‬‬

‫‪5 .............. ................................................................................................................................................................Vulnerability‬‬

‫‪5 . ................................................................................................................................................................ Target of Evaluation‬‬

‫‪5 ........ ................................................................................................................................................................ Zero-day Attack‬‬

‫‪5 ........... ................................................................................................................................................................ Daisy chaining‬‬

‫ﺑﻌض اﻟﻣﺻطﻠﺣﺎت اﻟﺗﻌرﯾﻔﯾﺔ اﻷﺧرى‪6 ...................... ................................................................................................................................:‬‬

‫ﻋﻧﺎﺻر اﻣن اﻟﻣﻌﻠوﻣﺎت )‪6 ................... ................................................................................................ (element of information security‬‬

‫ﻣﺳﺗوى اﻷﻣﺎن ﻓﻲ أي ﻣن اﻷﻧظﻣﺔ أو اﻟﺷﺑﻛﺎت اﻟﻣوﺟودة ﺗﺗﺣد ﺑﻘوة اﻟﺛﻼﺛﺔ أﺷﯾﺎء اﻟﺗﺎﻟﯾﺔ‪6 ..........................................................................................:‬‬

‫‪7 .............................................................................................................................. Information security threats and attack vector 1.3‬‬

‫‪ Attack vector‬ﻣن أﯾن ﯾﺄﺗﻲ ھذا اﻟﮭﺟوم؟ ‪7 ................ ................................................................................................................................‬‬

‫‪ Goal of attack‬اﻟﮭدف ﻣن وراء ھذا اﻟﮭﺟوم‪7 ........... .................................................................................................................................‬‬

‫‪ Security Threat‬اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ‪8 .......... ................................................................................................................................ .‬‬

‫‪) Information Warfare‬ﺣرب اﻟﻣﻌﻠوﻣﺎت( ‪9 ............ ................................................................................................................................‬‬

‫‪) IPv6 security threats‬اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ ﻣن اﺳﺗﺧدام ‪10 ................. ................................................................................................ (IPv6‬‬

‫اﻟﺗﮭدﯾدات اﻟﺗﻲ ﺗﻛﻣن ﻧﺗﯾﺟﺔ اﺳﺗﺧدام ‪10 ................. ................................................................................................................................IPv6‬‬

‫‪) Hack concept 1.4‬ﻣﻔﮭوم اﻟﮭﺎﻛﻧﺞ(‪11 ..........................................................................................................................................................‬‬

‫ﻣن ھو اﻟﮭﺎﻛرز؟ ‪12 .................. ................................................................................................................................................................‬‬

‫أﻧواع اﻟﮭﺎﻛرز‪12 ................ ................................................................................................................................................................ :‬‬

‫‪13 .............. ................................................................................................................................................................:Hacktivism‬‬

‫‪) Hack Phase 1.5‬ﻣراﺣل اﻟﻘرﺻﻧﺔ( ‪13 ..........................................................................................................................................................‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 2

14 ..................... ................................................................................................................................(‫ )أﻧواع اﻟﮭﺟﻣﺎت‬Type of Attacks 1.6

15 ........................................................................................................................................................Operating System attacks-1

15 ......................................................................................................................................................... Application-level attacks-2

16 ........... ................................................................................................................................:‫اﻣﺛﻠﮫ ﻋﻠﻰ اﻟﮭﺟﻣﺎت ﻋﻠﻰ ﻣﺳﺗوى اﻟﺗطﺑﯾﻘﺎت‬

16 .........................................................................................................................................................Misconfiguration attacks-3

16 ........................................................................................................................................................... Shrink wrap code attacks-4

17 ..................... ................................................................................................(‫ )اﻟﺗﺣﻛم ﻓﻲ اﻣن اﻟﻣﻌﻠوﻣﺎت‬Information security control 1.7

18 ................ ................................................................ (scope and limitations of the ethical hackers)‫ﻧطﺎق وﺣدود اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن‬

18 .........................................................................................................................................................................................Scope

18 ............... ................................................................................................................................................................Limitations

18 .. ................................................................................................................................ :Ethical Hacker Skills ‫ﻣﮭﺎرات اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ‬

18 ................. ................................................................................................................................(‫ )اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ‬Defense-in-Depth

19 ..................... ................................................................................................(‫ )ﻋﻣﻠﯾﺔ اﻹدارة اﻟطﺎرﺋﺔ‬Incident Management Process

20 ...................... ................................................................................................‫ ﺳﯾﺎﺳﺎت أﻣن اﻟﻣﻌﻠوﻣﺎت‬Information Security Policies

20 .... ................................................................................................................................ : (security policies)‫أھداف اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‬

20 ............ ................................................................................................(‫ )ﺗﺻﻧﯾف اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ‬Classification of security policy

21 ...................... ................................................................ structure and contents of security policies‫ھﯾﻛل وﻣﺣﺗوي اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‬

21 .................... ................................................................................................(Structure of security policy) ‫ھﯾﻛل اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‬

21 .................. ................................................................................................ (Contents of security policy) ‫ﻣﺣﺗوي اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‬

21 ................................................................................................................................ (Types of Security policy) ‫أﻧواع ﺳﯾﺎﺳﺎت اﻷﻣن‬

22 ............................................................ (Steps to Create and Implement Security Policies)‫اﻟﺧطوات ﻹﻧﺷﺎء وﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‬

22 ..................... ................................................................................................................................ :‫أﻣﺛﻠﮫ ﻋﻠﻰ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﻛﺎﻻﺗﻰ‬

23 .................. ................................................................................................ (Research Vulnerability security)‫ﺑﺣوث اﻟﺛﻐرات اﻷﻣﻧﯾﺔ‬

23 ............................................................................................ Vulnerability research website‫أدوات اﻟوﺻول اﻟﻰ اﻷﺑﺣﺎث ﻋن اﻟﺿﻌف‬

25 ........................................................................................................................ ‫(؟‬what is penetration testing) ‫ﻣﺎ ھو اﺧﺗﺑﺎر اﻻﺧﺗراق‬

25 ..... ................................................................................................................................................................‫؟‬pen tester ‫ﻣﺎ أھﻣﯾﺔ‬

25 ............... ................................................................................................ penetration testing methodology ‫ﻣﻧﮭﺞ اﺧﺗﺑﺎر اﻻﺧﺗراق‬

•
https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬
 ‫‪3‬‬

‫‪INTRODUCTION TO ETHICAL HACKER‬‬

‫"إذاً‪ ،‬إذا ﻛﻧت ﺗﻌرف اﻟﻌدو وﺗﻌرف ﻧﻔﺳك – ﻓﻼ ﺣﺎﺟﺔ ﺑك ﻟﻠﺧوف ﻣن ﻧﺗﺎﺋﺞ ﻣﺋﺔ ﻣﻌرﻛﺔ‪ .‬إذا ﻋرﻓت ﻧﻔﺳك ﻻ اﻟﻌدو‪ ،‬ﻓﻛل‬
‫ﻧﺻر ﺗﺣرزه ﺳﯾﻘﺎﺑﻠﮫ ھزﯾﻣﺔ ﺗﻠﻘﺎھﺎ‪ .‬إذا ﻛﻧت ﻻ ﺗﻌرف ﻧﻔﺳك أو اﻟﻌدو – ﺳﺗﻧﮭزم ﻓﻲ ﻛل ﻣﻌرﻛﺔ"‬
‫ﻛﺗﺎب ﻓن اﻟﺣروب ﻟﻠﻌﺑﻘري واﻟﻔﯾﻠﺳوف اﻟﻌﺳﻛري اﻟﺻﯾﻧﻲ ﺳون ﺗزو‬
‫ﻓﻲ ﻋﺻرﻧﺎ اﻟﺣﺎﻟﻲ اﻧﻘﻠﺑت اﻟﻣوازﯾن‪ ،‬أﺻﺑﺢ اﻟﺻﻐﺎر ﻛﺑﺎرا ﺑﻌﻘوﻟﮭم ﻓﻲ ﻋﺎﻟم اﻟﮭﺎﻛر أﻋﻣﺎرھم ﺗﺗراوح ﻣﺎ ﺑﯾن ال ‪ 16‬ﺳﻧﺔ وال ‪ 20‬ﺳﻧﺔ‪ .‬ﻓﻲ ھذا‬
‫اﻟﺳن ﺗﺟد ﻛﺛﯾرون ﻣﺣﺗرﻓون ﻓﻲ ﻋﺎﻟم اﻟﮭﺎﻛرز‪ ،‬ﻣﻧﮭم اﻟطﯾب وﻣﻧﮭم اﻟﺧﺑﯾث‪ ،‬اﻟﻣﺧﺗرﻗون أﺟﻧﺎس‪ .‬وﻗد ﺗﺟد ﻓﯾﮭم ﻣن ﯾﺳﺎﻋد اﻟﻧﺎس ﻓﻲ اﺳﺗرﺟﺎع‬
‫ﺑﯾﺎﻧﺎﺗﮭم وﺑرﯾدھم اﻻﻟﻛﺗروﻧﻲ‪ .‬وﻣﻧﮭم ﻣن ﯾﻘوم ﺑﺳرﻗﺔ اﻟﻧﺎس ﻣدﻋﯾﺎ اﻧﮫ ﺷﺧص طﯾب وھو ﻓﻲ اﻷﺻل ﻣﺗﻠﺻص ﯾرﯾد أن ﯾﺧﺗرق ﻋﺑﺛﺎ‪ ،‬ﻛﺛرت‬
‫ﻋﻣﻠﯾﺎت اﻻﺧﺗراﻗﺎت ﻓﻲ اﻟﻌﺎﻟم اﻟﻌرﺑﻲ‪ .‬وﻻﺣظﻧﺎ اﻻﺧﺗراﻗﺎت اﻟﻛﺛﯾرة ﻋﻠﻰ اﻟﻣواﻗﻊ اﻟﻌرﺑﯾﺔ وﺑﺄﯾدي ﻋرﺑﯾﺔ ﻟﻸﺳف‪ .‬أﺻﺑﺢ اﻟﮭﺎﻛر وﺳﯾﻠﺔ ﻟﻠﺗﮭدﯾد‬
‫ووﺳﯾﻠﺔ ﻟﻼﻧﺗﻘﺎم وأﺻﺑﺢ وﺳﯾﻠﺔ ﻟﻼﺳﺗﻔﺎدة ﻣن اﻷﺷﺧﺎص إﻣﺎ ﻣن اﺟل اﻟﻣﺎل أو ﺷﻲء ﯾرﯾده وﻟم ﯾﺟده إﻻ ﻋﻧد ﺷﺧص ﻣﺎ‪ ،‬ھذه اﻟﺛﻼﺛﺔ ﻣن اﻏﻠب ﻣﺎ‬
‫ﯾﺣدث ﺑﯾن ﻣﺎ ﯾﺳﻣون ﺑﺎﻟﮭﺎﻛر‪ .‬ﻟذﻟك ﻓﻣن اﻟﻣﮭم ﺟدا أن ﻧﺿﻊ ﻓﻲ اﻋﺗﺑﺎراﺗﻧﺎ أن اﻟﮭﺎﻛر ﯾﻌﻣل ﻋﻠﻰ ﻛﺳر اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك واﻷﻧظﻣﺔ اﻟﺗﻲ‬
‫ﺗﺣﺗوﯾﮭﺎ ﻣن اﺟل اﻟﻌدﯾد ﻣن اﻷﺳﺑﺎب واﻷھداف‪ ،‬ﻟذﻟك ﻓﺎﻧﮫ ﻣن اﻟﻣﮭم ﻓﮭم ﻛﯾﻔﯾﺔ اﺧﺗراق اﻟﻣﮭﺎﺟﻣﯾن اﻟﮭﺎﻛرز ﻟﻸﻧظﻣﺔ واﺳﺗﻐﻼل اﻟﺛﻐرات وأﯾﺿﺎ‬
‫ﻣﻌرﻓﺔ اﻟﮭدف ﻣن ھذا اﻟﮭﺟوم‪.‬‬
‫ﻣن اﻟواﺟب ﻋﻠﻰ ﻛل ﻣن ﻣدﯾري اﻷﻧظﻣﺔ )‪ (ADMIN‬وﻣﺣﺗرﻓﻲ اﻷﻣن ﻓﻲ اﻟﺷﺑﻛﺎت )‪ (network security prof.‬اﻟﻘﯾﺎم ﺑﺣﻣﺎﯾﺔ اﻟﺑﻧﯾﺔ‬
‫اﻟﺗﺣﺗﯾﺔ ﻷﻧظﻣﺗﮭم )‪ (infrastructure‬ﻣن اﻟﺛﻐرات وذﻟك ﺑﻣﻌرﻓﺔ اﻟﻌدو )اﻟﮭﺎﻛرز( وﻣﺎ اﻟذي ﯾﺳﻌﻰ إﻟﯾﮫ ﻣن اﺳﺗﺧدام أﻧظﻣﺗك )اﺳﺗﻐﻼﻟﮭﺎ ﻓﻲ‬
‫اﻷﻧﺷطﺔ اﻟﻐﯾر ﻗﺎﻧوﻧﯾﮫ واﻟﺿﺎرة( وھذا ھو اﻟﻣﻐزى ﻣن اﻟﻣﻘوﻟﺔ اﻟﺳﺎﺑﻘﺔ ﻣن ﻛﺗﺎب ﻓن اﻟﺣرب‪.‬‬

‫ﻣﺎ ھو اﻟﮭﺎﻛرز؟‬

‫أ‬
‫طﻠﻘت ھذه اﻟﻛﻠﻣﺔ أول ﻣﺎ أطﻠﻘت ﻓﻲ اﻟﺳﺗﯾﻧﯾﺎت ﻟﺗﺷﯾر إﻟﻰ اﻟﻣﺑرﻣﺟﯾن اﻟﻣﮭرة اﻟﻘﺎدرﯾن ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﻛﻣﺑﯾوﺗر وﻣﺷﺎﻛﻠﮫ ﺑﺧﺑرة ودراﯾﺔ‬
‫ﺣﯾث أﻧﮭم ﻛﺎﻧوا ﯾﻘدﻣون ﺣﻠوﻻ ﻟﻣﺷﺎﻛل اﻟﺑرﻣﺟﺔ ﺑﺷﻛل ﺗطوﻋﻲ ﻓﻲ اﻟﻐﺎﻟب‪.‬‬
‫ﺑﺎﻟطﺑﻊ ﻟم ﯾﻛن اﻟوﯾﻧدوز أو ﻣﺎ ﯾﻌرف ﺑﺎﻟـ ‪ Graphical User Interface‬أو ‪ GUI‬ﻗد ظﮭرت ﻓﻲ ذﻟك اﻟوﻗت وﻟﻛن اﻟﺑرﻣﺟﺔ ﺑﻠﻐﺔ‬
‫اﻟﺑﯾﺳﯾك واﻟﻠوﻏو واﻟﻔور ﺗوران ﻓﻲ ذﻟك اﻟزﻣن ﻛﺎﻧت ﺟدﯾرة ﺑﺎﻻھﺗﻣﺎم‪ .‬وﻣن ھذا اﻟﻣﺑدأ ﻏدا اﻟﻌﺎرﻓﯾن ﺑﺗﻠك اﻟﻠﻐﺎت واﻟﻣﻘدﻣﯾن اﻟﻌون ﻟﻠﺷرﻛﺎت‬
‫واﻟﻣؤﺳﺳﺎت واﻟﺑﻧوك ﯾﻌرﻓون ﺑﺎﻟﮭﺎﻛرز وﺗﻌﻧﻲ اﻟﻣﻠﻣﯾن ﺑﺎﻟﺑرﻣﺟﺔ وﻣﻘدﻣﻲ ﺧدﻣﺎﺗﮭم ﻟﻶﺧرﯾن ﻓﻲ زﻣن ﻛﺎن ﻋددھم ﻻ ﯾﺗﺟﺎوز ﺑﺿﻊ أﻟوف ﻋﻠﻰ‬
‫ﻣﺳﺗوى اﻟﻌﺎﻟم أﺟﻣﻊ‪ .‬ﻟذﻟك ﻓﺈن ھذا اﻟوﺻف ﻟﮫ ﻣدﻟوﻻت إﯾﺟﺎﺑﯾﺔ وﻻ ﯾﺟب ﺧﻠطﮫ ﺧطﺄ ﻣﻊ اﻟﻔﺋﺔ اﻷﺧرى اﻟذﯾن ﯾﺳطون ﻋﻧوه ﻋﻠﻰ اﻟﺑراﻣﺞ‬
‫وﯾﻛﺳرون رﻣوزھﺎ ﺑﺳﺑب اﻣﺗﻼﻛﮭم ﻟﻣﮭﺎرات ﻓﺋﺔ اﻟﮭﺎﻛرز اﻟﺷرﻓﺎء‪ .‬وﻧظرا ﻟﻣﺎ ﺳﺑﺑﺗﮫ اﻟﻔﺋﺔ اﻷﺧﯾرة ﻣن ﻣﺷﺎﻛل وﺧﺳﺎﺋر ﻻ ﺣﺻر ﻟﮭﺎ ﻓﻘد أطﻠﻖ‬
‫ﻋﻠﯾﮭم إﺳﻣﺎ ً ﻣرادﻓﺎ ﻟﻠﮭﺎﻛرز وﻟﻛﻧﮫ ﯾﺗداول ﺧطﺄ اﻟﯾوم وھو )اﻟﻛراﻛرز ‪ (Crackers‬ﻛﺎن اﻟﮭﺎﻛرز ﻓﻲ ﺗﻠك اﻟﺣﻘﺑﺔ ﻣن اﻟزﻣن ﯾﻌﺗﺑرون ﻋﺑﺎﻗرة ﻓﻲ‬
‫اﻟﺑرﻣﺟﺔ ﻓﺎﻟﮭﺎﻛر ھو اﻟﻣﺑرﻣﺞ اﻟذي ﯾﻘوم ﺑﺗﺻﻣﯾم أﺳرع اﻟﺑراﻣﺞ واﻟﺧﺎﻟﻲ ﻓﻲ ذات اﻟوﻗت ﻣن اﻟﻣﺷﺎﻛل واﻟﻌﯾوب اﻟﺗﻲ ﺗﻌﯾﻖ اﻟﺑرﻧﺎﻣﺞ ﻋن اﻟﻘﯾﺎم‬
‫ﺑدورة اﻟﻣطﻠوب ﻣﻧﮫ‪ .‬وﻷﻧﮭم ﻛذﻟك ﻓﻘد ظﮭر ﻣﻧﮭم إﺳﻣﺎن ﻧﺟﺣﺎ ﻓﻲ ﺗﺻﻣﯾم وإرﺳﺎء ﻗواﻋد أﺣد اﻟﺑراﻣﺞ اﻟﻣﺳﺗﺧدﻣﺔ اﻟﯾوم وھﻣﺎ دﯾﻧﯾس رﯾﺗﺷﻲ‬
‫وﻛﯾن ﺗوﻣﺳون اﻟﻠذان ﻧﺟﺣﺎ ﻓﻲ أواﺧر اﻟﺳﺗﯾﻧﯾﺎت ﻓﻲ إﺧراج ﺑرﻧﺎﻣﺞ اﻟﯾوﻧﯾﻛس اﻟﺷﮭﯾر إﻟﻰ ﺣﯾز اﻟوﺟود‪ .‬ﻟذﻟك ﻓﻣن اﻷﻓﺿل ﻋدم إطﻼق ﻟﻘب‬
‫اﻟﮭﺎﻛر ﻋﻠﻰ اﻷﻓراد اﻟذﯾن ﯾدﺧﻠون ﻋﻧوه إﻟﻰ اﻷﻧظﻣﺔ ﺑﻘﺻد اﻟﺗطﻔل أو اﻟﺗﺧرﯾب ﺑل ﻋﻠﯾﻧﺎ إطﻼق ﻟﻘب اﻟﻛراﻛرز ﻋﻠﯾﮭم وھﻲ ﻛﻠﻣﺔ ﻣﺄﺧوذة ﻣن‬
‫اﻟﻔﻌل ‪ Crack‬ﺑﺎﻹﻧﺟﻠﯾزﯾﺔ وﺗﻌﻧﻲ اﻟﻛﺳر أو اﻟﺗﺣطﯾم وھﻲ اﻟﺻﻔﺔ اﻟﺗﻲ ﯾﺗﻣﯾزون ﺑﮭﺎ‪.‬‬

‫ﻣﺎ ھو اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ‪ETHICAL HACKING‬؟‬

‫ھو ﻋﻣﻠﯾﺔ ﻓﺣص واﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ اﻟﺧﺻﮫ ﺑك ﻣن اﺟل إﯾﺟﺎد اﻟﺛﻐرات وﻧﻘﺎط اﻟﺿﻌف واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﯾﺳﺗﺧدﻣﮭﺎ اﻟﮭﺎﻛرز‪ .‬اﻟﺷﺧص اﻟذي‬
‫ﯾﻘوم ﺑﮭذه اﻟﻌﻣﻠﯾﺔ ھو اﻟﮭﺎﻛر اﻷﺑﯾض )‪ (white hacker‬اﻟذي ﯾﻌﻣل ﻋﻠﻰ اﻟﮭﺟوم ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺑﻘﺻد اﻛﺗﺷﺎف اﻟﺛﻐرات ﺑﮭﺎ ﺑدون‬
‫اﻟﺣﺎق أي ﺿرر‪ .‬وھذا ﻣن اﻟطﺑﯾﻌﻲ ﯾؤدى إﻟﻰ زﯾﺎدة ﻣﻌدﻻت اﻷﻣن ﻟدى اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬أو ﺑﻣﻌﻧﻰ أﺧر ھو أﻧﺳﺎن ﻟﮫ ﻣﮭﺎرات ﺗﻌطﯾﮫ‬
‫إﻣﻛﺎﻧﯾﺔ اﻟﻔﮭم واﻟﺑﺣث ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﻣﺧﺗﻠﻔﺔ‪ ،‬وھذا اﻟﺷﺧص ﯾﻌﺗﺑر ﻧﻔﺳﮫ ھﺎﻛرز ﺣﯾث ﯾﺳﺗﺧدم ﻧﻔس ﻣﻌرﻓﺗﮫ وﻧﻔس‬
‫أدواﺗﮫ وﻟﻛن ﺑدون أن ﯾﺣدث أي ﺿرر‪.‬‬
‫ﻣﺎ اﻟﻔرق ﺑﯾن اﻟﮭﺎﻛرز اﻷﺧﻼﻗﻲ واﻟﮭﺎﻛرز اﻟﻌﺷواﺋﻲ؟‬

‫اﻟﮭﺎﻛرز اﻷﺧﻼﻗﻲ )‪ :(ethical hacker‬ھو ﺧرﯾﺞ ھذه اﻟﺷﮭﺎدة او ﻣﺎ ﯾﻌﺎدﻟﮭﺎ ﺣﯾث ﯾﻛﺗﺳب ﻗوﺗﮫ ﻣن ﺧﻼل ﺧﺑرة أﻓﺿل ھﺎﻛرز ﻓﻲ‬ ‫•‬
‫اﻟﻌﺎﻟم وﯾﺳﺗﺧدﻣﮭﺎ ﻓﻲ ﺗﺣﺳﯾن اﻟوﺿﻊ اﻷﻣﻧﻲ ﻷﻧظﻣﺔ اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ‪.‬‬
‫اﻟﮭﺎﻛرز اﻟﻌﺷواﺋﻲ ھو اﻟﮭﺎﻛر اﻟﻣدﻣر‪.‬‬ ‫•‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪4‬‬

‫ﻓﻲ ھذا اﻟﻔﺻل ﺳوف ﻧﺗﺣدث ﻋن اﻟﻣواﺿﯾﻊ اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫‪ 1.2‬رؤﯾﺔ ﻣﺒﺴﻄﮫ ﻋﻦ اﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت )‪(INFORMATION SECURITY OVERVIEW‬‬

‫ھذا اﻟﻣﺻطﻠﺢ ﯾﺷﯾر إﻟﻰ اﻟطرﯾﻘﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺣﻣﺎﯾﺔ أي ﻧوع ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ او ﺑﻣﻌﻧﻰ أﺧر وﺿﻊ ﺣﺎﺋط أﻣن ﺣول اﻟﻣﻌﻠوﻣﺎت اﻟﻣﮭﻣﺔ‬
‫وذﻟك ﻟﺣﻣﺎﯾﺗﮭﺎ ﻣن ﻗﺑل اﻻﺗﻲ‪:‬‬
‫‪ Unauthorized access .1‬اﻟوﻟوج‪/‬اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ‪.‬‬
‫‪ Disclosure .2‬اﻟﻛﺷف ﻋن ھذه اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ Alteration .3‬اﻟﺗﻌدﯾل ﻋﻠﻰ ھذه اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ Destruction .4‬ﺗدﻣﯾر ھذه اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫اﻟﻣﻌﻠوﻣﺎت ﺗﻌﺗﺑر ﻣن اﻟﻣﺻﺎدر اﻟﮭﺎﻣﺔ ﻟذﻟك ﯾﺟب أن ﺗﻛون أﻣﻧﮫ‪ ،‬وذﻟك ﻻن وﻗوع ھذه اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻷﯾدي اﻟﺧطﺄ ﻗد ﯾﺳﺑب ﺗﮭدﯾدا ﻛﺑﯾرا ﻋﻠﻰ‬
‫اﻟﺑﻧﯾﺔ اﻟﺗﻲ ﺗﺧﺻﮭﺎ ھذه اﻟﻣﻌﻠوﻣﺎت‪.‬‬

‫‪IC3‬‬
‫ھو اﺧﺗﺻﺎر إﻟﻰ ‪ Internet Crime complaint center‬وھﻲ ﺷرﻛﺔ ﺗﻌﻣل ﻋﻠﻰ رﺻد اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ ﺛم إﻋطﺎء ﺗﻘرﯾر ﻋن ھذا‬
‫واﻟﻣوﻗﻊ اﻹﻟﻛﺗروﻧﻲ ﻟﮭﺎ ھو ‪www.ic3.gov‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪5‬‬

‫)‪DATA BREACH INVESTIGATIONS REPORT (VERIZON BUSINESS‬‬

‫ﺷرﻛﮫ ﺗﻌﻣل ﻋﻠﻰ رﺻد أﻧواع اﻟﮭﺟﻣﺎت وﻏﯾرھﺎ ﺛم ﺗﻌطﻰ ﺗﻘرﯾر ﻋن ھذا واﻟﻣوﻗﻊ اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑﮭم ھو‬
‫‪www.verizonbusiness.com‬‬

‫ﺑﻌض اﻟﻣﺻطﻠﺣﺎت اﻟﻣﮭﻣﺔ‪:‬‬

‫‪HACK VALUE‬‬
‫ھو ﻣﻔﮭوم ﺑﯾن اﻟﮭﺎﻛرز ﻋﻠﻰ اﻧﮫ ﺷﻲء ﻣﮭم ﯾﺳﺗﺣﻖ اﻟﻘﯾﺎم ﺑﮫ أو ﻣﺛﯾر ﻟﻼھﺗﻣﺎم أو ﺑﻣﻌﻧﻰ أﺧر ھو ﻗﯾﻣﺔ اﻟﻌﻣل اﻟذي ﺳوف ﯾﻘوم ﺑﮫ‪.‬‬

‫‪EXPLOIT‬‬
‫ھﻲ طرﯾﻘﺔ اﺧﺗراق ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﻣن ﺧﻼل ﻧﻘﺎط اﻟﺿﻌف اﻟﻣوﺟودة ﻓﯾﮫ وھذا اﻟﻣﺻطﻠﺢ ﯾﺳﺗﺧدم ﻓﻲ أي ھﺟﻣﮫ ﻣن أي ﻧوع ﻋﻠﻰ اﻷﻧظﻣﺔ‬
‫واﻟﺷﺑﻛﺎت وﯾﻣﻛن أن ﯾﻛون أﯾﺿﺎ ﻋﺑﺎره ﻋن ﺗطﺑﯾﻘﺎت أﺧرى أو أواﻣر )‪ (commands‬واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺳﺑب ﺳﻠوك ﻏﯾر ﻣﺗوﻗﻊ‬
‫ﻟﺑراﻣﺞ ﻗﺎﻧوﻧﯾﮫ أو أﺟﮭزه ﻗﺎﻧوﻧﯾﺔ ﻋن طرﯾﻖ اﺧذ ﻣﯾزات ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﺗﺣﺗوﯾﮭﺎ‪.‬‬

‫‪VULNERABILITY‬‬
‫ھو ﻣﺻطﻠﺢ ﯾﻌﺑر ﻋن ﻧﻘﺎط اﻟﺿﻌف‪/‬اﻟﺛﻐرات‪ ،‬وﻗد ﺗﻛون ﻧﻘﺎط اﻟﺿﻌف ھذه إﻣﺎ ﻧﻘﺎط ﺿﻌف ﻓﻲ اﻟﺗﺻﻣﯾم )‪ (design code‬أو أﺧطﺎء‬
‫)‪ (error/bugs‬واﻟﺗﻲ ﻗد ﺗﺳﺑب ﺳوﻟك ﻏﯾر ﻣﺗوﻗﻊ أو ﻏﯾر ﻣرﻏوب ﻓﯾﮫ ﻓﻲ ﻧظﺎم اﻷﻣن‪ .‬وھو ﯾﻌﺗﺑر اﻟﻣﺻدر اﻟذي ﯾﮭﺗم ﺑﮫ اﻟﮭﺎﻛر ﻟﻛﻲ‬
‫ﯾﻌﻣل ﻋﻠﯾﮫ‪.‬‬

‫‪TARGET OF EVALUATION‬‬
‫ھو ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت أو اﻟﺷﺑﻛﺎت )‪ (IT system‬أو ﺑرﻧﺎﻣﺞ أو ﻣﺣﺗوى ﯾﺳﺗﺧدم ﻟﻠوﺻول إﻟﻰ درﺟﮫ ﻣﻌﯾﻧﮫ ﻣن اﻷﻣن‪ .‬وھذا اﻟﻧوع ﯾﺳﺎﻋد ﻓﻲ‬
‫ﻓﮭم وظﺎﺋف وﺗﻘﻧﯾﺎت وﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻷﻧظﻣﺔ واﻟﻣﻧﺗﺟﺎت‪.‬‬

‫‪ZERO-DAY ATTACK‬‬
‫ھو ﻋﺑﺎره ﻋن ھﺟوم ﯾﺳﺗﻐل ﺛﻐره اﻣﻧﯾﮫ ﻟم ﺗﻛن ﻣﻌروﻓﮫ ﻣﺳﺑﻘﺎ ﻟﻠﻣﺑرﻣﺟﯾن ﻓﻲ ﺗطﺑﯾﻖ ﻛﻣﺑﯾوﺗر وھذا ﯾﻌﻧﻰ أن اﻟﻣﺑرﻣﺟﯾن ﻟدﯾﮭم ﺻﻔر ﯾوم‬
‫ﻟﻣﻌﺎﻟﺟﺔ ھذا اﻟﺿﻌف‪.‬‬

‫‪DAISY CHAINING‬‬
‫ﺗﻌﻧﻰ أن اﻟﮭﺎﻛر اﻟذي اﺳﺗطﺎع اﻟوﺻول إﻟﻰ ﻗﺎﻋدة اﻟﻣﻌﻠوﻣﺎت ﻓﺎﻧﮫ ﯾﻌﻣل ﻋﻠﻰ ﺗﻛﻣﻠﺔ أھداﻓﮫ ﻋن طرﯾﻖ ﺗﻐطﯾﺔ أﺛﺎر ﻣﺎ ﻓﻌﻠﮫ وﯾﺗم ذﻟك ﺑﺗدﻣﯾر‬
‫ﻣﻠﻔﺎت اﻟﺳﺟل )‪ (destroy log file‬وذﻟك ﻹﺧﻔﺎء اﻟﮭوﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮫ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪6‬‬

‫ﺑﻌض اﻟﻣﺻطﻠﺣﺎت اﻟﺗﻌرﯾﻔﯾﺔ اﻷﺧرى‪:‬‬

‫‪ :Attack‬ھو ﻋﺑﺎره ﻋن أي ھﺟوم ﻋﻠﻰ ﻧظﺎم اﻣن‪.‬‬ ‫•‬
‫‪ :Security‬ﻋﻣﻠﯾﺔ ﺣﻣﺎﯾﺔ اﻟﺑﯾﺎﻧﺎت ﻣن اﻟﺳرﻗﺔ واﻟﻌﺑث‪.‬‬ ‫•‬
‫‪ :Threat‬اﻟﻔﻌل أو اﻟﺣدث اﻟذى ﯾﻣﻛن أن ﯾﺿر ﺑﺎﻷﻣن ‪ ،‬اﻟﺗﮭدﯾد ھو اﻧﺗﮭﺎك ﻣﺣﺗﻣل ﻟﻸﻣن‪.‬‬ ‫•‬
‫ﻋﻧﺎﺻر اﻣن اﻟﻣﻌﻠوﻣﺎت )‪(ELEMENT OF INFORMATION SECURITY‬‬

‫ھﻲ اﻟﺣﺎﻟﺔ اﻟﺗﻲ ﯾﻛون ﻓﯾﮭﺎ ﻋﻣﻠﯾﺔ ﺟﻌل اﻟﻣﻌﻠوﻣﺎت واﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻸﻧظﻣﺔ )‪ (Infrastructure‬ﻣن اﻟﺻﻌب ﺳرﻗﺗﮭﺎ وﺗﺗﻛون ﻣن ﺧﻣس ﻣراﺣل‬

‫• ‪) Confidentiality‬اﻟﺧﺻوﺻﯾﺔ(‬
‫ھﻲ اﻹﺟﺎﺑﺔ ﻋﻠﻰ اﻟﺳؤال )ﻣن ﻟﮫ اﻟﺣﻖ ﻓﻲ اﻷطﻼح‪/‬اﻟدﺧول ﻋﻠﻰ ھذه اﻟﻣﻌﻠوﻣﺎت؟( أو ﺑﻣﻌﻧﻰ اﺻﺢ ھﻲ ﺻﻼﺣﯾﺎت اﻟدﺧول‪.‬‬
‫• ‪Integrity‬‬
‫ﺷﻛل اﻟﺑﯾﺎﻧﺎت )ﻣﻧﻊ أي ﺗﻐﯾر ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت(‪.‬‬
‫• ‪) Availability‬اﻹﺗﺎﺣﺔ(‬
‫اﻟﺑﯾﺎﻧﺎت ﺗﻛون ﻣﺗﺎﺣﮫ ﻟﻣن ﻟﮫ اﻟﺣﻖ ﻓﻲ اﻟدﺧول ﻋﻠﯾﮭﺎ أو ﺑﻣﻌﻧﻰ أﺧر أن اﻟﻧظﺎم اﻟﻣﺳﺋول ﻋن ﻧﻘل وﺗﺧزﯾن وﻣﻌﺎﻟﺟﺔ اﻟﺑﯾﺎﻧﺎت ﯾﻛون ﻣﺗﺎﺣﺎ ﻟﻣن ﻟﮫ‬
‫اﻟﺣﻖ ﻓﻲ اﻟدﺧول ﻋﻠﯾﮭﺎ‪.‬‬
‫• ‪Authenticity‬‬
‫ھذا ﯾﺷﯾر إﻟﻰ ﺳﻣﺔ )اﻻﺗﺻﺎﻻت‪ ،‬أو اﻟوﺛﯾﻘﺔ‪ ،‬أو أي ﺑﯾﺎﻧﺎت( واﻟﺗﻲ ﺗﺿﻣن ﻧوﻋﯾﺔ ﻛوﻧﮭﺎ ﺣﻘﯾﻘﯾﺔ أم ﻻ )‪ (genuine‬ﻏﯾر ﻣﻘﻠده ﻣن اﻷﺻل‪.‬‬
‫واﻷدوار اﻟرﺋﯾﺳﯾﺔ ﻣن ﻋﻣﻠﯾﺔ اﻟﻣﺻﺎدﻗﺔ ‪ authentication‬ﺗﺷﻣل اﻻﺗﻲ‪:‬‬
‫‪ .1‬اﻟﺗﺄﻛﯾد ﻣن ھوﯾﺔ اﻟﻣﺳﺗﺧدم ھل ھو ھذا اﻟﻣﺳﺗﺧدم م اﻟﻣﻌرف ﻟدﯾﮫ أم ﻻ‪.‬‬
‫‪ .2‬ﺿﻣﺎن أن اﻟرﺳﺎﻟﺔ اﻟﻘﺎدﻣﺔ ﻣﻧﮫ اﺻﻠﯾﮫ وﻟم ﯾﺗم اﻟﺗﻐﯾر ﻓﻲ ﻣﺣﺗواھﺎ أو ﻟﯾﺳت ﻣزوره‪.‬‬
‫‪ .3‬ﺗﺳﺗﺧدم ﻛل ﻣن ‪ biometric‬و‪ smart cards‬واﻟﺷﮭﺎدة اﻟرﻗﻣﯾﺔ ‪ digital certificate‬ﻓﻲ اﻟﺗﺄﻛد ﻣن ﻣﺻداﻗﯾﮫ اﻟﺑﯾﺎﻧﺎت‬
‫أو اﻻﺗﺻﺎل أو ﺣﺗﻰ اﻟﻣﺳﺗﻧدات‪.‬‬
‫• ‪Non-repudiation‬‬
‫ھذا ﯾﺷﯾر إﻟﻰ اﻟﻘدرة ﻋﻠﻰ اﻟﺗﺄﻛد ﻣن أن طرﻓﻲ اﻟﻌﻘد أو اﻻﺗﺻﺎﻻت ﻻ ﯾﺳﺗطﯾﻌﺎ أن ﯾﻧﻛرا ﺻﺣﺔ اﻟﺗوﻗﯾﻊ ﻋﻠﻰ اﻟوﺛﯾﻘﺔ أو اﻟرﺳﺎﻟﺔ اﻟﻣرﺳﻠﺔ ﺑﯾﻧﮭم‬
‫ﻣن اﻷﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك ﺑروﺗﻛول ‪ HTTPS‬و‪.Kerberos‬‬
‫ﻣﺳﺗوى اﻷﻣﺎن ﻓﻲ أي ﻣن اﻷﻧظﻣﺔ أو اﻟﺷﺑﻛﺎت اﻟﻣوﺟودة ﺗﺗﺣد ﺑﻘوة اﻟﺛﻼﺛﺔ أﺷﯾﺎء اﻟﺗﺎﻟﯾﺔ‪:‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪7‬‬

‫ﺣﯾث ﻧﻼﺣظ وﺟود داﺋرة ﺻﻔراء واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺗﺣرك ﻓﻲ أي زاوﯾﺔ ﻣن زاوﯾﺎ اﻟﻣﺛﻠث واﻟﺗﻲ ﺗدل ﻋﻠﻰ ﻣﻌﻧﻰ‪ .‬ﺣﯾث ﻣﻛﺎﻧﮭﺎ اﻟﺣﺎﻟﻲ ﯾدل‬
‫اﻧﮫ ﻣﻊ زﯾﺎدة اﻷﻣﺎن )‪ (security‬ﻓﺎﻧﮫ ﺳوف ﯾﻘل اﻷداء )‪(Usability – Functionality‬‬
‫‪INFORMATION SECURITY THREATS AND ATTACK VECTOR 1.3‬‬

‫إن ھذا اﻟﺟزء ﯾﻘدم ﻟك اﻻﺗﻲ‪:‬‬

‫‪ Attack Vector .1‬ﻣن أﯾن ﺗﺄﺗﻰ اﻟﮭﺟﻣﺎت؟‬
‫‪ Security Threat .2‬اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ‪.‬‬
‫‪ Goal of attack .3‬اﻟﮭدف ﻣن وراء ھذا اﻟﮭﺟوم‪.‬‬
‫‪ ATTACK VECTOR‬ﻣن أﯾن ﯾﺄﺗﻲ ھذا اﻟﮭﺟوم؟‬

‫ھذا ﯾﺷﯾر إﻟﻰ اﻟﻣﺳﺎر اﻟذي ﯾﺗﺧذه اﻟﻣﮭﺎﺟم ﻟﻠوﺻول إﻟﻰ ﻣرﻛز اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ أﻧظﻣﺔ اﻟﺷﺑﻛﺔ ﻷداء ﺑﻌض اﻷﻧﺷطﺔ اﻟﻣﺧﺗﻠﻔﺔ‪.‬‬
‫‪ :Attack Vector‬ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻻﺳﺗﻔﺎدة ﻣن اﻟﺛﻐرات اﻟﻣوﺟودة ﻓﻲ ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﻟﺣﻣل اﻟﮭﺟوم اﻟﺧﺎص ﺑﮫ‪ .‬اﻟﻣﺳﺎرات اﻟﻣﺗﺎﺣﺔ اﻟﺗﻲ‬
‫ﻣﻣن اﻟﻣﻣﻛن أن ﯾﺳﺗﺧدﻣﮭﺎ اﻟﻣﮭﺎﺟم ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﻘرﺻﻧﺔ ﻛﺎﻻﺗﻰ‪:‬‬

‫‪ GOAL OF ATTACK‬اﻟﮭدف ﻣن وراء ھذا اﻟﮭﺟوم‪.‬‬

‫ﺣﯾث ﻧﻼﺣظ ﻣن ھذا أن أي ھﺟوم ‪ attack‬ﯾﺗﻛون ﻣن ﺛﻼث ﻋﻧﺎﺻر‬

‫)اﻟﮭدف ﻣن اﻟﮭﺟوم ‪) + (Motive‬اﻟطرﯾﻘﺔ ‪) + (method‬ﻧﻘﺎط اﻟﺿﻌف ‪(Vulnerability‬‬

‫اﻟﻌﻧﺻر اﻷول ھو ‪ motive‬وذﻟك ﻻن أي ھﺟوم إﻣﺎ ان ﯾﻛون ﻟﮭدف أو ﻟداﻓﻊ ﻣﻌﯾن )‪ (motive , goal or objective‬ﻣﺛﺎل ﻟﮭذه اﻷھداف‬
‫ﺗﻌطﯾل اﺳﺗﻣرارﯾﺔ اﻟﻌﻣل )‪ ،(disrupting business continuity‬ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﺗﻧﻔﯾذ اﻧﺗﻘﺎم ﻣن ﻣؤﺳﺳﮫ ﻣﻌﯾﻧﮫ أو ﺳرﻗﺔ ﺷﻲء ذات‬
‫ﻗﯾﻣﮫ ﻣن ﻣؤﺳﺳﮫ ﻣﺎ‪ .‬ھذه اﻷھداف ﺗﺧﺗﻠف ﻣن ﺷﺧص إﻟﻰ أﺧر ﻋﻠﻰ ﺣﺳب اﻟﺣﺎﻟﺔ اﻟﻌﻘﻠﯾﺔ ﻟﻠﻣﮭﺎﺟم اﻟذي ﺣﻣﻠﮫ ﻋﻠﻰ اﻟﻘﯾﺎم ﺑﮭذا اﻟﻌﻣل‪ .‬ﺑﻣﺟرد‬
‫اﻣﺗﻼك اﻟﻣﮭﺎﺟم ﻟﻠﮭدف ﻓﺎﻧﮫ ﯾﺳﺗﺧدم اﻟﻌدﯾد ﻣن اﻟطرق واﻷﺳﺎﻟﯾب ﻻﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف )‪ (exploit vulnerability‬ﻓﻲ ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت‬
‫‪ information system‬أو ﻓﻲ ‪ security policy‬ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﮭﺟوم ﺣﺗﻰ ﯾﺻل إﻟﻰ ﺗﺣﻘﯾﻖ ھدﻓﮫ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪8‬‬

‫‪ SECURITY THREAT‬اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ‪.‬‬

‫اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ ﺗﻧﻘﺳم ھﻧﺎ إﻟﻰ ﺛﻼﺛﺔ أﻗﺳﺎم ﻛﺎﻻﺗﻰ‪:‬‬

‫• ‪Natural Threats‬اﻟﺗﮭدﯾدات اﻟطﺑﯾﻌﯾﺔ‬

‫اﻟﺗﮭدﯾدات اﻟطﺑﯾﻌﺔ ﺗﺷﻣل اﻟﻛوارث اﻟطﺑﯾﻌﯾﺔ ﻣﺛل اﻟزﻻزل ‪ earthquake‬او اﻟﻔﯾﺿﺎﻧﺎت ‪ floods‬او اﻷﻋﺎﺻﯾر ‪ hurricanes‬أو أي ﻛﺎرﺛﮫ‬
‫طﺑﯾﻌﯾﺔ أﺧرى اﻟﺗﻲ ﻻ ﯾﻣﻛن إﯾﻘﺎﻓﮭﺎ أو اﻟﺗﺣﻛم ﻓﯾﮭﺎ‪.‬‬
‫اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﺗم ﺗدﻣﯾرھﺎ أو ﻓﻘداﻧﮭﺎ ﻧﺗﯾﺟﺔ اﻟﺗﮭدﯾدات اﻟطﺑﯾﻌﯾﺔ ﻻ ﯾﻣﻛن ﻣﻧﻌﮭﺎ ﺣﯾث ﻻ ﯾﻣﻛن ﺗوﻗﻊ وﻗت ﺣدوﺛﮭﺎ واﻗﺻﻰ ﻣﺎ ﯾﻣﻛن ﻓﻌﻠﮫ ھو‬
‫وﺿﻊ ﺑﻌض اﻟﺧطط اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗﻣﻛﻧك ﻣن ﻋدم ﻓﻘد ھذه اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ﺧطط اﻟطوارئ واﺳﺗرﺟﺎع اﻟﺑﯾﺎﻧﺎت ﻋﻧد اﻟﻔﻘدان أو اﻟﺗدﻣﯾر‪.‬‬
‫• ‪ Physical Threats‬اﻟﺗﮭدﯾدات اﻟﻔﯾزﯾﺎﺋﯾﺔ‬
‫ھذا اﻟﻧوع ﻣن اﻟﺗﮭدﯾد ﯾﻧﺗﺞ ﻧﺗﯾﺟﺔ ﺗﻠف أي ﺟزء ﻣن اﻷﺟﮭزة اﻟﻣﺳﺗﺧدﻣﺔ ﺳواء ﺑواﺳطﺔ اﻟﺣرﯾﻖ أو اﻟﻣﺎء أو اﻟﺳرﻗﺔ أو اﻟﺗداﺧﻼت اﻟﻔﯾزﯾﺎﺋﯾﺔ‬
‫)‪ (physical impact‬وأﯾﺿﺎ ﻣﺻﺎدر اﻟطﺎﻗﺔ اﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ ﺗﻠف ﺑﻌض اﻷﺟﮭزة )‪.(hardware damage‬‬
‫• ‪ Human Threat‬اﻟﺗﮭدﯾدات اﻟﺑﺷرﯾﺔ‬
‫ھذا اﻟﻧوع ﻣن اﻟﺗﮭدﯾدﯾﺎت ﯾﻧﺗﺞ ﻧﺗﯾﺟﺔ اﻟﮭﺟﻣﺎت ﺳواء ﻣن داﺧل اﻟﻣﻧظﻣﺔ )‪ (Insider‬أو ﻣن اﻟﺧﺎرج )‪.(Outsider‬‬
‫• ‪) Insider Attack‬اﻟﮭﺟﻣﺎت ﻣن اﻟداﺧل(‪ :‬ﺗﻌﺗﺑر اﻷﺧطر واﻟﺗﻲ ﺗﺗم ﺑواﺳطﺔ اﻟﻣوظﻔﯾن ﻣن داﺧل اﻟﻣﻧظوﻣﺔ او ﻣن ﻗﺑل ﺷﺧص‬
‫ﺳﺎﺧط‪ .‬وﺗﻌﺗﺑر اﻷﺧطر ﻻن اﻟﻣﮭﺎﺟم ﯾﻌرف اﻟﻛﺛﯾر ﻣﺛل اﻟوﺿﻊ اﻷﻣﻧﻲ )‪ (security posture‬اﻟﺧﺎص ﺑﺄﻧظﻣﺔ اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫• ‪) Outsider Attack‬اﻟﮭﺟﻣﺎت ﻣن اﻟﺧﺎرج(‪ :‬ﺗﺗم ﺑواﺳطﺔ أﺷﺧﺎص آﺧرﯾن ﻣن اﻟﺧﺎرج اﻟذﯾن ﯾﻣﻠﻛون ﺑﻌض ﻣن اﻟﺧﺑرة اﻟﺗﻲ‬
‫ﺗﻣﻛﻧﮭم ﻣن ﻣﻌرﻓﺔ اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻧظﺎم اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫ھﺬا اﻟﻨﻮع ﻣﻦ اﻟﺘﮭﺪﯾﺪ ﯾﻨﻘﺴﻢ ھﻮ اﻷﺧﺮ إﻟﻰ ﺛﻼث أﻧﻮاع أﺧﺮى ﻛﺎﻻﺗﻰ‪:‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪9‬‬

‫‪:Network Threats .A‬‬

‫اﻟﺷﺑﻛﺔ ‪ :Network‬ھﻲ ﻋﺑﺎرة ﻋن رﺑط ﺟﮭﺎزﯾن ﺣﺎﺳوب ﻓﺄﻛﺛر )ﻣﺟﻣوﻋﺔ ﻣن اﻷﺟﮭزة( ﻣﻊ ﺑﻌﺿﮭﻣﺎ اﻟﺑﻌض ﻣن ﺧﻼل ﻗﻧوات اﺗﺻﺎل‬
‫‪ communication channel‬وذﻟك ﻟﺗﺑﺎدل اﻟﺑﯾﺎﻧﺎت واﻟﻣوارد ‪ computer resources‬ﻣﺛل )اﻟطﺎﺑﻌﺎت‪ ،‬اﻟﻣﻠﻔﺎت ‪ ...‬وﻏﯾرھﺎ(‪ .‬وﻣﻊ‬
‫ﻣرور ھذه اﻟﺑﯾﺎﻧﺎت ﻣن ﺧﻼل ﻗﻧوات اﻻﺗﺻﺎل ‪ communication channel‬ﻓﺈﻧﮫ ﻣن اﻟﻣﻣﻛن دﺧول ﺷﺧص ﻣﺎ ﻋﻧوةً اﻟﻰ ھذه اﻟﻘﻧوات‬
‫وﺳرﻗﺔ ﻣﺎ ﺑﮭﺎ ﻣن ﻣﻌﻠوﻣﺎت‪.‬‬
‫ﻟذﻟك ﻓﺎن اﻟﻣﮭﺎﺟم اﻟﮭﺎﻛر ﯾﻌرض اﻟﻌدﯾد ﻣن اﻟﺗﮭدﯾدات ﻣن ﺧﻼل اﻟﺷﺑﻛﺔ وﻣن ھذه اﻟﺗﮭدﯾدﯾﺎت ﻛﺎﻻﺗﻰ‪:‬‬
‫‪) Information gathering .1‬ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت(‬
‫‪) sniffing and eavesdropping .2‬اﻟﺗﻧﺻت واﻟﺗﺟﺳس(‬
‫‪) spoofing .3‬اﻟﺗﻧﺻت(‬
‫‪session hijacking and man-in-middle attack .4‬‬
‫‪sql injection .5‬‬
‫‪ARP Poisoning .6‬‬
‫‪Denial of service attack .7‬‬
‫‪comprised key attack .8‬‬
‫‪:Host Threats .B‬‬
‫ھذا اﻟﻧوع ﻣن اﻟﺗﮭدﯾد ﯾﺗم ﺗوﺟﯾﮫ إﻟﻰ اﻟﻧظﺎم اﻟﺣﺎﻟﻲ اﻟذي ﯾﺣﻣل اﻟﻣﻌﻠوﻣﺎت اﻟﻘﯾﻣﺔ اﻟﺗﻲ ﯾرﯾدھﺎ اﻟﻣﮭﺎﺟم ﻣﺑﺎﺷرة )ﻋن طرﯾﻖ اﻻﺗﺻﺎل اﻟﻣﺑﺎﺷر(‪.‬‬
‫ﺣﯾث ﯾﺣﺎول اﻟﻣﮭﺎﺟم ﻣن ﻛﺳر اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻠﻧظﺎم اﻟذي ﯾﺣﻣل ھذه اﻟﻣﻌﻠوﻣﺎت وﻣن ھذه اﻟﺗﮭدﯾدات ﻛﺎﻻﺗﻰ‪:‬‬
‫‪Malware attacks .1‬‬
‫‪Target Footprinting .2‬‬
‫‪Password attacks .3‬‬
‫‪Denial of service attacks .4‬‬
‫‪Arbitrary code execution .5‬‬
‫‪ Unauthorized access .6‬اﻟدﺧول ﻋﻧوه أي ﻣن ﻏﯾر إن ﯾﻛون ﻣﺻرح ﻟﮫ ﺑﺎﻟدﺧول‪.‬‬
‫‪Privilege escalation .7‬‬
‫‪Back door attacks .8‬‬
‫‪Physical security threats .9‬‬
‫‪Application Threats .C‬‬
‫ﺗطوﯾر أي ﺗطﺑﯾﻖ أو إﻧﺷﺎﺋﮫ ﻣﻊ ﻋدم اﻻھﺗﻣﺎم ﺑﺎﻷوﺿﺎع اﻷﻣﻧﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮫ‪ .‬ﻗد ﯾؤدى إﻟﻰ وﺟود ﺑﻌض اﻟﺛﻐرات اﻷﻣﻧﯾﺔ ﻓﻲ ھذا اﻟﺗطﺑﯾﻖ وﻗد‬
‫ﯾﻧﺗﺞ ﻋن ھذه اﻟﺛﻐرات ﺛﻐرات أﺧرى ﻓﻲ ﺗطﺑﯾﻘﺎت أﺧرى‪ .‬ﺣﯾث أن اﻟﻣﮭﺎﺟم ﯾﺳﺗﻔﯾد ﻣن ھذه اﻟﺛﻐرات ﻓﻲ ﺗﻧﻔﯾذ ھﺟﻣﺎﺗﮫ ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت أو‬
‫ﺗدﻣﯾرھﺎ وﻣن ھذه اﻟﺗﮭدﯾدﯾﺎت ﻛﺎﻻﺗﻰ‪:‬‬
‫‪Data/Input validation .1‬‬
‫‪Authentication and Authorization attacks .2‬‬
‫‪Configuration management .3‬‬
‫‪Information disclosure .4‬‬
‫‪Session management issues .5‬‬
‫‪Cryptography attacks .6‬‬
‫‪Parameter manipulation .7‬‬
‫‪Improper error handling and exception management .8‬‬
‫‪Auditing and logging issues .9‬‬

‫‪) INFORMATION WARFARE‬ﺣرب اﻟﻣﻌﻠوﻣﺎت(‬

‫اﻟﻣﺻطﻠﺢ )‪ (Information Warfare/InfoWar‬ﯾﺷﯾر إﻟﻰ اﺳﺗﺧدام ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت واﻻﺗﺻﺎﻻت ‪ ICT‬ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﺑﻌض‬
‫اﻟﻣزاﯾﺎ اﻟﺗﻧﺎﻓﺳﯾﺔ ﻣن اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ أو ﺑﻣﻌﻧﻰ أﺧر ھو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ‪.‬‬
‫أو ﺑﻣﻌﻧﻰ أﺧر ھو اﺻطﻼح ظﮭر ﻓﻲ ﺑﯾﺋﺔ اﻹﻧﺗرﻧت ﻟﻠﺗﻌﺑﯾر ﻋن اﻋﺗداءات ﺗﻌطﯾل اﻟﻣواﻗﻊ وإﻧﻛﺎر اﻟﺧدﻣﺔ واﻻﺳﺗﯾﻼء ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت‪ ،‬وﻛﻣﺎ‬
‫ﯾﺷﯾر اﻻﺻطﻼح ﻓﺎن اﻟﮭﺟﻣﺎت واﻟﮭﺟﻣﺎت اﻟﻣﻘﺎﺑﻠﺔ ھﻲ اﻟﺗﻲ ﺗدل ﻋﻠﻰ وﺟود ﺣرب ﺣﻘﯾﻘﯾﺔ‪ ،‬وﺑﻣﺎ إﻧﮭﺎ ﺣرب ﻓﮭﻲ ﺣرب ﺑﯾن ﺟﮭﺎت ﺗﺗﻧﺎﻗض‬
‫ﻣﺻﺎﻟﺣﮭﺎ وﺗﺗﻌﺎرض ﻣواﻗﻔﮭﺎ‪ ،‬ﻟﮭذا ﺗﻛون ﻓﻲ اﻟﻐﺎﻟب ھﺟﻣﺎت ذات ﺑﻌد ﺳﯾﺎﺳﻲ‪ ،‬أو ھﺟﻣﺎت ﻣﻧﺎﻓﺳﯾن ﻓﻲ ﻗطﺎع اﻷﻋﻣﺎل‪ .‬وﻟذا وﺻﻔت ﺣﻣﻼت‬
‫اﻟﮭﺎﻛرز اﻟﯾوﻏﺳﻼﻓﯾﯾن ﻋﻠﻰ ﻣواﻗﻊ اﻟﻧﺎﺗو أﺑﺎن ﺿرﺑﺎت اﻟﻧﺎﺗو ﺑﺎﻧﮭﺎ ﺣرب ﻣﻌﻠوﻣﺎت ‪ ،‬ووﺻﻔت ﻛذﻟك ھﺟﻣﺎت اﻟﻣﺧﺗرﻗﯾن اﻷﻣرﯾﻛﺎن ﻋﻠﻰ ﻣواﻗﻊ‬
‫ﺻﯾﻧﯾﺔ ﻓﻲ اطﺎر ﺣﻣﻠﺔ أﻣرﯾﻛﯾﺔ ﻋﻠﻰ اﻟﺻﯾن ﺗﺣت ذرﯾﻌﺔ ﺣﻘوق اﻷﻧﺳﺎن واﻟﺗﻲ ﺗﻣت ﺑدﻋم ﺣﻛوﻣﻲ أﻣرﯾﻛﻲ ﺑﺎﻧﮭﺎ ﺣرب ﻣﻌﻠوﻣﺎت ‪ ،‬وأﺷﮭر‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪10‬‬

‫ﺣروب اﻟﻣﻌﻠوﻣﺎت اﻟﻘﺎﺋﻣﺔ ﺣﺗﻰ اﻷن اﻟﻣﻌرﻛﺔ اﻟﻣﺳﺗﻌرة ﺑﯾن اﻟﺷﺑﺎب اﻟﻌرب واﻟﻣﺳﻠم وﺗﺣدﯾدا ﺷﺑﺎب اﻟﻣﻘﺎوﻣﺔ اﻟﻠﺑﻧﺎﻧﯾﺔ واﻟﻣدﻋوﻣﯾن ﻣن ﺧﺑراء‬
‫اﺧﺗراق ﻋرب وﻣﺳﻠﻣﯾن ‪ ،‬وﺑﯾن ﺟﮭﺎت ﺗﻘﻧﯾﺔ ﺻﮭﯾوﻧﯾﺔ ﻓﻲ اطﺎر ﺣرب ﺗﺳﺗﮭدف إﺛﺑﺎت اﻟﻣﻘدرات ﻓﻲ اﺧﺗراق اﻟﻣواﻗﻊ وﺗﻌطﯾﻠﮭﺎ أو اﻻﺳﺗﯾﻼء‬
‫ﻋﻠﻰ ﺑﯾﺎﻧﺎت ﻣن ھذه اﻟﻣواﻗﻊ ‪ .‬وھذا اﻻﺻطﻼح ﻓﻲ ﺣﻘﯾﻘﺗﮫ اﺻطﻼح إﻋﻼﻣﻲ أﻛﺛر ﻣﻧﮫ أﻛﺎدﯾﻣﻲ‪ ،‬وﯾﺳﺗﺧدم ﻣرادﻓﺎ ﻓﻲ ﻏﺎﻟﺑﯾﺔ اﻟﺗﻘﺎرﯾر‬
‫ﻻﺻطﻼح اﻟﮭﺟﻣﺎت اﻹرھﺎﺑﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ وﻧﺟده ﻟدى اﻟﻛﺛﯾرﯾن اﺻطﻼح واﺳﻊ اﻟدﻻﻟﺔ ﻟﺷﻣول ﻛل أﻧﻣﺎط ﻣﺧﺎطر وﺗﮭدﯾدات واﻋﺗداءات وﺟراﺋم‬
‫اﻟﺑﯾﺋﺔ اﻹﻟﻛﺗروﻧﯾﺔ‪ ،‬وﻧرى ﻗﺻر اﺳﺗﺧداﻣﮫ ﻋﻠﻰ اﻟﮭﺟﻣﺎت واﻟﮭﺟﻣﺎت اﻟﻣﺿﺎدة ﻓﻲ ﺿوء ﺣروب اﻟرأي واﻟﻣﻌﺗﻘد ﻟﺗﻣﯾﯾزه ﻋن ﺑﻘﯾﺔ أﻧﺷطﺔ ﺗﻌطﯾل‬
‫اﻟﻣواﻗﻊ اﻟﺗﻲ ﻻ ﺗﻧطﻠﻖ ﻣن ﻣﺛل ھذه اﻷﻏراض‪.‬‬
‫‪:Defensive InfoWar‬‬
‫ﯾﺷﯾر إﻟﻰ ﺟﻣﯾﻊ اﻻﺳﺗراﺗﯾﺟﯾﺎت واﻟﻣﺑﺎدرات اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠدﻓﺎع ﺿد ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت )‪.(ICT assets‬‬
‫‪:Offensive InfoWar‬‬
‫ﯾﺷﯾر إﻟﻰ ‪ InfoWar‬اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠﮭﺟوم ﻋﻠﻰ اﻟﻣؤﺳﺳﺎت )‪ (ICT assets‬ﻓﻲ اﻟﺷرﻛﺎت اﻟﻣﻧﺎﻓﺳﺔ‪.‬‬

‫‪) IPV6 SECURITY THREATS‬اﻟﺗﮭدﯾدات اﻷﻣﻧﯾﺔ ﻣن اﺳﺗﺧدام ‪(IPV6‬‬

‫‪ IPv6‬ﻣﻘﺎرﻧﺔ ﺒ ‪ IPv4‬ﻓﺎﻧﮫ ﯾﻣﻠك ﺗﺣﺳﯾﻧﺎت اﻣﻧﯾﮫ اﻓﺿل ﻣﻧﮫ واﻟﺗﻲ ﺗﺻل ﺑك إﻟﻰ ﻣﺳﺗوى اﻋﻠﻰ ﻣن اﻷﻣﺎن واﻟﺧﺻوﺻﯾﺔ ﻟﻠﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﻣر‬
‫ﻋﺑر اﻟﺷﺑﻛﺔ وﻟﻛن ﻣﻊ ذﻟك ﻓﺎﻧﮫ ﯾﺣﻣل ﺑﻌض اﻟﺗﮭدﯾدﯾﺎت ﻛﺎﻻﺗﻰ‪:‬‬

‫‪Auto-Configuration threat-1‬‬
‫‪ IPv6‬ﯾدﻋم اﻹﻋداد اﻷﻟﻰ )‪ (Authconfig‬ﻟﻌﻧﺎوﯾن اﻟﺷﺑﻛﺔ )‪ ,(IP‬واﻟﺗﻲ ﺗﺗرك اﻟﻣﺳﺗﺧدم ﻋرﺿﮫ ﻟﻠﮭﺟوم ﻋﺑر ﺑﻌض اﻟﺛﻐرات اذا ﻟم ﯾﺗم‬
‫اﻹﻋداد اﻟﺻﺣﯾﺢ واﻷﻣن ﻣن اﻟﺑداﯾﺔ‪.‬‬

‫‪Unavailability Reputation-based Protection-2‬‬

‫ﺑﻌض اﻟﺣﻠول اﻷﻣﻧﯾﺔ اﻟﺣﺎﻟﯾﺔ ﺗﻌﺗﻣد ﻋﻠﻰ اﺳﺗﺧدام ‪) reputation of IP address‬ﻋﻧﺎوﯾن ‪IP‬ﻣﺷﮭوره أو ﻣﻌروﻓﮫ( ﻓﻲ ﺗﺻﻔﯾﺔ ﺑﻌض‬
‫اﻟﻣﺻﺎدر اﻟﻣﻌروﻓﺔ ﻠﻠ ‪ .malware‬واﻟﺗﻲ ﺗﺣﺗﺎج إﻟﻰ وﻗت ﺣﺗﻰ ﯾﺗم ﺗطوﯾرھﺎ ﻟﻛﻲ ﺗﺷﻣل ﻋﻧﺎوﯾن ‪.IPv6‬‬
‫‪Incompatibility of Logging Systems-3‬‬
‫‪ IPv6‬ﯾﺳﺗﺧدم ﻋﻧﺎوﯾن ذات ﺣﺟم ‪ 128 bit‬واﻟﺗﻲ ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﻋﻠﻰ ھﯾﺋﺔ ‪ 39‬ﺣرف ورﻗم‪ ,‬وﻟﻛن ‪ IPv4‬ﯾﺳﺗﺧدم ﻋﻧﺎوﯾن ذات أﺣﺟﺎم ‪32 bit‬‬
‫وﺗﺧزن ﻋﻠﻰ ھﯾﺋﺔ ‪ 15‬رﻣز‪ .‬ﻟذﻟك ﻓﺎن ﻋﻣﻠﯾﺎت اﻟﺗﺳﺟﯾل ‪ logging solutions‬ﻓﻲ اﻷﻧظﻣﺔ اﻟﻣﻌﺗﻣدة ﻋﻠﻰ ‪ IPv4‬ﻣن اﻟﻣﻣﻛن إﻧﮭﺎ ﻟن ﺗﻌﻣل ﻣﻊ‬
‫اﻟﺷﺑﻛﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ‪.IPv6‬‬
‫‪Rate Limiting Problem-4‬‬
‫ﯾﺳﺗﺧدم ﻣدﯾري اﻷﻧظﻣﺔ ‪Admin‬اﺳﺗراﺗﯾﺟﯾﺎت اﻟﺣد )‪ (rate limiting strategy‬ﻹﺑطﺎء أدوات اﻟﻣﮭﺎﺟم أﻟﯾﺎ )‪(Automated attack tool‬‬
‫ﻟﻛن ھذا ﺳوف ﯾﻛون ﺻﻌﺑﺎ ﻋﻧد اﺳﺗﺧداﻣﮫ ﻣﻊ ﻋﻧﺎوﯾن ذات أﺣﺟﺎم ‪.128 bit‬‬

‫اﻟﺗﮭدﯾدات اﻟﺗﻲ ﺗﻛﻣن ﻧﺗﯾﺟﺔ اﺳﺗﺧدام ‪IPV6‬‬

‫‪Default IPv6 Activation-1‬‬

‫‪ IPv6‬ﻣن اﻟﻣﻣﻛن أن ﯾﻔﻌل أﻟﯾﺎ ﺑدون ﻋﻠم ﻣدﯾري اﻟﻧظﺎم )‪ ,(ADMIN‬واﻟﺗﻲ ﯾؤدى إﻟﻰ ﻋدم ﻓﺎﻋﻠﯾﺔ اﻷوﺿﺎع اﻷﻣﻧﯾﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ‪.IPv4‬‬

‫‪Complexity of Network Management Tasks-2‬‬

‫ﻣدﯾري اﻟﻧظﺎم )‪ (admin‬داﺋﻣﺎ ﻣﺎ ﯾﺧﺗﺎروا ﻋﻧﺎوﯾن ‪ IPv6‬ﺳﮭﻠﺔ اﻟﺣﻔظ ﻣﺛل )‪ (::10, ::20, ::FOOD, ::C5C0‬وﻏﯾرھﺎ واﻟﺗﻲ ﻣن اﻟﺳﮭل‬
‫ﺗوﻗﻌﮭﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟم‪.‬‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪11‬‬

‫‪Complexity in Vulnerability Assessment-3‬‬

‫‪ IPv6‬ذات أﺣﺟﺎم ‪ 128 bit‬ﯾﺟﻌل ﻓﺣص ﺑﻧﯾﺔ اﻷﻧظﻣﺔ )‪ (infrastructure‬ﻣن اﺟل ﻛﺷف اﻟﻣﺗﺳﻠﻠﯾن واﻟﺛﻐرات ﻋﻣﻠﯾﮫ ﻣﻌﻘده‪.‬‬

‫‪Overloading of Perimeter Security Controls-4‬‬

‫‪ IPv6‬ﯾﺣﻣل ﻋﻧوان ﺛﺎﺑت ﻓﻲ ‪ header‬ذات ﺣﺟم ‪ 40 byte‬ﻣﻊ ‪ (extension header) add-on‬ﻗد ﺗﻛون ﻣﻘﯾده واﻟﺗﻲ ﻧﺣﺗﺎﺟﮭﺎ ﻓﻲ ﺑﻌض‬
‫اﻟﻌﻣﻠﯾﺎت اﻟﻣﻌﻘدة ﺑواﺳطﺔ ﺑﻌض أدوأه اﻟﺗﺣﻛم اﻷﻣن )‪ (security control‬ﻟﻠﺷﺑﻛﺔ ﻣﺛل ‪ firewall ,security gateways ,routers‬و ‪.IDS‬‬

‫‪IPv4 to IPv6 Translation Issues-5‬‬

‫ﺗرﺟﻣﺔ اﻟﺣزم ﻣن ‪ IPv4‬إﻟﻰ ‪ IPv6‬ﻣن اﻟﻣﻣﻛن أن ﯾؤدى ﺗدﻣﯾر اﻟﺣزم أو ﯾﻧﺗﺞ ﻋن ﺳوء ﺗﻧﻔﯾذ ھذه اﻟﺗرﺟﻣﺔ )‪.(poor implementation‬‬

‫‪Security Information and Event Management (SIEM) Problems-6‬‬

‫ﻛل ﻋﻣﯾل ﯾﺳﺗﺧدم ‪ IPv6‬ﯾﺣﻣل ﻋﻧﺎوﯾن ﻋده ﻣن ‪ IPv6‬وﻟﯾس ﻋﻧوان واﺣد ﻣﻣﺎ ﯾؤدى إﻟﻰ اﻟﺗﻌﻘﯾد ﻓﻲ ﻣﻠﻔﺎت ‪ log‬واﻷﺣداث ‪.event‬‬
‫‪Denial-of-service (DOS)-7‬‬
‫زﯾﺎدة اﻟﺗﺣﻣﯾل ﻋﻠﻰ اﻣن اﻟﺷﺑﻛﺔ وأﺟﮭزة اﻟﺗﺣﻛم ﯾؤدى إﻟﻰ ﺗﻘﻠﯾل إﺗﺎﺣﺔ ﻣوارد اﻟﺷﺑﻛﺔ‪ ،‬واﻟﺗﻲ ﺗؤدى إﻟﻰ اﻟﮭﺟﻣﺎت ﻣن اﻟﻧوع ‪.DOS‬‬

‫‪Trespassing-8‬‬

‫اﻟﻣﯾزات اﻟﻣﺳﺗﻘﺑﻠﯾﺔ ﻟﻌﻧﺎوﯾن ‪ IPv6‬اﻟﺗﻲ ﯾﺗم اﺳﺗﻛﺷﺎﻓﮭﺎ ﻣن اﻟﻣﻣﻛن أن ﺗﺳﺗﻐل ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ اﺟﺗﯾﺎز اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك ﻣن اﺟل‬
‫اﻟوﺻول إﻟﻰ ﻣوارد اﻟﺷﺑﻛﺔ اﻟﻣﻘﯾدة )‪.(restricted resources‬‬

‫‪) HACK CONCEPT 1.4‬ﻣﻔﮭﻮم اﻟﮭﺎﻛﻨﺞ(‬

‫• ﻣﺎ ھو اﻟﻔرق ﺑﯾن اﻟﮭﺎﻛر اﻟﻣدﻣر)‪ (Hacking‬واﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ )‪(Ethical hacking‬؟‬

‫اﻟﺗﮭﻛﯾر اﻟﻣدﻣر ‪hacking‬‬

‫ﯾﺷﯾر إﻟﻰ اﺳﺗﻐﻼل ﺛﻐرات اﻷﻧظﻣﺔ)‪ (vulnerability‬واﻷﺧﻼل ﺑﺎﻟﺿواﺑط اﻷﻣﻧﯾﺔ )‪ (compromising security controls‬ﻟﻠﺣﺻول‬
‫ﻋﻠﻰ اﻟدﺧول اﻟﻐﯾر ﻣﺻرح ﺑﮫ )‪ (unauthorized access‬ﻟﻣوارد اﻟﻧظﺎم‪ .‬ھذا ﯾﺷﻣل ﺗﻌدﯾل اﻟﻧظﺎم )‪ (modifying system‬أو ﺑﻌض‬
‫ﻣﻣﯾزات اﻟﺑراﻣﺞ )‪ (application feature‬ﻟﺗﺣﻘﯾﻖ اﻟﮭدف‪.‬‬
‫اﻟﺗﮭﻛﯾر اﻷﺧﻼﻗﻲ ‪Ethical hacking‬‬
‫ﯾﺷﻣل اﺳﺗﺧدام أدوات اﻟﺗﮭﻛﯾر وﺑﻌض اﻟﺗﻘﻧﯾﺎت واﻟﺣﯾل ﻟﺗﻌرﯾف اﻟﺛﻐرات وذﻟك ﻟﻠﺗﺄﻛد ﻣن اﻣن اﻟﻧظﺎم‪ .‬وھذا ﯾرﻛز ﻋﻠﻰ اﺳﺗﺧدام ﺗﻘﻧﯾﮫ ﻣﺷﺎﺑﮫ‬
‫ﻟﻠﺗﮭﻛﯾر اﻟﻣدﻣر ﻟﻛﺷف اﻟﺛﻐرات ﻓﻲ اﻟﻧظﺎم اﻷﻣن‪.‬‬
‫• ﻣﺎ ھو ﺗﺄﺛﯾر اﻟﮭﺎﻛر اﻟﻣدﻣر؟‬
‫‪ .1‬ﺗﻠف وﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ .2‬اﺳﺗﺧدام أﺟﮭزة ﻛﻣﺑﯾوﺗر ﻓﻲ اﻟﺗﮭﻛﯾر ﻋﻠﻰ أﺧر‪.‬‬
‫‪ .3‬اﺳﺗﺧدام ‪back door‬‬
‫‪ .4‬ﺳرﻗﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣن اﺟل اﻷرﻗﺎم اﻟﺳرﯾﺔ‪.‬‬
‫‪ .5‬ﺳرﻗﺔ وﺗدﻣﯾر اﻷﺟﮭزة‪.‬‬
‫• ﺗﺄﺛﯾر اﻟﮭﺎﻛر اﻟﻣدﻣر ﻋﻠﻰ اﻷﻋﻣﺎل‪:‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪12‬‬

‫ﻣن ھو اﻟﮭﺎﻛرز؟‬

‫ھو ﻋﺑﺎره ﻋن ﺷﺧص ﻣﺣﺗرف ﯾﻣﻛﻧﮫ اﺧﺗراق اﻷﻧظﻣﺔ واﻟﺷﺑﻛﺎت ﺑطرﯾﻘﮫ ﻏﯾر ﻗﺎﻧوﻧﯾﮫ أو ﺑدون ﺗﺻرﯾﺢ ﻣن أﺟل ﺗدﻣﯾر أو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت‬
‫اﻟﺣﺳﺎﺳﺔ أو أداء ﺑﻌض اﻟﮭﺟﻣﺎت اﻷﺧرى ﻋﻠﻰ اﻷﺟﮭزة اﻷﺧرى‪ .‬وھذا اﻟﺷﺧص ﯾﺗﻣﯾز ﺑﺄﻧﮫ ﯾﻣﻠك ذﻛﺎء ﻣﻊ ﻣﮭﺎرات ﺟﯾده ﻓﻲ ﻋﻠم اﻟﻛﻣﺑﯾوﺗر ﻣﻊ‬
‫اﻟﻣﻘدرة ﻋﻠﻰ إﻧﺷﺎء وﻓﺣص ﺑراﻣﺞ وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫ﺑﻌض اﻟﻣﮭﺎﺟﻣﯾن ﻟدھﯾم ھواﯾﺔ ﻓﻲ رؤﯾﺔ ﻛم اﻟﻌدد ﻣن اﻷﺟﮭزة واﻟﺷﺑﻛﺎت اﻟذي اﺧﺗراﻗﮭﺎ‪ .‬اﻟﺑﻌض اﻷﺧر ﯾﺳﺗﺧدم ھذا ﻟﻛﺳب اﻟﻣﻌﻠوﻣﺎت أو ﻟﻔﻌل‬
‫ﺷﻲء ﻏﯾر ﻗﺎﻧوﻧﻲ ﻣﺛل ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت اﻻﺳﺗﺛﻣﺎرﯾﺔ أو ﻣﻌﻠوﻣﺎت ﻛﺎرت اﻻﺋﺗﻣﺎن )‪(ATIM‬أو اﻟرﻗم اﻟﺳري ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وﻏﯾرھﺎ‪.‬‬

‫أﻧواع اﻟﮭﺎﻛرز‪:‬‬
‫‪) Black Hats‬اﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟﺳوداء(‬
‫ھم أﻓراد ﻟدﯾﮭم ﻣﮭﺎرات اﺳﺗﺛﻧﺎﺋﯾﺔ ﻓﻲ ﻋﻠم اﻟﺣوﺳﺑﺔ)‪ ، (computer science‬اﻟﻠﺟوء إﻟﻰ أﻧﺷطﺔ ﺿﺎرة أو ﻣدﻣرة‪ ،‬ﻛﻣﺎ أﻧﮭم‬
‫ﻣﻌروﻓﯾن أﯾﺿﺎ ﺑﺎﺳم ﻛراﻛرز )‪.(crackers‬‬
‫ھؤﻻء اﻷﻓراد داﺋم ﻣﺎ ﯾﺳﺗﺧدﻣون ﻣﮭﺎراﺗﮭم ﻓﻲ اﻷﻧﺷطﺔ اﻟﺗدﻣﯾرﯾﺔ واﻟﺗﻲ ﺗﺳﺑب ﺿرر ﻛﺑﯾر ﻟﻠﺷرﻛﺎت واﻟﻣؤﺳﺳﺎت واﻷﻓراد‪ .‬ھؤﻻء ﯾﺳﺗﺧدﻣون‬
‫ﻣﮭﺎراﺗﮭم ﻓﻲ إﯾﺟﺎد اﻟﺛﻐرات ﻓﻲ اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ واﻟﺗﻲ ﺗﺷﻣل أﯾﺿﺎ اﻟﻣواﻗﻊ اﻟﺣﻛوﻣﯾﺔ وﻣواﻗﻊ اﻟدﻓﺎع واﻟﺑﻧوك وھﻛذا‪.‬‬
‫ﺑﻌﺿﮭم ﯾﻔﻌل ذﻟك ﻣن اﺟل أﺣداث ﺿرر أو ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت أو ﺗدﻣﯾر ﺑﯾﺎﻧﺎت أو ﻛﺳب اﻟﻣﺎل ﺑطرﯾﻘﮫ ﺳﮭل ﻋن طرﯾﻖ ﻗرﺻﻧﮫ اﻟرﻗم اﻟﺗﻌرﯾﻖ‬
‫ﻟﻌﻣﻼء اﻟﺑﻧوك‪.‬‬
‫‪) White Hats‬اﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟﺑﯾﺿﺎء(‬
‫ھم أﻓراد ﯾﻌﺗﻧﻘون ﻣﮭﺎرات اﻟﻘرﺻﻧﺔ )اﻻﺧﺗراق( وﯾﺳﺗﺧدﻣون ھذه اﻟﻣﮭﺎرات ﻣن اﺟل اﻷھداف اﻟدﻓﺎﻋﯾﺔ؛ ﻛﻣﺎ أﻧﮭم ﻣﻌروﻓﯾن أﯾﺿﺎ‬
‫ﺑﺎﺳم اﻟﻣﺣﻠﻠﯾن اﻷﻣﻧﯾن )‪ .(security analysts‬ﻓﻲ ھذه اﻷﯾﺎم ﻓﺎن ﻣﻌظم اﻟﺷرﻛﺎت ﯾﻣﻠﻛون ﻣﺣﻠﻠﯾن اﻣﻧﯾن ﻣن اﺟل ﺣﻣﺎﯾﺔ‬
‫أﻧظﻣﺗﮭم ﺿد اﻟﮭﺟﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ‪ .‬ھؤﻻء ﯾﺳﺎﻋدون اﻟﺷرﻛﺎت ﻟﺗﺎﻣﯾن اﻟﺷﺑﻛﺎت اﻟﺧﺎﺻﺔ ﺑﮭم‪.‬‬
‫‪) Gray Hats‬اﻟﻣﺧﺗرق ذو اﻟﻘﺑﻌﺔ اﻟرﻣﺎدﯾﺔ(‬
‫ھم أﻓراد ﻟدﯾﮭم ﻣﮭﺎرات اﻟﮭﺎﻛر ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﻓﻲ اﻟﮭﺟوم واﻟدﻓﺎع ﻋﻠﻰ ﺣد ﺳواء ﻓﻲ أوﻗﺎت ﻣﺧﺗﻠﻔﺔ‪ .‬وھؤﻻء ﯾﻘﻌون ﺑﯾن‬
‫‪ Black Hats‬و‪ .White Hats‬ھؤﻻء ﯾﻣﻛﻧﮭم أﯾﺿﺎ ﻣﺳﺎﻋدة اﻟﮭﺎﻛر ﻓﻲ إﯾﺟﺎد اﻟﺛﻐرات اﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻷﻧظﻣﺔ واﻟﺷﺑﻛﺎت وﻓﻰ‬
‫ﻧﻔس اﻟوﻗت ﯾﻘوﻣون ﺑﻣﺳﺎﻋدة اﻟﻣؤﺳﺳﺎت ﻓﻲ ﺗﺣﺳﯾن ﻣﻧﺗﺟﺎﺗﮭم )‪ (software and hardware‬ﻋن طرﯾﻖ ﺟﻌﻠﮭﺎ أﻛﺛر أﻣﺎﻧﺎ وھﻛذا‪.‬‬

‫‪) Suicide Hackers‬اﻟﮭﺎﻛر اﻟﻣﻧﺗﺣرون(‬

‫وﯾطﻠﻖ ﻋﻠﯾﺔ أﯾﺿﺎ اﻟﮭﺎﻛر اﻟﻣﻧﺗﺣر ﻷﻧﮫ ﯾﺷﺑﮫ إﻟﻰ ﺣد ﻛﺑﯾر اﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﺗﻔﺟﯾر ﻧﻔﺳﮫ ﻏﯾر ﻣﮭﺗم ﺑﺣﯾﺎﺗﮫ ﻣن اﺟل ھدف ﻣﺎ‪.‬‬
‫وھم ﻋﺑﺎره ﻋن أﻓراد ﯾﮭدﻓون إﻟﻰ إﺳﻘﺎط اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻟﺣﯾوﯾﺔ ﻟﺳﺑب ﻣﺎ ﺳﺑب ﻻ ﯾﻘﻠﻘون ﺑﺷﺄن ‪ 30‬ﻋﺎﻣﺎ ﻓﻲ اﻟﺳﺟن ﻧﺗﯾﺟﺔ أﻓﻌﺎﻟﮭم‬
‫وﻻ ﯾﺧﻔون أﻧﻔﺳﮭم ﺑﻌد اﻟﻘﯾﺎم ﺑﺎﻟﮭﺟﻣﺔ أي ﺑﻣﻌﻧﻰ أﺧر ﯾﺳرﻗون ﻋﻼﻧﯾﺗﺎ‪ .‬وﻟﻘد اﻧﺗﺷر ھذا اﻟﻧوع ﻓﻲ اﻟﺳﻧوات اﻷﺧﯾرة‪.‬‬
‫‪Script Kiddies‬‬
‫ھو ھﺎﻛر ﻟﯾس ﻟدﯾﮫ ﻣﮭﺎرات اﻟﮭﺎﻛر وﻟﻛن ﯾﺗﺣﺎﯾل ﻋﻠﻰ اﻷﻧظﻣﺔ ﺑﺎﺳﺗﺧدام ﺑﻌض اﻻﺳﻛرﺑﺎت واﻷدوات واﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗم‬
‫ﺗطوﯾرھﺎ ﺑواﺳطﺔ اﻟﮭﺎﻛرز اﻟﺣﻘﯾﻘﯾن‪ .‬وھؤﻻء ﻣن اﻟﺳﮭل ﻟﮭم اﺳﺗﺧدام اﻟﺗطﺑﯾﻘﺎت واﻻﺳﻛرﺑﺎت ﻓﻲ اﻛﺗﺷﺎف اﻟﺛﻐرات ﻓﻲ اﻷﻧظﻣﺔ‬
‫اﻟﻣﺧﺗﻠﻔﺔ‪ .‬ھذا اﻟﻧوع ﻣن اﻟﮭﺎﻛر ﯾرﻛز ﻓﻲ اﻷﺳﺎس ﻋﻠﻰ ﻛﻣﯾﺔ اﻟﮭﺟﻣﺎت أﻛﺛر ﻣن ﻗوة وﻓﺎﻋﻠﯾﺔ اﻟﮭﺟﻣﺔ اﻟﺗﻲ ﯾﻘوم ﺑﺈﻧﺷﺎﺋﮭﺎ‪.‬‬
‫‪Spy Hackers‬‬
‫ھم ﻋﺑﺎره ﻋن اﻓراد ﯾﺗم ﺗﺄﺟﯾرھم ﻣن ﻗﺑل اﻟﻣﻧظﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻻﺧﺗراق واﻟﺣﺻول ﻋﻠﻰ أﺳرار ﻣن اﻟﻣﻧظﻣﺎت اﻟﻣﻧﺎﻓﺳﺔ ﻟﮭم‪.‬‬

‫‪) Cyber Terrorists‬إرھﺎب اﻟﻌﺎﻟم اﻹﻟﻛﺗروﻧﻲ(‬

‫ھﻲ ھﺟﻣﺎت ﺗﺳﺗﮭدف ﻧظم اﻟﻛﻣﺑﯾوﺗر واﻟﻣﻌطﯾﺎت ﻷﻏراض دﯾﻧﯾﺔ أو ﺳﯾﺎﺳﯾﺔ أو ﻓﻛرﯾﺔ أو ﻋرﻗﯾﺔ‪ .‬وﺗﻌﺗﺑر ﺟراﺋم إﺗﻼف ﻟﻠﻧظم‬
‫واﻟﻣﻌطﯾﺎت أو ﺟراﺋم ﺗﻌطﯾل ﻟﻠﻣواﻗﻊ وﻋﻣل اﻷﻧظﻣﺔ‪ .‬وھﻲ ﻣﻣﺎرﺳﺎت ﻟذات ﻣﻔﮭوم اﻷﻓﻌﺎل اﻹرھﺎﺑﯾﺔ ﻟﻛن ﻓﻲ ﺑﯾﺋﺔ اﻟﻛﻣﺑﯾوﺗر‬
‫واﻹﻧﺗرﻧت وﻋﺑر اﻹﻓﺎدة ﻣن ﺧﺑرات اﻟﻛراﻛرز وھذا اﻟﻧوع ﻣن اﻟﮭﺎﻛر ﯾﻌﺗﺑر اﻷﻛﺛر ﺧطورة ﻷﻧﮫ ﻟن ﯾﺧﺗرق اﻟﻣواﻗﻊ اﻹﻟﻛﺗروﻧﯾﺔ ﻓﺣﺳب ﺑل ﻣن‬
‫اﻟﻣﻣﻛن ﻣﻧطﻘﮫ ﺑﺄﻛﻣﻠﮭﺎ‪.‬‬
‫‪State Sponsored Hackers‬‬
‫ھم ﻋﺑﺎره ﻋن أﻓراد ﯾﺗم ﺗﺄﺟﯾرھم ﺑواﺳطﺔ اﻟﺣﻛوﻣﺎت ﻣن اﺟل اﻻﺧﺗراق واﻟﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻋﻠﻰ درﺟﮫ ﻋﺎﻟﯾﺔ ﻣن اﻟﺳرﯾﺔ‬
‫وﺗدﻣﯾر ﺑﻌض أﻧظﻣﺔ اﻟﻣﻌﻠوﻣﺎت اﻷﺧرى ﻟﻠﺣﻛوﻣﺎت اﻷﺧرى‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪13‬‬

‫‪:HACKTIVISM‬‬
‫ھو ﻋﻣل ﻟﺗﻌزﯾز أﺟﻧدة ﺳﯾﺎﺳﯾﺔ ﻋن طرﯾﻖ اﻟﻘرﺻﻧﺔ‪ ،‬ﺧﺎﺻﺔ ﻋن طرﯾﻖ ﺗﺷوﯾﮫ أو ﺗﻌطﯾل ﺑﻌض اﻟﻣواﻗﻊ‪ .‬واﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﮭذه‬
‫اﻷﺷﯾﺎء ﯾﺳﻣﻰ ‪ .hacktivist‬أو ﺑﻣﻌﻧﻰ أﺧر )ھذا ﯾﺷﯾر إﻟﻰ ﻓﻛرة اﻟﻘرﺻﻧﺔ ﻷﺳﺑﺎب(‬
‫ھؤﻻء اﻷﺷﺧﺎص ﯾزدھرون ﻓﻲ اﻟﺑﯾﺋﺔ ﺣﯾث ﺗوﺟد اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﺑﺳﮭوﻟﺔ‪ .‬وھذا ﯾﮭدف إﻟﻰ إرﺳﺎل رﺳﺎﻟﺔ ﻣن ﺧﻼل‬
‫أﻧﺷطﺔ اﻟﻘرﺻﻧﺔ واﻛﺗﺳﺎب اﻟرؤﯾﺔ ﻣن أﺟل ﻗﺿﯾﺔ ﻣﻌﯾﻧﮫ‪ .‬وﻣﻌظم اﻷھداف إﻣﺎ أن ﺗﻛون اﻟوﻛﺎﻻت اﻟﺣﻛوﻣﯾﺔ‪ ،‬واﻟﺷرﻛﺎت ﻣﺗﻌددة اﻟﺟﻧﺳﯾﺎت‪ ،‬أو‬
‫أي ﻛﯾﺎن آﺧر ﯾﻧظر إﻟﯾﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﻛﯾﺎن ﺳﯾﺊ )‪ (bad or wrong‬ﻣن وﺟﮭﺔ ﻧظر ھؤﻻء اﻷﺷﺧﺎص‪ .‬وﻟﻛن ﯾﺑﻘﻰ اﻟواﻗﻊ‪ ،‬أن اﻛﺗﺳﺎب اﻟوﺻول‬
‫اﻟﻐﯾر ﻣﺻرح ﺑﮫ ھو ﺟرﯾﻣﺔ‪ ،‬ﻣﮭﻣﺎ ﻛﺎن اﻟﻘﺻد ﻣن ذﻟك‪.‬‬
‫أو ﺑﻣﻌﻧﻰ أﺧر ھم ﯾﻘوﻣون ﺑﻌﻣﻠﯾﺔ اﻟﻘرﺻﻧﺔ ﻟﺳﺑب ﻣﻌﯾن ﻗد ﯾﻛون ﺑداﻓﻊ اﻻﻧﺗﻘﺎم‪ ،‬أو أﺳﺑﺎب ﺳﯾﺎﺳﯾﺔ أو اﺟﺗﻣﺎﻋﯾﺔ أو إﯾدﯾوﻟوﺟﯾﺔ‪ ،‬أو ﻟﻠﺗﺧرﯾب‪،‬‬
‫واﻻﺣﺗﺟﺎج واﻟرﻏﺑﺔ ﻓﻲ إذﻻل اﻟﺿﺣﺎﯾﺎ‪.‬‬

‫‪) HACK PHASE 1.5‬ﻣﺮاﺣﻞ اﻟﻘﺮﺻﻨﺔ(‬

‫ھذا ﯾﺷﻣل اﻻﺗﻲ‪:‬‬
‫‪ Reconnaissance-1‬ﻋﻣﻠﯾﺔ ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت )اﻻﺳﺗطﻼع(‬
‫‪ Scanning-2‬ﻓﺣص‬
‫‪ Gaining Access-3‬اﻟدﺧول إﻟﻰ اﻟﮭدف‬
‫‪ Maintaining Access-4‬ﯾﺣﺎﻓظ ﻋﻠﻰ اﻟدﺧول‬
‫‪ Clearing Tracks-5‬ﯾﻧظف أي إﺷﺎرة ﻟﮫ‬
‫• ‪Reconnaissance‬‬

‫ﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ ‪ preparatory phase‬أي اﻟﻣرﺣﻠﺔ اﻟﺗﺣﺿﯾرﯾﺔ واﻟﺗﻲ ﻓﯾﮭﺎ ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺟﻣﻊ أﻛﺑر ﻗدر ﻣﻣﻛن ﻣن اﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﮭدف‬
‫ﻟﺗﻘﯾﻣﮫ ﻗﺑل ﺗﻧﻔﯾذ ھﺟﻣﺗﮫ‪ .‬أﯾﺿﺎ ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ اﻟﻣﮭﺎﺟم ﯾﮭﺗم ﺑﺎﻻﺳﺗﺧﺑﺎرات اﻟﺗﻧﺎﻓﺳﯾﺔ ﻟﻣﻌرﻓﺔ اﻟﻣزﯾد ﻋن اﻟﮭدف‪ .‬ھذه اﻟﻣرﺣﻠﺔ ﺗﺷﻣل أﯾﺿﺎ‬
‫‪) network scanning‬ﻓﺣص اﻟﺷﺑﻛﺔ( ﺳواء ﻣن اﻟداﺧل أو اﻟﺧﺎرج ﺑدون دﺧول ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫ھذه اﻟﻣرﺣﻠﺔ ھﻲ اﻟﻣرﺣﻠﺔ اﻟﺗﻲ ﻋن طرﯾﻘﮭﺎ ﯾﺿﻊ اﻟﻣﮭﺎﺟم اﺳﺗراﺗﯾﺟﯾﺎت اﻟﮭﺟوم واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗﺄﺧذ ﺑﻌض اﻟوﻗت ﺣﺗﻰ ﯾﺣﺻل ﻋﻠﻰ‬
‫اﻟﻣﻌﻠوﻣﺎت اﻟﻣﮭﻣﺔ‪.‬‬
‫ﺟزء ﻣن ھذه اﻟﻣرﺣﻠﺔ ﯾﺷﻣل اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ )‪ .(social engineering‬اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ أو ﻣﺎ ﯾﻌرف ﺑﻔن اﺧﺗراق اﻟﻌﻘول ھﻲ ﻋﺑﺎره‬
‫ﻋن ﻣﺟﻣوﻋﮫ ﻣن اﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺟﻌل اﻟﻧﺎس ﯾﻘوﻣون ﺑﻌﻣل ﻣﺎ أو ﯾﻔﺻﺣون ﻋن ﻣﻌﻠوﻣﺎت ﺳرﯾﮫ‪ .‬وﺗﺳﺗﺧدم ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﻘرﺻﻧﺔ ﻓﻲ‬
‫اﻟﻣرﺣﺔ اﻷوﻟﻰ )ﻣرﺣﻠﺔ ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت( ﺣﯾث أن اﻟﮭدف اﻷﺳﺎﺳﻲ ﻟﻠﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ھو طرح أﺳﺋﻠﺔ ﺑﺳﯾطﺔ أو ﺗﺎﻓﮭﺔ )ﻋن طرﯾﻖ اﻟﮭﺎﺗف أو‬
‫اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ اﻧﺗﺣﺎل ﺷﺧﺻﯾﺔ ذي ﺳﻠطﺔ أو ذات ﻋﻣل ﯾﺳﻣﺢ ﻟﮫ ﺑطرح ھذه اﻷﺳﺋﻠﺔ دون إﺛﺎرة اﻟﺷﺑﮭﺎت(‪.‬‬
‫ﺑﻌض ﺗﻘﻧﯾﺎت اﻟﻔﺣص اﻷﺧرى ھﻲ ‪) Dumpster diving‬اﻟﻐوص ﻓﻲ ﺳﻠﺔ اﻟﻣﮭﻣﻼت( وھﻲ ﻋﺑﺎره ﻋن ﻋﻣﻠﯾﮫ اﻟﻧظر ﻓﻲ ﺳﻠﺔ ﻣﮭﻣﻼت ﺑﻌض‬
‫اﻟﻣﻧظﻣﺎت ﻣن اﺟل اﻟوﺻول إﻟﻰ ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ اﻟﻣﺳﺗﺑﻌدة‪.‬‬
‫اﻟﻣﮭﺎﺟم أﯾﺿﺎ ﯾﻣﻛﻧﮫ اﺳﺗﺧدام ﺷﺑﻛﺔ اﻟﻣﻌﻠوﻣﺎت اﻷﻧﺗرﻧت ﻟﻠﺣﺻول ﻋﻠﻰ ﺑﻌض اﻟﻣﻌﻠوﻣﺎت ﻣﺛل ﻣﻌﻠوﻣﺎت اﻻﺗﺻﺎل واﻟﺷرﻛﺎء ﻓﻲ اﻟﻌﻣل‬
‫واﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﺳﺗﺧدﻣﺔ وﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ اﻷﺧرى وﻟﻛن ‪ dumpster diving‬ﺗدﻋﻣك ﺑﻣﻌﻠوﻣﺎت أﻛﺛر ﺣﺳﺎﺳﯾﮫ ﻣﺛل اﺳم‬
‫اﻟﻣﺳﺗﺧدم واﻟرﻗم اﻟﺳري وأرﻗﺎم اﻟﻛرﯾدت ﻛﺎرد واﻟﺣﺎﻟﺔ اﻟﻣﺎﻟﯾﺔ ورﻗم اﻻﺋﺗﻣﺎن اﻻﺟﺗﻣﺎﻋﻲ وﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪14‬‬

‫وﯾﻧﻘﺳم ‪) Reconnaissance‬اﻻﺳﺗطﻼع( إﻟﻰ‪:‬‬

‫‪ :Passive Reconnaissance‬اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﮭدف وﻟﻛن ﺑطرﯾﻘﮫ ﻏﯾر ﻣﺑﺎﺷره ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت; ﻣﺛل ﺳﺟﻼت‬ ‫‪‬‬
‫اﻟﺑﺣث اﻟﻌﺎﻣﺔ و ﻧﺷرات اﻷﺧﺑﺎر و اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ و ‪ dumpster diving‬وﻏﯾرھﺎ‬
‫‪ :Active reconnaissance‬ﯾﻧطوي ﻋﻠﻰ اﻟﺗﻔﺎﻋل اﻟﻣﺑﺎﺷر ﻣﻊ اﻟﮭدف ﺑﺎﺳﺗﺧدام أي وﺳﯾﻠﺔ; ﻣﺛل اﺳﺗﺧدام اﻷدوات‬ ‫‪‬‬
‫ﻟﻠﻛﺷف ﻋن اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﻣﻛﺎن ﺗواﺟد اﻟﻣوﺟﮫ‪/‬اﻟراوﺗر وھﻛذا‪.‬‬
‫• ‪Scanning‬‬

‫اﻟﻣﺳﺢ ھو ﻣﺎ ﯾﻔﻌﻠﮫ اﻟﻣﮭﺎﺟم ﻗﺑل ﺗﻧﻔﯾذ اﻟﮭﺟوم‪ .‬وﯾﺷﯾر اﻟﻣﺳﺢ إﻟﻰ ﻓﺣص اﻟﺷﺑﻛﺔ ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻣﺣددة ﻋﻠﻰ أﺳﺎس اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗم‬
‫ﺟﻣﻌﮭﺎ ﻣن ﺧﻼل ﻋﻣﻠﯾﺔ اﻻﺳﺗطﻼع )‪ ،(Reconnaissance‬ﯾﺳﺗﺧدم اﻟﻘراﺻﻧﺔ اﻟﻣﺳﺢ ﻟﻠﺣﺻول ﻋﻠﻰ ﻧﻘطﺔ دﺧول )اﻟﺛﻐرة( ﻟﻠﺑدء ﻓﻲ اﻟﮭﺟوم‪،‬‬
‫وﺗﺗﺿﻣن ﻋﻣﻠﯾﺔ اﻟﻣﺳﺢ ﻣﺳﺢ اﻟﻣﻧﺎﻓد‪ ،‬ﺧراﺋط اﻟﺷﺑﻛﺔ اﻟﺿﻌف اﻷﻣﻧﻲ‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪.‬‬
‫اﻟﻣﮭﺎﺟم داﺋﻣﺎ ﻣﺎ ﯾﺳﺗﺧدم اﻷدوات اﻟﺟﺎھزة ﻣﺛل ‪ network/host scanner‬و‪ war dialers‬ﻹﯾﺟﺎد اﻟﻧظﺎم واﻛﺗﺷﺎف اﻟﺛﻐرات اﻟذي ﯾﺣﺗوﯾﮭﺎ‪.‬‬
‫• ‪Gaining Access‬‬

‫ھذه اﻟﻣرﺣﻠﺔ ﺗﻌﺗﺑر اھم ﻣرﺣﻠﮫ وﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ ‪ .potential damage‬وھذه اﻟﻣرﺣﻠﺔ ﺗﺷﯾر إﻟﻰ ﻣرﺣﻠﺔ اﻻﺧﺗراق‪ ،‬اﻟﻣﺧﺗرق ﯾﺳﺗﻐل اﻟﺿﻌف‬
‫ﻓﻲ اﻟﻧظﺎم‪ ،‬ﺣﯾث ﯾﻣﻛن أن ﯾﺣدث ذﻟك ﻋﻠﻰ ﻣﺳﺗوى ﺷﺑﻛﺔ ﻣﺣﻠﯾﺔ )‪ (LAN‬أو اﻷﻧﺗرﻧت أو ﻋﻠﻰ ﻣﺳﺗوى ﻧظﺎم اﻟﺗﺷﻐﯾل أو ﻋﻠﻰ ﻣﺳﺗوى‬
‫اﻟﺗطﺑﯾﻘﺎت‪ ،‬وﻣن اﻷﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك‪. password cracking، session hijacking، denial of service،buffer overflows :‬‬
‫• ‪Maintaining Access‬‬

‫وﺗﺷﯾر إﻟﻰ اﻟﻣرﺣﻠﺔ اﻟﺗﻲ ﯾﺣﺎول ﻓﯾﮭﺎ اﻟﻣﺧﺗرق ﺣﻔظ ﻣﻠﻛﯾﺔ اﻟدﺧول ﻣﺟددا إﻟﻰ اﻟﻧظﺎم‪ ،‬ﻣن ﺧﻼل وﺻول ﺣﺻري ﺑﺎﺳﺗﺧدام ‪،Backdoors‬‬
‫‪ ،Rootkits‬أو ‪ ،Trojans‬ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﺧﺗرق ﺑﺗﺣﻣﯾل ورﻓﻊ اﻟﻣﻠﻔﺎت‪ ،‬واﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺑﯾﺎﻧﺎت واﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺧﺗرق‬
‫• ‪Clearing Tracks‬‬

‫ﺗﺷﯾر إﻟﻰ اﻷﻧﺷطﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ اﻟﻣﺧﺗرق ﻹﺧﻔﺎء دﺧوﻟﮫ إﻟﻰ اﻟﻧظﺎم‪ ،‬ﺑﺳﺑب اﻟﺣﺎﺟﺔ ﻟﻠﺑﻘﺎء ﻟﻔﺗرات طوﯾﻠﺔ‪ ،‬وﻣواﺻﻠﺔ اﺳﺗﺧدام اﻟﻣوارد‪ ،‬وﺗﺷﺗﻣل‬
‫إﺧﻔﺎء ﺑﯾﺎﻧﺎت اﻟدﺧول واﻟﺗﻐﯾﯾر ﻓﻲ ﻣﻠف ‪.Log‬‬

‫‪) TYPE OF ATTACKS 1.6‬أﻧﻮاع اﻟﮭﺠﻤﺎت(‬

‫ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن اﻟدﺧول إﻟﻰ اﻟﻧظﺎم‪ .‬وﯾﺟب أن ﯾﻛون اﻟﮭﺎﻛر ﻗﺎدرا ﻋﻠﻰ اﻛﺗﺷﺎف ﻧﻘﺎط اﻟﺿﻌف واﻟﺛﻐرات ﻓﻲ‬
‫اﻟﻧظﺎم ﺣﺗﻰ ﯾﺗﻣﻛن ﻣن اﻟدﺧول‪ .‬وﻣن ھذه اﻟطرق ﻛﺎﻻﺗﻰ‪:‬‬

‫‪ :Operating System attacks-1‬ﺣﯾث ھﻧﺎ ﯾﺑﺣث اﻟﻣﮭﺎﺟم ﻋن ﺛﻐرات ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل )‪ (OS vulnerabilities‬وﯾﺳﺗﺧدم‬
‫ھذه اﻟﺛﻐرات ﻟﻠدﺧول إﻟﻰ ﻧظﺎم اﻟﺷﺑﻛﺔ‪.‬‬
‫‪ :Application-level attacks-2‬إن ﻣﻌظم اﻟﺗطﺑﯾﻘﺎت‪/‬اﻟﺑراﻣﺞ ﺗﺄﺗﻲ ﻣﻊ وظﺎﺋف وﻣﯾزات ﻻ ﺗﻌد وﻻ ﺗﺣﺻﻰ‪ .‬وﻟﻛن ﻣﻊ ﻧدرة ﻣن‬
‫اﻟوﻗت ﻹﺟراء اﺧﺗﺑﺎر ﻛﺎﻣل ﻗﺑل ﺧروج اﻟﻣﻧﺗﺞ إﻟﻰ اﻟﺳوق‪ .‬ﯾؤدى اﻟﻰ ان ھذه اﻟﺗطﺑﯾﻘﺎت ﯾﻛون ﻟدﯾﮭﺎ ﺑﻌض ﻣن ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﺧﺗﻠﻔﺔ واﻟﺗﻲ ﻗد‬
‫ﺗﺻﺑﺢ ﻣﺻدرا ﻟﻠﮭﺟوم ﻣن ﻗﺑل اﻟﮭﺎﻛر‪.‬‬
‫‪ :Misconfiguration attacks-3‬ﻣﻌظم ﻣدﯾري اﻷﻧظﻣﺔ )‪ (Admin‬ﻻ ﯾﻣﻠﻛون اﻟﻣﮭﺎرات اﻟﺿرورﯾﺔ ﻣن اﺟل ﺻﯾﺎﻧﺔ أو‬
‫إﺻﻼح ﺑﻌض اﻟﻣﺳﺎﺋل‪/‬اﻟﻘﺿﺎﯾﺎ‪ ،‬واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ أﺧطﺎء ﻓﻲ ﻋﻣﻠﯾﺎت اﻹﻋداد‪ .‬ﺑﻌض ھذه اﻷﺧطﺎء ﻣن اﻟﻣﻣﻛن أن ﺗﻛون ﻣﺻدرا‬
‫ﻟﻠﻣﮭﺎﺟم ﻟﻠدﺧول إﻟﻰ اﻟﺷﺑك ھﺎو اﻟﻧظﺎم اﻟذي ﯾﺳﺗﮭدﻓﮫ‪.‬‬
‫‪ :Shrink wrap code attacks-4‬ﺗطﺑﯾﻘﺎت أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﺄﺗﻰ ﺑﺎﻟﻌدﯾد ﻣن ﻣﻠﻔﺎت اﻻﺳﻛرﯾﺑت اﻟﻣﺑﺳطﺔ ﻟﻛﻲ ﺗﺳﮭل اﻟﻌﻣل ﻋﻠﻰ‬
‫ﻣدﯾري اﻷﻧظﻣﺔ )‪ ،(Admin‬وﻟﻛن ﻣﺛل ھذه اﻻﺳﻛرﺑﺎت ﺗﺣﺗوي أﯾﺿﺎ ﻋﻠﻰ اﻟﻌدﯾد ﻣن اﻟﺛﻐرات واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ ھذ اﻟﻧوع ﻣن‬
‫اﻟﮭﺟوم‪.‬‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪15‬‬

‫‪OPERATING SYSTEM ATTACKS-1‬‬

‫أﻧظﻣﺔ اﻟﺗﺷﻐﯾل‪ ،‬واﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ اﻟﯾوم ﻣﻊ اﻟﻛﺛﯾر ﻣن اﻟﻣﻣﯾزات‪ ،‬أﺻﺑﺣت ﺗزداد ﺗﻌﻘﯾدا‪ .‬وﻣﻊ اﻻﺳﺗﻔﺎدة ﻣن اﻟﻛﺛﯾر ﻣن ھذه اﻟﻣﻣﯾزات اﻟﺗﻲ‬
‫ﺗوﻓرھﺎ ھذه اﻷﻧظﻣﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن‪ ،‬ﺗﺟﻌل اﻟﻧظﺎم ﻋرﺿﺔ ﻟﻣزﯾد ﻣن ﻧﻘﺎط اﻟﺿﻌف‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﻋرﺿﮫ ﻟﻠﻘراﺻﻧﺔ‪ .‬أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﻌﻣل‬
‫ﻋﻠﻰ ﺗﺷﻐﯾل اﻟﻌدﯾد ﻣن اﻟﺧدﻣﺎت ﻣﺛل واﺟﮭﺎت اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ)‪ .(GUI‬وھذه ﺗدﻋم اﺳﺗﺧدام اﻟﻣﻧﺎﻓذ ‪ ports‬وطرﯾﻘﺔ اﻟوﺻول إﻟﻰ ﺷﺑﻛﺔ‬
‫اﻹﻧﺗرﻧت‪ ،‬ﻟذﻟك ﻓﮭذه ﺗﺗطﻠب اﻟﻛﺛﯾر ﻣن اﻟﺗﻐﯾر واﻟﺗﺑدﯾل ﻟﻠﺗﺣﻛم ﻓﻲ ھذا‪ .‬ھﻧﺎ ﯾﺑﺣث اﻟﻣﮭﺎﺟم ﻋن ﺛﻐرات ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل )‪(OS vulnerabilities‬‬
‫وﯾﺳﺗﺧدم ھذه اﻟﺛﻐرات ﻟﻠدﺧول إﻟﻰ ﻧظﺎم اﻟﺷﺑﻛﺔ‪ .‬ﻹﯾﻘﺎف اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﻟدﺧول إﻟﻰ ﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟﺧﺎﺻﺔ ﺑك‪ ،‬ﻓﺈن ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ أو اﻟﻧظﺎم‬
‫ﻻﺑد ﻟﮭم ﻣن ﻣواﻛﺑﺔ اﻻﻛﺗﺷﺎﻓﺎت واﻟطرق اﻟﺟدﯾدة اﻟﻣﺧﺗﻠف واﻟﻣﺗﺑﻌﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن وﻣراﻗﺑﺔ اﻟﺷﺑﻛﺔ ﺑﺷﻛل ﻣﺳﺗﻣر‪ .‬ﺗطﺑﯾﻖ اﻟﺗﺻﺣﯾﺣﺎت‬
‫واﻹﺻﻼﺣﺎت ﻟﯾﺳت ﺳﮭﻠﺔ ﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر ﻷﻧﮭﺎ ﺷﺑﻛﺔ ﻣﻌﻘده‪.‬‬
‫ﻣﻌظم ﻣﺳﺗﺧدﻣﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﯾﻘوﻣون ﺑﺗﺛﺑﯾت اﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت واﻟﺗﻲ ﺗﻘوم ﺑﻌﺿﮭﺎ ﺑﻔﺗﺢ ﺑﻌض اﻟﻣﻧﺎﻓذ ‪ ports‬اﻓﺗراﺿﯾﺎ‪ .‬واﻟﺗﻲ ﺗﺳﮭل‬
‫ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﻛﺗﺷﺎف اﻟﻌدﯾد ﻣن اﻟﺛﻐرات‪ .‬ﺗﺛﺑﯾت اﻟﺑﺎﺗﺷﺎت ‪ patches‬وﻣﻠﻔت اﻹﺻﻼح ‪ fix-file‬ﻟم ﯾﻌد ﺳﮭﻼ ﻣﻊ ﺗﻌﻘﯾدات اﻟﺷﺑﻛﺔ‬
‫اﻟﻣوﺟودة ﻓﻲ ھذه اﻷﯾﺎم‪ .‬وأﯾﺿﺎ ﻣﻌظم اﻟﺑﺎﺗﺷﺎت ﺗﻌﻣل ﻋﻠﻰ ﺣل اﻟﻣﺷﺎﻛل واﻟﺛﻐرات اﻟﺣﺎﻟﯾﺔ وﻟﻛن ﻻ ﯾﻣﻛن اﻋﺗﺑﺎره اﻟﺣل اﻟداﺋم‪.‬‬
‫ﺑﻌض ﻣن ھذه اﻟﮭﺟﻣﺎت ﺗﺷﻣل اﻻﺗﻲ‪:‬‬
‫‪Buffer overflow vulnerabilities‬‬ ‫‪Bugs in the operating system‬‬
‫‪Unpatched operating system‬‬ ‫‪Exploiting specific network protocol implementation‬‬
‫‪Attacking built-in authentication systems Breaking file system security‬‬
‫‪Cracking passwords and encryption mechanisms‬‬

‫‪APPLICATION-LEVEL ATTACKS-2‬‬

‫ﯾﺗم إﺻدار اﻟﺗطﺑﯾﻘﺎت إﻟﻰ ﺳوق اﻟﻌﻣل ﻣﻊ اﻟﻌدﯾد ﻣن اﻟﻣﻣﯾزات واﻟﻌدﯾد ﻣن اﻷﻛواد اﻟﻣﻌﻘدة‪ .‬وﻣﻊ اﻟطﻠب اﻟﻣﺗزاﯾد ﻟﻠﺗطﺑﯾﻘﺎت ﻟﻣﺎ ﺗﺣﻣﻠﮫ ﻣن‬
‫وظﺎﺋف وﻣﯾزات‪ ،‬أدى إﻟﻰ إھﻣﺎل ﻣطوري اﻟﺗطﺑﯾﻘﺎت اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻠﺗطﺑﯾﻖ‪ ،‬واﻟذي أﻋطﻰ اﻟﻔرﺻﺔ ﻟوﺟود اﻟﻌدﯾد ﻣن اﻟﺛﻐرات‪ .‬اﻟﮭﺎﻛر ﯾﻌﻣل‬
‫ﻋﻠﻰ اﻛﺗﺷﺎف ھذه اﻟﺛﻐرات اﻟﻣوﺟود ﻓﻲ اﻟﺗطﺑﯾﻘﺎت ﺑﺎﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﻷدوات واﻟﺗﻘﻧﯾﺎت‪.‬‬

‫اﻟﺗطﺑﯾﻘﺎت ﻟﻣﺎ ﺑﮭﺎ ﻣن ﺛﻐرات ﺗﺻﺑﺢ ﻋرض ﻟﻠﮭﺟﻣﺎت ﻣن ﻗﺑل اﻟﮭﺎﻛر ﻧﺗﯾﺟﺔ اﻷﺳﺑﺎب اﻷﺗﯾﺔ‪:‬‬
‫‪ .1‬ﻟﻣطوري اﻟﺑراﻣﺞ اﻟﺟداول اﻟزﻣﻧﯾﺔ اﻟﺿﯾﻘﺔ ﻟﺗﺳﻠﯾم اﻟﻣﻧﺗﺟﺎت ﻓﻲ اﻟوﻗت اﻟﻣﺣدد )‪ (tight schedules to deliver‬واﻟذي ﯾؤدى إﻟﻰ‬
‫ظﮭور اﻟﺗطﺑﯾﻘﺎت ﻓﻲ ﺳوق اﻟﻌﻣل ﺑدون اﻻﺧﺗﺑﺎرات اﻟﻛﺎﻓﯾﺔ ﻋﻠﯾﮫ‪.‬‬
‫‪ .2‬ﺗطﺑﯾﻘﺎت اﻟﺑراﻣﺞ ﺗﺄﺗﻰ ﻣﻊ اﻟﻌدﯾد ﻣن اﻟوظﺎﺋف واﻟﻣزاﯾﺎ‪.‬‬
‫‪ .3‬ﻟﯾس ھﻧﺎك ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻟوﻗت ﻷداء اﺧﺗﺑﺎر ﻛﺎﻣل ﻗﺑل اﻹﻓراج ﻋن اﻟﻣﻧﺗﺟﺎت )‪.(dearth of time‬‬
‫‪ .4‬اﻷﻣن ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﺗﻛون ﻣرﺣﻠﺔ ﻻﺣﻘﺔ‪ ،‬وﯾﺗم ﺗﺳﻠﯾﻣﮭﺎ ﻓﯾﻣﺎ ﺑﻌد ﺑﺎﻋﺗﺑﺎرھﺎ ﻋﻧﺎﺻر إﺿﺎﻓﯾﺔ)‪. (add-on component‬‬

‫ﺿﻌف أو ﻋدم وﺟود ﺧطﺄ اﻟﺗدﻗﯾﻖ )‪ (poor or nonexistent error checking‬ﻓﻲ اﻟﺗطﺑﯾﻘﺎت اﻣر ﯾؤدى إﻟﻰ اﻻﺗﻲ‪:‬‬
‫‪) Buffer overflow attacks .1‬اﻟﮭﺟوم ﺑﺈﻏراق ذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت(‬
‫‪Active content .2‬‬
‫‪Cross-site scripting .3‬‬
‫‪Denial-of service and SYN attacks .4‬‬
‫‪SQL injection attacks .5‬‬
‫‪Malicious bots .6‬‬

‫ﺑﻌض اﻟﮭﺟﻣﺎت اﻷﺧرى اﻟﺗﻲ ﺗﻛون ﻋﻠﻰ ﻣﺳﺗوى اﻟﺗطﺑﯾﻘﺎت ﻛﺎﻻﺗﻰ‪:‬‬

‫‪Phishing .1‬‬
‫‪Session hijacking .2‬‬
‫‪Man-in-the middle attacks .3‬‬
‫‪Parameter/from tampering .4‬‬
‫‪Directory traversal attacks .5‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪16‬‬

‫اﻣﺛﻠﮫ ﻋﻠﻰ اﻟﮭﺟﻣﺎت ﻋﻠﻰ ﻣﺳﺗوى اﻟﺗطﺑﯾﻘﺎت‪:‬‬

‫‪Session Hijacking-1‬‬

‫‪denial of service-2‬‬

‫‪MISCONFIGURATION ATTACKS-3‬‬

‫ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻹﻋداد )‪ (misconfiguration‬ﯾؤﺛر ﻋﻠﻰ ﻣﻠﻘﻣﺎت‪/‬ﺳﯾرﻓرات اﻟوﯾب‪ ،‬وﻣﻧﺻﺎت اﻟﺗطﺑﯾﻖ‪ ،‬وﻗواﻋد اﻟﺑﯾﺎﻧﺎت‪ ،‬واﻟﺷﺑﻛﺎت‪ ،‬أو‬
‫اﻹطﺎرات)‪ (framework‬اﻟﺗﻲ ﻗد ﺗؤدي إﻟﻰ اﻟدﺧول‪ /‬اﻟﻐﯾر اﻟﻣﺷروع ‪ illegal access‬أو اﺣﺗﻣﺎﻟﯾﺔ اﻣﺗﻼك اﻟﻧظﺎم‪ .‬إذا ﺗم إﻋداد اﻟﻧظﺎم ﺑﺷﻛل‬
‫ﺧﺎطﺊ‪ ،‬ﻣﺛل ﻋﻧدﻣﺎ ﯾﺗم ﺗﻐﯾﯾر ﻓﻲ ﺗﺻرﯾﺣﺎت‪/‬أذوﻧﺎت اﻟﻣﻠف‪ ،‬ﻓﯾؤدى إﻟﻰ ﺟﻌﻠﮫ ﻏﯾر آﻣن‪.‬‬

‫‪SHRINK WRAP CODE ATTACKS-4‬‬

‫ﻋﻧد ﺗﺛﺑﯾت ﻧظﺎم اﻟﺗﺷﻐﯾل أو اﻟﺗطﺑﯾﻘﺎت ﻓﺎﻧﮫ ﯾﺄﺗﻲ ﻣﻊ اﻟﻌدﯾد ﻣن اﻻﺳﻛرﺑﺎت واﻟﺗﻲ ﺗﺳﮭل ﻋﻠﻰ ‪ Admin‬اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ‪ .‬وﻟﻛن اﻟﻣﺷﻛﻠﺔ ھﻧﺎ " ﻟﯾﺳت‬
‫ﺿﺑط " أو ﺗﺧﺻﯾص ھذه اﻻﺳﻛرﺑﺎت اﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﺗؤدى إﻟﻰ اﻟرﻣوز اﻻﻓﺗراﺿﯾﺔ أو ھﺟوم ‪.shrink-wrap code‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪17‬‬

‫إذا ﻛﺎن اﻟﻣﺗﺳﻠل ھو أو ھﻲ ﯾرﯾد اﻟدﺧول ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻓﺎﻧت ﻟن ﺗﺳﺗطﯾﻊ أن ﺗﻔﻌل ﺷﻲء أﻣﺎم ھذا وﻟﻛن اﻟﺷﻲء اﻟوﺣﯾد اﻟذي ﯾﻣﻛﻧك‬
‫اﻟﻘﯾﺎم ﺑﮫ ھو ﺟﻌل اﻷﻣر أﻛﺛر ﺻﻌوﺑﺔ ﻋﻠﯾﮫ ﻟﻠﺣﺻول ﻋﻠﻰ ﻧظﺎﻣك‪.‬‬

‫‪) INFORMATION SECURITY CONTROL 1.7‬اﻟﺘﺤﻜﻢ ﻓﻲ اﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت(‬

‫• ﻟﻣﺎذا اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ﺿروري وﻣﮭم؟‬

‫ھﻧﺎك ﻧﻣو ﺳرﯾﻊ ﻓﻲ ﻣﺟﺎل اﻟﺗﻛﻧوﻟوﺟﯾﺎ‪ ،‬ﻟذﻟك ھﻧﺎك ﻧﻣو ﻓﻲ اﻟﻣﺧﺎطر اﻟﻣرﺗﺑطﺔ ﺑﺎﻟﺗﻛﻧوﻟوﺟﯾﺎ‪ ،‬واﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ ﯾﺳﺎﻋد ﻋﻠﻰ اﻟﺗﻧﺑؤ ﺑﻣﺧﺗﻠف‬
‫ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﺣﺗﻣﻠﺔ ﻓﻲ وﻗت ﻣﺑﻛر وﺗﺻﺣﯾﺣﮭﺎ دون ﺗﻛﺑد أي ﻧوع ﻣن اﻟﮭﺟﻣﺎت اﻟﻘﺎدﻣﺔ ﻣن اﻟﺧﺎرج‪.‬‬

‫اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ)‪ : (ethical hacking‬ﻣﺛل اﻟﻘرﺻﻧﺔ ﯾﺷﻣل اﻟﺗﻔﻛﯾر اﻹﺑداﻋﻲ‪ ،‬واﺧﺗﺑﺎر ﻣواطن اﻟﺿﻌف واﻟﺗدﻗﯾﻖ اﻷﻣﻧﻲ اﻟذي ﻻ ﯾﻣﻛﻧﮫ‬
‫اﻟﺗﺄﻛد ﻣن أن اﻟﺷﺑﻛﺔ آﻣﻧﺔ‪.‬‬

‫اﺳﺗراﺗﯾﺟﯾﺔ اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ )‪ :(Defense-in-Depth Strategy‬ﻟﺗﺣﻘﯾﻖ ذﻟك‪ ،‬ﺗﺣﺗﺎج اﻟﻣﻧظﻣﺎت ﻟﺗﻧﻔﯾذ اﺳﺗراﺗﯾﺟﯾﺔ "اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ"‬
‫ﻋن طرﯾﻖ اﺧﺗراق ﺷﺑﻛﺎﺗﮭم ﻟﺗﻘدﯾر ﻣواطن اﻟﺿﻌف وﻋرﺿﮭم ﻟﮭذه‪.‬‬

‫اﻟﮭﺟوم اﻟﻣﺿﺎد )‪ :(Counter the Attacks‬اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ھو ﺿروري ﻷﻧﮫ ﯾﺳﻣﺢ ﺑﻣﺟﺎﺑﮭﺔ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﯾﺷﻧﮭﺎ اﻟﻘراﺻﻧﺔ اﻟﺧﺑﯾﺛﺔ‬
‫ﺑطرﯾﻘﺔ اﻟﺗوﻗﻊ )‪ (anticipating methods‬واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻻﻗﺗﺣﺎم ﻧظﺎم‪.‬‬
‫• اﻟﻣﺧﺗرق اﻷﺧﻼﻗﻲ ﯾﺣﺎول أن ﯾﺟﺎوب ﻋﻠﻰ اﻷﺳﺋﻠﺔ اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫• ﻣﺎذا ﯾﻣﻛن أن ﯾرى اﻟدﺧﯾل ﻋﻠﻰ ﻧظﺎم اﻟﮭدف؟‬
‫ﻣراﺣل اﻻﺳﺗطﻼع واﻟﻣﺳﺢ )‪(reconnaissance and scanning‬‬
‫• ﻣﺎ اﻟذي ﯾﻣﻛن أن ﯾﻘوم ﺑﮫ اﻟﻣﺗﺳﻠل ﺑﮭذه اﻟﻣﻌﻠوﻣﺎت؟‬
‫ﻣراﺣل اﻟوﺻول واﻟﻣﺣﺎﻓظﺔ ﻋﻠﻰ اﻟوﺻول )‪(Gaining Access and Maintaining Access‬‬
‫• ھل ﯾوﺟد دﺧﯾل ﻋﻠﻰ اﻟﻧظﺎم؟‬
‫ﻣراﺣل اﻻﺳﺗطﻼع وﺗﻐطﯾﺔ اﻷﺛر )‪(reconnaissance and covering tracks‬‬
‫• ھل ﺟﻣﯾﻊ أﺟزاء ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﯾﺗم ﺣﻣﯾﺎﺗﮫ وﺗﺣدﯾﺛﮫ وﺗﻣﻛﯾن اﻟﺑﺎﺗﺷﺎت ﺑﺎﺳﺗﻣرار؟‬
‫• ھل ﻣﻘﺎﯾس اﻣن اﻟﻣﻌﻠوﻣﺎت ﻣﻣﺗﺛﻠﮫ ﻟﻣﻌﺎﯾر اﻟﺻﻧﺎﻋﺔ واﻟﻘﺎﻧون؟‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪18‬‬

‫• ﻟﻣﺎذا ﺗﻘوم اﻟﻣؤﺳﺳﺎت ﺑﺗﻌﯾن اﻟﻣﺧﺗرﻗﯾن اﻷﺧﻼﻗﯾﯾن؟‬

‫‪ .1‬ﻟﻣﻧﻊ اﻟﻘراﺻﻧﺔ ﻣن اﻟدﺧول إﻟﻰ ﻗﺳم اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ .2‬ﻟﻣﻛﺎﻓﺣﺔ اﻹرھﺎب وﻣﺧﺎﻟﻔﺎت اﻷﻣن اﻟﻘوﻣﻲ‪.‬‬
‫‪ .3‬ﻟﺑﻧﺎء ﻧظﺎم ﯾﻛون ﻗﺎدر ﻋﻠﻰ ﺗﻔﺎدى ھﺟﻣﺎت اﻟﻘراﺻﻧﺔ‪.‬‬
‫‪ .4‬ﻻﺧﺗﺑﺎر اﻟوﺿﻊ اﻷﻣﻧﻲ ﻟﻠﻣؤﺳﺳﺎت واﻟﻣﻧظﻣﺎت‪.‬‬

‫ﻧطﺎق وﺣدود اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن )‪(SCOPE AND LIMITATIONS OF THE ETHICAL HACKERS‬‬

‫‪SCOPE‬‬

‫ﻣﺎ ﯾﻠﻲ ﻧطﺎق اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ‪:‬‬

‫• اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ ھو ﻋﻧﺻر ﺣﺎﺳم ﻟﺗﻘﯾﯾم اﻟﻣﺧﺎطر‪ ،‬وﻣراﺟﻌﺔ اﻟﺣﺳﺎﺑﺎت‪ ،‬وﻣﻛﺎﻓﺣﺔ اﻻﺣﺗﯾﺎل‪ ،‬وأﻓﺿل اﻟﻣﻣﺎرﺳﺎت‪ ،‬واﻟﺣﻛم اﻟﺟﯾد‪.‬‬
‫• ﯾﺗم اﺳﺗﺧداﻣﮫ ﻟﺗﺣدﯾد اﻟﻣﺧﺎطر وﺗﺳﻠﯾط اﻟﺿوء ﻋﻠﻰ اﻹﺟراءات اﻟﻌﻼﺟﯾﺔ‪ ،‬واﻟﺣد ﻣن ﺗﻛﺎﻟﯾف ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت‬
‫واﻻﺗﺻﺎﻻت )‪(ICT‬ﻋن طرﯾﻖ إﯾﺟﺎد ﺣل ﻟﺗﻠك اﻟﺛﻐرات‪.‬‬

‫‪LIMITATIONS‬‬

‫ﻣﺎ ﯾﻠﻲ ﺣدود اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ‪:‬‬

‫• ﻣﺎ ﻟم ﺗﻌرف اﻟﺷرﻛﺎت أوﻻ ﻣﺎ اﻟذي ﯾﺑﺣﺛون ﻋﻧﮫ‪ ،‬وﻟﻣﺎذا ﯾﺗﻌﺎﻗدون ﻣﻊ ﻣورد ﺧﺎرﺟﻲ ﻻﺧﺗراق اﻷﻧظﻣﺔ ﻓﻲ اﻟﻣﻘﺎم اﻷول؛ وھﻧﺎك‬
‫اﺣﺗﻣﺎﻻت ﺑﺄن ﻟن ﯾﻛون ھﻧﺎك اﻟﻛﺛﯾر ﻟﺗﻛﺳﺑﮫ ﻣن ﺧﺑرة‪.‬‬
‫• ﻟذا اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن اﻟوﺣﯾدﯾن اﻟذﯾن ﯾﻣﻛﻧﮭم أن ﯾﺳﺎﻋدوا اﻟﻣﻧظﻣﺎت ﻟﻔﮭم أﻓﺿل ﻷوﺿﺎﻋﮭم اﻷﻣﻧﯾﺔ‪ ،‬وﻟﻛن اﻷﻣر ﻣﺗروك ﻟﻠﻣﻧظﻣﺔ‬
‫ﻟوﺿﻊ اﻟﺿﻣﺎﻧﺎت اﻷﻣﻧﯾﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪.‬‬

‫ﻣﮭﺎرات اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ‪:ETHICAL HACKER SKILLS‬‬

‫اﻟﻘرﺻﻧﺔ اﻷﺧﻼﻗﯾﺔ ھﻲ ﻋﻣﻠﯾﺔ ﻗﺎﻧوﻧﯾﮫ ﯾﺗم ﺗﻧﻔﯾذھﺎ ﺑواﺳطﺔ ‪ pen tester‬ﻹﯾﺟﺎد ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﺑﯾﺋﺔ ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت‪ .‬وﻟﻛﻲ ﯾﺗم ھذا‬
‫ﯾﺟب أن ﯾﺗﻣﺗﻊ اﻟﮭﺎﻛر اﻷﺧﻼﻗﻲ ﺑﺑﻌض اﻟﻣﮭﺎرات ﻛﺎﻻﺗﻰ‪:‬‬
‫‪ .1‬ﺧﺑﯾر ﻓﻲ ﻣﺟﺎل اﻟﺣوﺳﺑﺔ وﺑﺎرع ﻓﻲ ﻣﺟﺎﻻت اﻟﺗﻘﻧﯾﺔ‪.‬‬
‫‪ .2‬ﯾﻣﻠك ﻣﻌﻠوﻣﺎت ﻗوﯾﺔ ﻓﻲ ﻋﻠم اﻟﺑرﻣﺟﺔ واﻟﺷﺑﻛﺎت‪.‬‬
‫‪ .3‬ﻣﻌرﻓﺗﮫ اﻟﻣﺗﻌﻣﻘﺔ ﻟﻸﺷﯾﺎء اﻟﻣﺳﺗﮭدﻓﺔ‪ ،‬ﻣﺛل وﯾﻧدوز وﯾوﻧﻛس وﻟﯾﻧﻛس‪.‬‬
‫‪ .4‬ﻟدﯾﺔ ﻣﻌرﻓﺔ ﻣﺛﺎﻟﯾﺔ ﻹﻗﺎﻣﺔ اﻟﺷﺑﻛﺎت واﻷﺟﮭزة ذات اﻟﺻﻠﺔ واﻟﺑرﻣﺟﯾﺎت‪.‬‬
‫‪ .5‬ﻟدﯾﺔ ﻣﻌرﻓﺔ ﻣﺛﺎﻟﯾﺔ ﻓﻲ اﻷﺟﮭزة واﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﻗدﻣت ﻋن طرﯾﻖ ﺑﺎﺋﻌﻲ اﻟﻛﻣﺑﯾوﺗر وأﺟﮭزة اﻟﺷﺑﻛﺎت ذات ﺷﻌﺑﯾﺔ‪.‬‬
‫‪ .6‬ﻟﯾس ﻣن اﻟﺿروري أن ﯾﺣﻣل ﻣﻌرﻓﮫ إﺿﺎﻓﯾﺔ ﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻟوﺿﻊ اﻷﻣﻧﻲ‪.‬‬
‫‪ .7‬ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻋﻠﻰ دراﯾﺔ ﺑﺑﺣوث اﻟﺿﻌف‪.‬‬
‫‪ .8‬ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻟدﯾﮫ اﻟﺳﯾﺎدة ﻓﻲ ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت اﻻﺧﺗراق أو اﻟﻘرﺻﻧﺔ‪.‬‬
‫‪ .9‬ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻋﻠﻰ اﺳﺗﻌداد ﻻﺗﺑﺎع ﺳﻠوك ﺻﺎرم إذا اﺣﺗﺎج اﻷﻣر ﻟﮭذا‪.‬‬

‫‪) DEFENSE-IN-DEPTH‬اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ(‬

‫ﯾﺗم اﺗﺧﺎذ اﻟﻌدﯾد ﻣن اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﻟﻠدﻓﺎع ﻣن اﻟﻌﻣﻖ )‪ (Defense-in-Depth‬ﻟﺣﻣﺎﯾﺔ أﺻول اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺷرﻛﺔ‪ .‬وﺗﺳﺗﻧد ھذه‬
‫اﻻﺳﺗراﺗﯾﺟﯾﺔ ﻋﻠﻰ ﻣﺑدأ ﻋﺳﻛري أﻧﮫ ﻣن اﻟﺻﻌب ﻋﻠﻰ اﻟﻌدو ھزﯾﻣﺔ ﻧظﺎم دﻓﺎﻋﻲ ﻣﻌﻘد وﻣﺗﻌدد اﻟطﺑﻘﺎت ﻣن اﺧﺗراق ﺣﺎﺟز واﺣد‪ .‬إذا ﺣدث‬
‫واﺳﺗطﺎع اﻟﮭﺎﻛر اﻟوﺻول إﻟﻰ اﻟﻧظﺎم‪ ،‬ﻓﺈن اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ )‪ (Defense-in-Depth‬ﯾﻘﻠل اﻟﺗﺄﺛﯾر اﻟﺳﻠﺑﻲ وﯾﻌطﻲ اﻹدارﯾﯾن واﻟﻣﮭﻧدﺳﯾن‬
‫اﻟوﻗت ﻟﻧﺷر ﻣﺿﺎدات ﺟدﯾدة أو ﻣﺣدﺛﺔ ﻟﻣﻧﻊ ﺗﻛرار ھذا اﻻﺧﺗراق ﻣرة أﺧرى‪.‬‬
‫• اﻟدﻓﺎع ﻣن اﻟﻌﻣﻖ )‪ (Defense-in-Depth‬ھﻲ اﺳﺗراﺗﯾﺟﯾﺔ اﻷﻣن اﻟﺗﻲ ﺗوﺿﻊ ﻋدة طﺑﻘﺎت واﻗﯾﺔ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫• ﯾﺳﺎﻋد ﻋﻠﻰ ﻣﻧﻊ وﻗوع ھﺟﻣﺎت ﻣﺑﺎﺷرة ﺿد ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت واﻟﺑﯾﺎﻧﺎت ﺑﺳﺑب ﻛﺳر طﺑﻘﺔ واﺣدة ﻻ ﯾؤدي إﻻ اﻧﺗﻘﺎل اﻟﻣﮭﺎﺟم إﻟﻰ‬
‫اﻟطﺑﻘﺔ اﻟﺗﺎﻟﯾﺔ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪19‬‬

‫‪) INCIDENT MANAGEMENT PROCESS‬ﻋﻣﻠﯾﺔ اﻹدارة اﻟطﺎرﺋﺔ(‬

‫ھﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﻣﺣددة ﻟﺗﺣدﯾد وﺗﺣﻠﯾل‪ ،‬وﺗﺣدﯾد اﻷوﻟوﯾﺎت‪ ،‬وﺗﺳوﯾﺔ اﻟﺣوادث اﻷﻣﻧﯾﺔ ﻻﺳﺗﻌﺎدة اﻟﻧظﺎم إﻟﻰ ﻋﻣﻠﯾﺎت اﻟﺧدﻣﺔ اﻟﻌﺎدﯾﺔ‬
‫ﻓﻲ أﻗرب وﻗت ﻣﻣﻛن وﻣﻧﻊ ﺗﻛرار ﻧﻔس اﻟﺣﺎدث‪.‬‬

‫اﻟﻐرض ﻣن ﻋﻣﻠﯾﺔ إدارة اﻟﺣوادث ﻛﺎﻻﺗﻰ‪:‬‬

‫• ‪) improves service quality‬ﺗﺣﺳﯾن ﺟودة اﻟﺧدﻣﺔ(‬
‫• ‪) Pro-active problem resolution‬ﺣل اﻟﻣﺷﺎﻛل اﻻﺳﺗﺑﺎﻗﯾﺔ(‬
‫• ‪) Reduces impact of incidents on business/organization‬ﯾﻘﻠل ﻣن ﺗﺄﺛﯾر اﻟﺣوادث ﻋﻠﻰ اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ‪/‬اﻟﻣﻧظﻣﺎت(‬
‫• ‪) Meets service availability requirements‬ﯾﻠﺗﻘﻲ ﻣﺗطﻠﺑﺎت اﻟﺧدﻣﺔ اﻟﻣﺗواﻓرة(‬
‫• ‪) Increases staff efficiency and productivity‬ﯾزﯾد ﻣن ﻛﻔﺎءة اﻟﻣوظﻔﯾن وإﻧﺗﺎﺟﯾﺗﮭم(‬
‫• ‪) Improves user/customer satisfaction‬ﯾﺣﺳن رﺿﺎ اﻟﻣﺳﺗﺧدم ‪ /‬اﻟﻌﻣﻼء(‬
‫• ‪) Assists in handling future incidents‬ﯾﺳﺎﻋد ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺣوادث ﻓﻲ اﻟﻣﺳﺗﻘﺑل(‬

‫ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻊ أي ﺣﺎدث وﻗﻊ ﻓﻲ ﻣؤﺳﺳﺔ ﻣﺎ وﺣﻠﮭﺎ ﺑﺎﺗﺑﺎع اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ ﻣن ﻗﺑل إدارة اﻟﺣوادث‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪20‬‬

‫‪ INFORMATION SECURITY POLICIES‬ﺳﯾﺎﺳﺎت أﻣن اﻟﻣﻌﻠوﻣﺎت‬

‫ﺳﯾﺎﺳﺔ اﻷﻣن )‪ :(Security Policy‬ھو وﺛﯾﻘﺔ أو ﻣﺟﻣوﻋﺔ ﻣن اﻟوﺛﺎﺋﻖ اﻟﺗﻲ ﺗﺻف اﻟﺿواﺑط اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺗﻧﻔﯾذھﺎ ﻓﻲ اﻟﺷرﻛﺔ ﻋﻠﻰ‬
‫ﻣﺳﺗوى ﻋﺎﻟﻲ ﻟﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ اﻟﺗﻧظﯾﻣﯾﺔ ﻣن اﻟﮭﺟﻣﺎت ﺳواء ﻣن اﻟداﺧل أو اﻟﺧﺎرج‪ .‬ﺗﺣدد ھذه اﻟوﺛﯾﻘﺔ اﻟﮭﯾﻛل اﻷﻣﻧﻲ اﻟﻛﺎﻣل ﻟﻠﻣﻧظﻣﺔ‪ ،‬وﺗﺷﻣل‬
‫اﻟوﺛﯾﻘﺔ أھداف واﺿﺣﺔ‪ ،‬واﻷھداف واﻟﻘواﻋد واﻷﻧظﻣﺔ واﻹﺟراءات اﻟرﺳﻣﯾﺔ‪ ،‬وھﻠم ﺟرا‪.‬‬
‫ھذه اﻟﺳﯾﺎﺳﺎت ﻣن اﻟواﺿﺢ إﻧﮭﺎ ﺗذﻛر اﻷﺻول اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﺣﻣﺎﯾﺗﮭﺎ واﻟﺷﺧص اﻟذي ﯾﻣﻛﻧﮫ ﺗﺳﺟﯾل اﻟدﺧول واﻟوﺻول إﻟﯾﮭﺎ‪ ،‬اﻟذﯾن ﯾﻣﻛن ﻋرض‬
‫اﻟﺑﯾﺎﻧﺎت اﻟﻣﺣددة‪ ،‬ﻓﺿﻼ ﻋن اﻟﻧﺎس اﻟذﯾن ﯾﺳﻣﺢ ﻟﮭم ﺑﺗﻐﯾﯾر اﻟﺑﯾﺎﻧﺎت‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ .‬ﻣن دون ھذه اﻟﺳﯾﺎﺳﺎت‪ ،‬ﻓﺈﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﺣﻣﺎﯾﺔ اﻟﺷرﻛﺔ‬
‫ﻣن اﻟدﻋﺎوى اﻟﻘﺿﺎﺋﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ‪ ،‬اﻟﻌﺎﺋدات اﻟﻣﻔﻘودة‪ ،‬وھﻠم ﺟرا‪.‬‬
‫ﻌرف اﻻﺳﺗﺧدام اﻟﻣﻘﺑول أو اﻟﻣرﺿﻲ ﻟﺟﻣﯾﻊ اﻟوﺳﺎﺋط اﻹﻟﻛﺗروﻧﯾﺔ ﻓﻲ اﻟﻣﻧظﻣﺔ‪.‬‬ ‫ﻋﻠﻰ وﺟﮫ اﻟﻌﻣوم ﺳﯾﺎﺳﺔ اﻷﻣن ھﻲ اﻟﺧطﺔ اﻟﺗﻲ ﺗ ٌ ّ‬
‫ﺳﯾﺎﺳﺎت اﻷﻣن ھﻲ أﺳﺎس اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻷﻣﻧﯾﺔ)‪ . (Security infrastructure‬ھذه اﻟﺳﯾﺎﺳﺎت ﺗﻌﻣل ﻋﻠﻰ ﺗﺄﻣﯾن وﺣﻣﺎﯾﺔ ﻣوارد اﻟﻣﻌﻠوﻣﺎت‬
‫ﻟﻠﻣؤﺳﺳﺔ وﺗوﻓﯾر اﻟﺣﻣﺎﯾﺔ اﻟﻘﺎﻧوﻧﯾﺔ ﻟﻠﻣﻧظﻣﺔ‪ .‬ھذه اﻟﺳﯾﺎﺳﺎت ﻣﻔﯾدة ﻓﻲ اﻟﻣﺳﺎﻋدة ﻓﻲ ﺗﺣﻘﯾﻖ اﻟوﻋﻲ ﻟﻠﻣوظﻔﯾن اﻟﻌﺎﻣﻠﯾن ﻓﻲ اﻟﻣؤﺳﺳﺔ ﻋﻠﻰ اﻟﻌﻣل‬
‫ﻣﻌﺎ ﻟﺗﺄﻣﯾن اﺗﺻﺎﻻﺗﮭم‪ ،‬وﻛذﻟك اﻟﺗﻘﻠﯾل ﻣن ﻣﺧﺎطر ﺿﻌف اﻷﻣن ﻣن ﺧﻼل ﻋﺎﻣل اﻷﺧطﺎء اﻟﺑﺷرﯾﺔ ﻣﺛل اﻟﻛﺷف ﻋن ﻣﻌﻠوﻣﺎت ﺣﺳﺎﺳﺔ إﻟﻰ‬
‫ﻣﺻﺎدر ﻏﯾر ﻣﺻرح ﺑﮭﺎ أو ﻏﯾر ﻣﻌروﻓﮫ‪ ،‬اﻻﺳﺗﺧدام اﻟﻐﯾر ﻻﺋﻖ ﻟﻺﻧﺗرﻧت‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﺗوﻓر ھذه اﻟﺳﯾﺎﺳﺎت اﻟﺣﻣﺎﯾﺔ ﺿد‬
‫اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ واﻟﺗﮭدﯾدات اﻟﺧﺑﯾﺛﺔ‪ ،‬واﻻﺳﺗﺧﺑﺎرات اﻷﺟﻧﺑﯾﺔ‪ ،‬وھﻠم ﺟرا‪ .‬أﻧﮭﺎ ﺗﺗﻧﺎول أﺳﺎﺳﺎ اﻷﻣن اﻟﻣﺎدي‪ ،‬وأﻣن اﻟﺷﺑﻛﺎت‪ ،‬أذون اﻟدﺧول‪،‬‬
‫اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت‪ ،‬واﻟﺗﻌﺎﻓﻲ ﻣن اﻟﻛوارث‪.‬‬

‫أھداف اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ)‪: (SECURITY POLICIES‬‬

‫• اﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﺧطوط اﻟﻌرﯾﺿﺔ ﻟﺗﻧظﯾم وإدارة أﻣن اﻟﺷﺑﻛﺎت‪.‬‬
‫• ﺣﻣﺎﯾﺔ ﻣوارد اﻟﺣوﺳﺑﺔ ﻟﻠﻣﻧظﻣﺔ‪.‬‬
‫• اﻟﻘﺿﺎء ﻋﻠﻰ اﻟﻣﺳؤوﻟﯾﺔ اﻟﻘﺎﻧوﻧﯾﺔ ﻣن اﻟﻣوظﻔﯾن أو أي طرف ﺛﺎﻟث‪.‬‬
‫• ﺿﻣﺎن ﺳﻼﻣﺔ اﻟﻌﻣﻼء وﻣﻧﻊ إھدار ﻣوارد اﻟﺣوﺳﺑﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻟﺷرﻛﺔ‪.‬‬
‫• ﻣﻧﻊ اﻟﺗﻌدﯾﻼت اﻟﻐﯾر اﻟﻣﺻرح ﺑﮫ ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت‪.‬‬
‫• اﻟﺣد ﻣن اﻟﻣﺧﺎطر اﻟﻧﺎﺟﻣﺔ ﻋن اﻻﺳﺗﺧدام اﻟﻐﯾر ﻣﺷروع ﻟﻣوارد اﻟﻧظﺎم وﻓﻘدان اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ واﻟﺣﺳﺎﺳﺔ واﻟﻣﻣﺗﻠﻛﺎت اﻟﻣﺣﺗﻣﻠﺔ‪.‬‬
‫• اﻟﺗﻔرﯾﻖ ﻓﻲ ﺣﻘوق اﻟوﺻول ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدم‪.‬‬
‫• ﺣﻣﺎﯾﺔ ﺳرﯾﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ﻣن اﻟﺳرﻗﺔ أو ﺳوء اﻻﺳﺗﺧدام‪ ،‬أو اﻟﻛﺷف اﻟﻐﯾر ﻣﺻرح ﺑﮫ‪.‬‬

‫‪) CLASSIFICATION OF SECURITY POLICY‬ﺗﺻﻧﯾف اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ(‬

‫إن اﺳﺗراﺗﯾﺟﯾﺔ أﻣن اﻟﻣﻌﻠوﻣﺎت‪ ،‬أو ﺳﯾﺎﺳﺔ أﻣن اﻟﻣﻌﻠوﻣﺎت ھﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد اﻟﺗﻲ ﯾطﺑﻘﮭﺎ اﻷﺷﺧﺎص ﻋﻧد اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺗﻘﻧﯾﺔ وﻣﻊ‬
‫اﻟﻣﻌﻠوﻣﺎت داﺧل اﻟﻣﻧﺷﺄة وﺗﺗﺻل ﺑﺷؤون اﻟدﺧول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت واﻟﻌﻣل ﻋﻠﻰ ﻧظﻣﮭﺎ وإدارﺗﮭﺎ‪.‬‬
‫ﻹدارة أﻣﻧﯾﺔ ﻓﻌﺎﻟﺔ‪ ،‬ﻓﺈن اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﯾﺗم ﺗﺻﻧﯾﻔﮭﺎ إﻟﻰ ﺧﻣﺳﺔ ﻣﺟﺎﻻت ﻣﺧﺗﻠﻔﺔ ﻛﺎﻻﺗﻰ‪:‬‬
‫• ‪) User Policy‬اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﻟﻠﻣﺳﺗﺧدم(‬
‫• ھﻲ ﺗﺗﻌﻠﻖ ﺑﺎﻟﻣوظﻔﯾن اﻟﻌﺎﻣﻠﯾن ﻋﻠﻰ اﻟﻧظﺎم اﻟﺗﻘﻧﻲ‪ .‬اﻟﻣﻌﻧﻲ ﻣن ﺣﯾث ﺗوﻓﯾر وﺳﺎﺋل اﻟﺗﻌرﯾف اﻟﺧﺎﺻﺔ ﺑﻛل ﻣﻧﮭم‬
‫وﺗﺣﻘﯾﻖ اﻟﺗدرﯾب واﻟﺗﺄھﯾل ﻟﻠﻣﺗﻌﺎﻣﻠﯾن ﺑوﺳﺎﺋل اﻷﻣن إﻟﻰ ﺟﺎﻧب اﻟوﻋﻲ ﺑﻣﺳﺎﺋل اﻷﻣن وﻣﺧﺎطر اﻻﻋﺗداء ﻋﻠﻰ‬
‫اﻟﻣﻌﻠوﻣﺎت‪ .‬ﻣﺛﺎل ﻋﻠﻰ ذﻟك‪.password management policy :‬‬
‫• ‪IT Policy‬‬
‫ھذا اﻟﺟزء ﻣﺻﻣم ﻟﻘﺳم ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟﺷﺑﻛﺔ آﻣﻧﺔ وﻣﺳﺗﻘرة‪.‬‬ ‫•‬
‫ﻣﺛﺎل ﻋﻠﻰ ذﻟك‪modification policy، patch updates، server configuration،backup policies :‬‬ ‫•‬
‫• ‪General policies‬‬
‫ﺗﺣدﯾد اﻟﻣﺳؤوﻟﯾﺔ ﻟﻸﻏراض اﻟﺗﺟﺎرﯾﺔ اﻟﻌﺎﻣﺔ‪.‬‬ ‫•‬
‫ﻣﺛﺎل ﻋﻠﻰ ذﻟك‪crisis management، business continuity plans،high-level program policy :‬‬ ‫•‬
‫• ‪Partner policy‬‬
‫اﻟﺳﯾﺎﺳﺔ اﻟﺗﻲ ﯾﺗم ﺗﻌرﯾﻔﮭﺎ ﺿﻣن ﻣﺟﻣوﻋﺔ ﻣن اﻟﺷرﻛﺎء‪.‬‬ ‫•‬
‫• ‪Issue-specific policies‬‬
‫• ﯾﺗم ﺗﻌرﯾف ﻣﺟﺎﻻت ﻣﺣددة ﻟﻠﻘﻠﻖ ووﺻف وﺿﻊ اﻟﻣﻧظﻣﺔ ﻣن أﺟل اﻹدارة ﻋﻠﻰ ﻣﺳﺗوى ﻋﺎﻟﻲ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪21‬‬

‫ﻣﺛﺎل ﻋﻠﻰ ذﻟك‪personnel security policy ،Physical security policy :‬‬ ‫•‬

‫ھﯾﻛل وﻣﺣﺗوي اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ‪STRUCTURE AND CONTENTS OF SECURITY POLICIES‬‬

‫ھﯾﻛل اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ )‪(STRUCTURE OF SECURITY POLICY‬‬

‫ﺳﯾﺎﺳﺔ اﻷﻣن ھو اﻟﻣﺳﺗﻧد اﻟذي ﯾوﻓر اﻟوﺳﯾﻠﺔ ﻟﺗﺄﻣﯾن اﻷﺟزاء اﻟﻣﺎدﯾﺔ ﻟﻠﺷرﻛﺔ‪ ،‬اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣوظﻔﯾن واﻟﺑﯾﺎﻧﺎت ﻣن اﻟﺗﮭدﯾدات أو اﻻﺧﺗراﻗﺎت‬
‫اﻷﻣﻧﯾﺔ‪ .‬ﯾﻧﺑﻐﻲ ﺗﻧظﯾم اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﺑﻌﻧﺎﯾﺔ ﻓﺎﺋﻘﺔ وﯾﻧﺑﻐﻲ إﻋﺎدة اﻟﻧظر ﺑﺷﻛل ﺻﺣﯾﺢ ﻟﻠﺗﺄﻛد ﻣن أﻧﮫ ﻻ ﺗوﺟد ﺻﯾﻐﺔ ﯾﻣﻛن ﻟﺷﺧص ﻣﺎ اﻻﺳﺗﻔﺎدة‬
‫ﻣﻧﮭﺎ‪ .‬وﯾﻧﺑﻐﻲ أن ﯾﺷﻣل اﻟﮭﯾﻛل اﻷﺳﺎﺳﻲ ﻟﻠﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﻌﻧﺎﺻر اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫• وﺻف ﺗﻔﺻﯾﻠﻲ ﻟﻘﺿﺎﯾﺎ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‪.‬‬
‫• وﺻف ﻟﺣﺎﻟﺔ اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ‬
‫• ﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ‪.‬‬
‫• ﺗﺣدﯾد وظﺎﺋف اﻟﻣﺗﺿررﯾن ﻣن اﻟﺳﯾﺎﺳﺔ‪.‬‬
‫• ﻋواﻗب ﻣﺣددة ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺣدث إذا ﻛﺎﻧت اﻟﺳﯾﺎﺳﺔ ﻏﯾر ﻣﺗواﻓﻘﺔ ﻣﻊ اﻟﻣﻌﺎﯾﯾر اﻟﺗﻧظﯾﻣﯾﺔ‪.‬‬

‫ﻣﺣﺗوي اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ )‪(CONTENTS OF SECURITY POLICY‬‬

‫• اﻟﻣﺗطﻠﺑﺎت ﻟوﺿﻊ ﻣﺳﺗوى ﻋﺎﻟﻲ ﻣن ﺳﯾﺎﺳﺎت اﻷﻣن‪ : high-level security requirements‬ھذا ﯾوﺿﺢ ﻣﺗطﻠﺑﺎت اﻟﻧظﺎم ﻟوﺿﻊ‬
‫اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺳﯾﺗم ﺗﻧﻔﯾذھﺎ‪ .‬وھذا ﯾﺷﻣل أرﺑﻌﺔ ﻣﺗطﻠﺑﺎت ﻛﺎﻻﺗﻰ‪:‬‬
‫• اﻟﻣﺗطﻠﺑﺎت ﻻﻧﺿﺑﺎط اﻷﻣن‪ : Discipline security requirements‬ھذه اﻟﻣﺗطﻠﺑﺎت ﺗﺷﻣل اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ‬
‫ﻣﺛل أﻣن اﻻﺗﺻﺎﻻت‪ ،‬وأﻣن اﻟﺣﺎﺳوب‪ ،‬وأﻣن اﻟﻌﻣﻠﯾﺔ‪ ،‬اﻻﻧﺑﺛﺎق اﻷﻣن‪ ،‬وأﻣن اﻟﺷﺑﻛﺎت‪ ،‬وأﻣن اﻷﻓراد‪ ،‬وأﻣن اﻟﻣﻌﻠوﻣﺎت‬
‫واﻷﻣن اﻟﻣﺎدي‪.‬‬
‫• اﻟﻣﺗطﻠﺑﺎت ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻷﻣن‪ : safeguard security requirement‬ھذه اﻟﻣﺗطﻠﺑﺎت ﺗﺣﺗوي أﺳﺎﺳﯾﺎ ﻋﻠﻰ اﻟﺗﺣﻛم ﻓﻲ‬
‫اﻟوﺻول‪ ،‬اﻷرﺷﯾف‪ ،‬واﻟﺗدﻗﯾﻖ ‪ ،audit‬اﻟﻣﺻداﻗﯾﺔ‪ ، authenticity‬اﻟﺗواﻓر‪ ،‬اﻟﺳرﯾﺔ‪ ،‬اﻟﺗﺷﻔﯾر‪ ،‬اﻟﺗﺣدﯾد واﻟﺗوﺛﯾﻖ‪ ،‬اﻟﻧزاھﺔ‬
‫‪ ،integrity‬اﻟواﺟﮭﺎت‪ ،‬وﺿﻊ اﻟﻌﻼﻣﺎت‪ ،‬ﻋدم اﻷﻧﻛﺎر‪ ، non-repudiation‬إﻋﺎدة اﺳﺗﺧدام ﻛﺎﺋن‪، object reuse‬‬
‫اﻻﺳﺗرﺟﺎع ‪ ،recovery‬واﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت‪.‬‬
‫• اﻟﻣﺗطﻠﺑﺎت ﻹﺟراء ﺳﯾﺎﺳﺎت اﻷﻣن‪ : procedural security requirement‬ھذه اﻟﻣﺗطﻠﺑﺎت ﺗﺣﺗوي أﺳﺎﺳﯾﺎ ﻋﻠﻰ‬
‫ﺳﯾﺎﺳﺎت اﻟدﺧول‪/‬اﻟوﺻول‪ ،‬وﻗواﻋد اﻟﻣﺳﺎءﻟﺔ‪ ،‬وﺧطط ووﺛﺎﺋﻖ اﺳﺗﻣرارﯾﺔ اﻟﻌﻣﻠﯾﺎت )‪(continuity-of-operations‬‬
‫• ﺿﻣﺎن اﻷﻣن ‪ :assurance security‬وھذا ﯾﺷﻣل ﻋرض ﺷﮭﺎدات اﻟﺗﺻدﯾﻖ واﻻﻋﺗﻣﺎد ووﺛﺎﺋﻖ اﻟﺗﺧطﯾط اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ‬
‫ﻋﻣﻠﯾﺔ اﻟﺿﻣﺎن‪.‬‬
‫• اﻟوﺻف ﻟﮭذه اﻟﺳﯾﺎﺳﺎت ‪ :Policy Description‬ﯾرﻛز ﻋﻠﻰ اﻟﺗﺧﺻﺻﺎت اﻷﻣﻧﯾﺔ‪ ،‬واﻟﺿﻣﺎﻧﺎت واﻹﺟراءات واﺳﺗﻣرارﯾﺔ اﻟﻌﻣﻠﯾﺎت‪،‬‬
‫واﻟوﺛﺎﺋﻖ‪ .‬ﺣﯾث ﯾﺻف ﻛل ﺟزﺋﯾﺔ ﻣن ھذا اﻟﺟزء ﻣن اﻟﺳﯾﺎﺳﺔ ﻛﯾﻔﯾﺔ ﻗﯾﺎم ﻣﻌﻣﺎرﯾﺔ اﻟﻧظﺎم ﻓﻲ ﻓرض اﻷﻣن‪.‬‬
‫• اﻟﻣﻔﮭوم أﻷﻣﻧﻲ ﻟﻠﻌﻣﻠﯾﺎت ‪ :security concept of operation‬ﯾﻌرف أﺳﺎﺳﺎ اﻷدوار واﻟﻣﺳؤوﻟﯾﺎت وﻣﮭﺎم ﺳﯾﺎﺳﺔ اﻷﻣن‪ .‬ﻷﻧﮭﺎ ﺗرﻛز‬
‫ﻋﻠﻰ اﻟﻣﮭﻣﺔ‪ ،‬واﻻﺗﺻﺎﻻت‪ ،‬واﻟﺗﺷﻔﯾر‪ ،‬وﻗواﻋد اﻟﻣﺳﺗﺧدم واﻟﺻﯾﺎﻧﺔ‪ ،‬وإدارة اﻟوﻗت اﻟﺿﺎﺋﻊ‪ ،‬واﺳﺗﺧدام اﻟﺑرﻣﺟﯾﺎت اﻟﻣﻣﻠوﻛﺔ ﻟﻠﻘطﺎع اﻟﺧﺎص‬
‫ﻣﻘﺎﺑل ﺑرﻣﺟﯾﺎت اﻟدوﻣﯾن اﻟﻌﺎم‪ ،‬وﻗواﻋد إدارة اﻟﺑراﻣﺞ اﻟﺗﺟرﯾﺑﯾﺔ‪ ،‬وﺳﯾﺎﺳﺔ اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت‪.‬‬
‫• ﺗﺧﺻﯾص اﻷﻣن ﻟﺗطﺑﯾﻘﮫ ﻋﻠﻰ ﻋﻧﺎﺻر اﻟﻣﻌﻣﺎرﯾﺔ ‪ :allocation of security enforcement to architecture elements‬ﯾوﻓر‬
‫ﺗﺧﺻﯾص ﺑﻧﯾﺔ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر إﻟﻰ ﻛل ﻧظﺎم ﻣن اﻟﺑرﻧﺎﻣﺞ‪.‬‬

‫أﻧواع ﺳﯾﺎﺳﺎت اﻷﻣن )‪(TYPES OF SECURITY POLICY‬‬

‫ﺳﯾﺎﺳﺔ اﻷﻣن ھو ﻋﺑﺎره ﻋن ﻣﺳﺗﻧد ﯾﺣﺗوي ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻋن طرﯾﻘﺔ وﺗﺧطط اﻟﺷرﻛﺔ ﻟﺣﻣﺎﯾﺔ أﺻول اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻣن اﻟﺗﮭدﯾدات‬
‫اﻟﻣﻌروﻓﺔ واﻟﻐﯾر ﻣﻌروﻓﺔ‪ .‬ھذه اﻟﺳﯾﺎﺳﺎت ﺗﺳﺎﻋد ﻋﻠﻰ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺳرﯾﺔ‪ ،‬وﺗواﻓر‪ ،‬وﺳﻼﻣﺔ اﻟﻣﻌﻠوﻣﺎت‪ .‬ﯾوﺟد أرﺑﻌﺔ أﻧواع رﺋﯾﺳﯾﺔ ﻣن‬
‫اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ھﻲ ﻛﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ Promiscuous Policy (1‬ﺳﯾﺎﺳﮫ ﺧﻔﯾﻔﺔ‪ :‬ﺗﺗﻣﯾز ھذه اﻟﺳﯾﺎﺳﺔ ﺑﻌدم وﺟود أي ﻗﯾود ﻋﻠﻰ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت‪ .‬ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم‬
‫اﻟوﺻول إﻟﻰ أي ﻣوﻗﻊ‪ ،‬وﺗﺣﻣﯾل أي ﺗطﺑﯾﻖ‪ ،‬واﻟوﺻول إﻟﻰ ﻛﻣﺑﯾوﺗر أو ﺷﺑﻛﺔ ﻣن ﻣوﻗﻊ ﺑﻌﯾد‪ .‬ﻓﻲ ﺣﯾن أن ھذا ﯾﻣﻛن أن ﯾﻛون ﻣﻔﯾدا‬
‫ﻓﻲ اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ ﻟﻠﺷرﻛﺎت ﺣﯾث ﻛﺎن اﻟﻧﺎس اﻟذﯾن ﯾﺳﺎﻓرون أو اﻟﻌﻣل ﻓﻲ اﻟﻣﻛﺎﺗب اﻟﻔرﻋﯾﺔ ﺗﺣﺗﺎج إﻟﻰ اﻟوﺻول إﻟﻰ ﺷﺑﻛﺎت‬
‫ﺗﻧظﯾﻣﯾﺔ‪ ،‬اﻟﻌدﯾد ﻣن اﻟﺗﮭدﯾدات ﻣﺛل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ)‪ ،(malware‬واﻟﻔﯾروﺳﺎت‪ ،‬وطروادة ﻣوﺟودة ﻋﻠﻰ ﺷﺑﻛﺔ اﻷﻧﺗرﻧت‪ .‬ﺑﺳﺑب‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪22‬‬

‫ﺣرﯾﺔ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت‪ ،‬وھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )‪ (malware‬ﻣن اﻟﻣﻣﻛن أن ﺗﺄﺗﻲ ﻛﻣرﻓﻘﺎت دون ﻋﻠم اﻟﻣﺳﺗﺧدم‪ .‬ﯾﺟب أن‬
‫ﯾﻛون ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ ﻓﻲ ﺣﺎﻟﺔ ﺗﺄھب ﻟﻠﻐﺎﯾﺔ إذا ﻣﺎ ﺗم اﺧﺗﯾﺎر ھذا اﻟﻧوع ﻣن اﻟﺳﯾﺎﺳﺔ‪.‬‬
‫‪ Permissive Policy (2‬ﺳﯾﺎﺳﮫ ﻣﺗﺳﺎھﻠﺔ‪ :‬ﯾﺗم ﻗﺑول أﻏﻠﺑﯾﺔ ﺣرﻛﺔ اﻟﻣرور)‪ (internet traffic‬ﻋﻠﻰ اﻹﻧﺗرﻧت‪ ،‬وﻟﻛن ﯾﺗم ﺣظر‬
‫اﻟﻌدﯾد ﻣن اﻟﺧدﻣﺎت واﻟﮭﺟﻣﺎت اﻟﺧطﯾرة اﻟﻣﻌروﻓﺔ‪ .‬وﻷﻧﮫ ﯾﻌﻣل ﻋﻠﻰ ﺣظر اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﻓﻘط‪ ،‬ﻓﺈﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﻟﻣﺳؤوﻟﻲ‬
‫اﻟﻧظﺎم ﻣواﻛﺑﺔ اﻟﺗطور اﻟﺣﺎﻟﻲ ﻓﻲ اﻟﮭﺟﻣﺎت‪ .‬اﻹدارﯾﯾن ﯾﺣﺎوﻟون داﺋﻣﺎ اﻟﻠﺣﺎق ﺑﺎﻟرﻛب ﺑﻣﻌرﻓﺔ اﻟﮭﺟﻣﺎت واﻻﺧﺗراﻗﺎت اﻟﺟدﯾدة‪.‬‬
‫‪ Prudent Policy (3‬ﺳﯾﺎﺳﮫ ﺣﻛﯾﻣﮫ‪ :‬ﺗﺑدأ ھذه اﻟﺳﯾﺎﺳﺔ ﺑﺣظر ﻛﺎﻓﺔ اﻟﺧدﻣﺎت‪ .‬ﻣﺳؤوﻟﻲ اﻟﻧظﺎم )‪ (administrator‬ﯾﻣﻛﻧوا ﻓﻘط‬
‫اﻟﺧدﻣﺎت اﻷﻣﻧﺔ واﻟﺿرورﯾﺔ ﺑﺷﻛل ﻓردي‪ .‬وھذا ﯾوﻓر أﻗﺻﻰ ﻗدر ﻣن اﻷﻣﺎن‪ .‬ﻛل ﺷﻲء ﻣﺛل أﻧﺷطﺔ اﻟﻧظﺎم واﻟﺷﺑﻛﺔ ﯾﺗم ﺗﺳﺟﯾﻠﮫ‪.‬‬
‫‪ Paranoid Policy (4‬ﺳﯾﺎﺳﮫ ﻣرھﺑﮫ‪ :‬ﺗﺑدأ ھذه اﻟﺳﯾﺎﺳﺔ ﺑﻣﻧﻊ ﻛل ﺷﻲء‪ .‬ھﻧﺎك ﻗﯾود ﺻﺎرﻣﺔ ﻋﻠﻰ اﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ‬
‫ﺑﺎﻟﺷرﻛﺔ‪ ،‬ﺳواء ﻛﺎن اﺳﺗﺧدام اﻟﻧظﺎم أو اﺳﺗﺧدام اﻟﺷﺑﻛﺔ‪ .‬ﺑﺳﺑب ھذه اﻟﻘﯾود ﻋﻠﻰ اﻟﻣﻠﻘم ‪ server‬ﺑﺷﻛل ﻣﻔرط‪ ،‬ﻓﺈن اﻟﻣﺳﺗﺧدﻣﯾن ﻏﺎﻟﺑﺎ‬
‫ﻣﺎ ﯾﺣﺎوﻟون إﯾﺟﺎد اﻟﺳﺑل ﺣول ھذه اﻟﺳﯾﺎﺳﺔ‪.‬‬

‫اﻟﺧطوات ﻹﻧﺷﺎء وﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ )‪(STEPS TO CREATE AND IMPLEMENT SECURITY POLICIES‬‬

‫ﺗﻧﻔﯾذ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﯾﻘﻠل ﻣن ﺧطر اﻟﺗﻌرض ﻟﮭﺟوم‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﯾﺟب أن ﯾﻛون ﻛل ﺷرﻛﺔ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﺧﺎﺻﺔ اﻟﺗﻲ ﺗﻘوم ﻋﻠﻰ أﻋﻣﺎﻟﮭﺎ‪.‬‬
‫وﻓﯾﻣﺎ ﯾﻠﻲ اﻟﺧطوات اﻟﺗﻲ ﯾﺟب أن ﺗﺗﺑﻌﮭﺎ ﻛل ﻣؤﺳﺳﺔ ﻣن أﺟل وﺿﻊ وﺗﻧﻔﯾذ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ‪:‬‬
‫‪ .1‬ﺗﻧﻔﯾذ ﻟﻌﻣﻠﯾﺔ ﺗﻘﯾﯾم اﻟﻣﺧﺎطر ﻟﺗﺣدﯾد اﻟﻣﺧﺎطر إﻟﻰ أﺻول ﻣﻌﻠوﻣﺎت اﻟﻣﻧظﻣﺔ‪.‬‬
‫‪ .2‬اﻟﺗﻌﻠم ﻣن اﻟﻣﺑﺎدئ اﻟﺗوﺟﯾﮭﯾﺔ اﻟﻘﯾﺎﺳﯾﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﻧظﻣﺎت‪.‬‬
‫‪ .3‬ﻓﻲ وﺿﻊ اﻟﺳﯾﺎﺳﺎت ﻓﺈﻧﮭﺎ ﺗﺷﻣل اﻹدارة اﻟﻌﻠﯾﺎ وﺟﻣﯾﻊ اﻟﻣوظﻔﯾن اﻵﺧرﯾن‪.‬‬
‫‪ .4‬ﺗﻌﯾﯾن ﻋﻘوﺑﺎت واﺿﺣﺔ وﺗﻧﻔﯾذھﺎ وأﯾﺿﺎ ﻣراﺟﻌﺔ وﺗﺣدﯾث اﻟﺳﯾﺎﺳﺔ اﻷﻣﻧﯾﺔ‪.‬‬
‫‪ .5‬ﺟﻌل اﻟﻧﺳﺧﺔ اﻟﻧﮭﺎﺋﯾﺔ ﻣﺗﺎﺣﺔ ﻟﺟﻣﯾﻊ اﻟﻣوظﻔﯾن ﻓﻲ اﻟﻣﻧظﻣﺔ‪.‬‬
‫‪ .6‬ﺿﻣﺎن ﻛل ﻓرد ﻣن اﻟﻣوظﻔﯾن أن ﯾﻘوم ﺑﻘراﺋﮫ‪ ،‬وﻓﮭم اﻟﺳﯾﺎﺳﺔ‪.‬‬
‫‪ .7‬ﺗﺛﺑﯾت اﻷدوات اﻟﺗﻲ ﺗﺣﺗﺎﺟﮭﺎ ﻟﺗطﺑﯾﻖ ﺳﯾﺎﺳﺔ‪.‬‬
‫‪ .8‬ﺗدرﯾب ﻣوظﻔﯾك وﺗﺛﻘﯾﻔﮭم ﺣول اﻟﺳﯾﺎﺳﺔ‪.‬‬

‫أﻣﺛﻠﮫ ﻋﻠﻰ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ ﻛﺎﻻﺗﻰ‪:‬‬

‫وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻷﻣﺛﻠﺔ ﻋﻠﻰ اﻟﺳﯾﺎﺳﺎت اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ‪ ،‬وﺗم ﻗﺑوﻟﮭﺎ‪ ،‬واﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﻧظﻣﺎت ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻟﺗﺄﻣﯾن‬
‫أﺻوﻟﮭﺎ وﻣواردھﺎ اﻟﮭﺎﻣﺔ‪.‬‬
‫• ‪Acceptable-Use Policy‬‬
‫ﯾﺣدد اﻻﺳﺗﺧدام اﻟﻣﻘﺑول ﻟﻣوارد اﻟﻧظﺎم‪.‬‬
‫• ‪User-Account policy‬‬
‫ﯾﺣدد ﻋﻣﻠﯾﺎت إﻧﺷﺎء اﻟﺣﺳﺎب )‪ .(account‬ﯾﺣدد اﻟﺳﻠطﺔ‪ ،‬واﻟﺣﻘوق‪ ،‬واﻟﻣﺳؤوﻟﯾﺎت اﻟﺧﺎﺻﺔ ﺑﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن‪.‬‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪23‬‬

‫• ‪Remote-Access Policy‬‬
‫ﯾﺣدد ﻣن ﻟﮫ اﻟﺻﻼﺣﯾﺔ ﻓﻲ اﺳﺗﺧدام اﻻﺗﺻﺎل ﻋن ﺑﻌد‪ ،‬وﯾﺣدد اﻟﺿواﺑط اﻷﻣﻧﯾﺔ ﻟﮭذا اﻻﺗﺻﺎل ﻋن ﺑﻌد‪.‬‬

‫• ‪Information-Protection Policy‬‬
‫ﯾﺣدد ﻣﺳﺗوﯾﺎت ﺣﺳﺎﺳﯾﺔ اﻟﻣﻌﻠوﻣﺎت‪ ،‬وﻣن اﻟذي ﯾﺗﺎح ﻟﮫ اﻟوﺻول ﻟﮭذه اﻟﻣﻌﻠوﻣﺎت؟ وﻛﯾف ﯾﺗم ﺗﺧزﯾﻧﮭﺎ وﻧﻘﻠﮭﺎ؟ وﻛﯾف ﯾﻧﺑﻐﻲ ﺣذﻓﮭﺎ ﻣن وﺳﺎﺋط‬
‫اﻟﺗﺧزﯾن؟‬

‫• ‪Firewall-Management Policy‬‬
‫ﯾﺣدد وﺻول‪ ،‬وإدارة‪ ،‬ورﺻد اﻟﺟدران اﻟﻧﺎرﯾﺔ ﻓﻲ اﻟﻣﻧظﻣﺎت‪.‬‬

‫• ‪Special-access Policy‬‬
‫ﺗﺣدد ھذه اﻟﺳﯾﺎﺳﺔ أﺣﻛﺎم وﺷروط ﻣﻧﺢ وﺻول ﺧﺎص إﻟﻰ ﻣوارد اﻟﻧظﺎم‪.‬‬

‫• ‪Network-Connection Policy‬‬
‫ﯾﺣدد اﻟذﯾن ﯾﻣﻛﻧﮭم ﺗﺛﺑﯾت ﻣوارد ﺟدﯾدة ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ ،‬واﻟﻣواﻓﻘﺔ ﻋﻠﻰ ﺗرﻛﯾب اﻷﺟﮭزة اﻟﺟدﯾدة‪ ،‬وﺗوﺛﯾﻖ ﺗﻐﯾرات اﻟﺷﺑﻛﺔ‪ ،‬اﻟﺦ‪.‬‬

‫• ‪Email Security Policy‬‬

‫أﻧﺷﺄت ﻟﺗﺣﻛم اﻻﺳﺗﺧدام اﻟﺳﻠﯾم ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﻠﺷرﻛﺎت‪.‬‬

‫• ‪Password Policy‬‬
‫ﯾوﻓر ﻣﺑﺎدئ ﺗوﺟﯾﮭﯾﺔ ﻻﺳﺗﺧدام ﻛﻠﻣﺔ ﻣرور ﻗوﯾﺔ ﻋﻠﻰ ﻣوارد اﻟﻣﻧظﻣﺔ ﻟﺣﻣﺎﯾﺗﮭﺎ‪.‬‬

‫ﺑﺣوث اﻟﺛﻐرات اﻷﻣﻧﯾﺔ )‪(RESEARCH VULNERABILITY SECURITY‬‬

‫‪ Research Vulnerability‬ھﻲ ﺗﻘﻧﯾﺎت ﯾﺳﺗﺧدﻣﮭﺎ ﻣﺧﺗﺑري اﻻﺧﺗراق ﻻﻛﺗﺷﺎف اﻟﺛﻐرات وﺿﻌف اﻟﺗﺻﻣﯾم اﻟﺗﻲ ﯾﻣﻛن ﻣن ﺧﻼﻟﮭﺎ اﻟﮭﺟوم‬
‫ﻋﻠﻰ اﻟﺗطﺑﯾﻘﺎت و أﻧظﻣﮫ اﻟﺗﺷﻐﯾل‪ ,‬وﺗﺷﻣل اﻟدراﺳﺔ اﻟدﯾﻧﺎﻣﯾﻛﯾﺔ ﻟﻠﻣﻧﺗﺟﺎت واﻟﺗﻘﻧﯾﺎت و اﻟﺗﻘﯾﯾم اﻟﻣﺳﺗﻣر ﻹﻣﻛﺎﻧﯾﺔ اﻻﺧﺗراق‪ .‬ھذه اﻟﺑﺣوث ﺗﺳﺎﻋد ﻛل‬
‫ﻣن ﻣﺳﺋوﻟﻲ اﻷﻣن واﻟﻣﮭﺎﺟﻣﯾن‪ .‬وﯾﻣﻛن ﺗﺻﻧﯾﻔﮭﺎ ﻋﻠﻰ أﺳﺎس‪:‬‬
‫• ﻣﺳﺗوى اﻟﺧطورة )ﻣﻧﺧﻔﺿﺔ‪ ،‬ﻣﺗوﺳطﺔ‪ ،‬أو ﻋﺎﻟﯾﺔ(‬
‫• اﺳﺗﻐﻼل اﻟﻧطﺎق )ﻣﺣﻠﻲ)‪ ،(local‬ﻋن ﺑﻌد)‪.((remotely‬‬

‫وﺗﺳﺗﺧدم ھذه اﻟﺗﻘﻧﯾﺔ‪:‬‬

‫• ﻟﺗﺣدﯾد وﺗﺻﺣﯾﺢ ﻧﻘﺎط ﺿﻌف اﻟﺷﺑﻛﺔ‪.‬‬
‫• ﻟﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ ﻣن اﻟﺗﻌرض ﻟﻠﮭﺟوم ﻣن ﻗﺑل اﻟدﺧﻼء‪.‬‬
‫• ﻟﻠﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﺳﺎﻋد ﻋﻠﻰ ﻣﻧﻊ اﻟﻣﺷﺎﻛل اﻷﻣﻧﯾﺔ‪.‬‬
‫• ﻟﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻔﯾروﺳﺎت‪.‬‬
‫• ﻟﻠﻌﺛور ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﺷﺑﻛﺔ وﺗﻧﺑﯾﮫ ﻣدﯾر اﻟﺷﺑﻛﺔ ﻗﺑل ﺣﺻول اﻟﮭﺟوم‪.‬‬
‫• ﻟﻣﻌرﻓﺔ ﻛﯾﻔﯾﺔ اﻟﺗﻌﺎﻓﻲ ﻣن اﻟﮭﺟوم‪.‬‬

‫أدوات اﻟوﺻول اﻟﻰ اﻷﺑﺣﺎث ﻋن اﻟﺿﻌف ‪VULNERABILITY RESEARCH WEBSITE‬‬

‫‪CodeRed Center .1‬‬
‫اﻟﻣﺻدر‪http://www.eccouncil.org :‬‬
‫ھو ﻣﺻدر اﻣﻧﻰ ﺷﺎﻣل ﻟﻣﺳؤوﻟﻲ اﻟﻧظﺎم )‪ (admin‬واﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗﻌطﯾك ﺗﻘرﯾر ﯾوﻣﻲ ودﻗﯾﻖ وأﺣدث اﻟﻣﻌﻠوﻣﺎت ﻋن أﺣدث اﻟﻔﯾروﺳﺎت‪،‬‬
‫وأﺣﺻﻧﺔ طروادة‪ ،‬واﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪ ،‬واﻟﺗﮭدﯾدات‪ ،‬وأدوات اﻷﻣن واﻟﻣﺧﺎطر وﻧﻘﺎط اﻟﺿﻌف‪.‬‬
‫‪TechNet .2‬‬
‫اﻟﻣﺻدر‪http://blogs.technet.com :‬‬
‫ﻣوﻗﻊ ﺗم إﻧﺷﺎﺋﮫ ﻣن ﻗﺑل ﻓرﯾﻖ ﺳﯾرﻓرات ﻣﺎﯾﻛروﺳوﻓت )‪ .(Microsoft Lync server teams‬ﯾﺗم ﻗﯾﺎدﺗﮭم ﻣن ﻗﺑل ‪Lync Server‬‬
‫‪ documentation‬اﻟﻛﺗﺎب واﻟﻣﻌﻠﻘﯾن اﻟﺗﻘﻧﯾن ﯾﺄﺗون ﻣن ﺟﻣﯾﻊ اﻟﺗﺧﺻﺻﺎت واﻟﺗﻲ ﺗﺷﻣل ﻣﮭﻧدﺳﻲ اﻹﻧﺗﺎج وﻣﮭﻧدﺳﻲ اﻟﺣﻘول وﻣﮭﻧدﺳﻲ اﻟدﻋم‬
‫وﻣﮭﻧدﺳﻲ اﻟﺗوﺛﯾﻖ واﻟﻌدﯾد ﻣن اﻟﺗﺧﺻﺻﺎت اﻷﺧرى‪.‬‬
‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪24‬‬

‫‪Security Magazine .3‬‬

‫اﻟﻣﺻدر‪http://www.securitymagazine.com :‬‬
‫ھذا اﻟﻣوﻗﻊ ﯾرﻛز ﻋﻠﻰ اﻟﺣﻠول اﻟﻔرﯾدة ﻟﻘﺎدة اﻟﻣؤﺳﺳﺔ اﻷﻣﻧﯾﺔ‪ .‬ﻟﻘد ﺗم ﺗﺻﻣﯾﻣﮫ وﻛﺗﺎﺑﺗﮫ ﻟﻠﻣدﯾرﯾن اﻟﺗﻧﻔﯾذﯾﯾن ﻟرﺟﺎل اﻷﻋﻣﺎل اﻟذﯾن ﯾﻘوﻣون ﺑﺈدارة‬
‫اﻟﻣﺧﺎطر واﻟﻣؤﺳﺳﺔ اﻷﻣﻧﯾﺔ‪.‬‬

‫‪SecurityFocus .4‬‬
‫اﻟﻣﺻدر‪http://www.securityfocus.com :‬‬
‫ھذا اﻟﻣوﻗﻊ ﯾرﻛز ﻋﻠﻰ ﻋدد ﻗﻠﯾل ﻣن اﻟﻣﺟﺎﻻت اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ھﻲ ﻣن أﻋظﻣﮭﺎ أھﻣﯾﺔً ﻟﻠﻣﺟﺗﻣﻊ اﻷﻣﻧﻲ‪ .‬وﻋﻧد ﺗﺻﻔﺢ اﻟﻣوﻗﻊ ﺳوف ﺗرى ﺑﻌض‬
‫اﻟﺗﺻﻧﯾﻔﺎت ﻣﻧﮭﺎ ﻛﺎﻻﺗﻰ‪:‬‬
‫‪ BugTraq‬ﯾﺣﺗوى ﻋﻠﻰ ﻗﺎﺋﻣﮫ ﺑرﯾدﯾﮫ ﻛﺑﯾرة اﻟﺣﺟم واﻹﻓﺻﺎح اﻟﻛﺎﻣل ﻟﻣﻧﺎﻗﺷﺔ ﺗﻔﺻﯾﻠﯾﺔ واﻹﻋﻼن ﻋن اﻟﺛﻐرات اﻷﻣﻧﯾﺔ ﻟﻠﻛﻣﺑﯾوﺗر‪ .‬وھو ﯾﻌﺗﺑر‬
‫ﺣﺟر اﻷﺳﺎس ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﺟﺗﻣﻊ اﻷﻧﺗرﻧت اﻷﻣﻧﻲ‪.‬‬
‫‪ The SecurityFocus Vulnerability Database‬ﯾوﻓر ﻟﻠﻣﺗﺧﺻﺻﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن ﻣﻌﻠوﻣﺎت ﻣﺣدﺛﮫ ﻋن ﻧﻘﺎط اﻟﺿﻌف ﻟﺟﻣﯾﻊ‬
‫اﻟﻣﻧﺻﺎت واﻟﺧدﻣﺎت‪.‬‬
‫‪Help Net Security .5‬‬
‫اﻟﻣﺻدر‪http://www.net-security.org :‬‬
‫ھو ﻣوﻗﻊ إﺧﺑﺎري ﯾوﻣﻲ ﻋن اﻷﻣن واﻟذي ﯾﻐطﻲ أﺣدث اﻷﺧﺑﺎر ﻋن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وأﻣن اﻟﺷﺑﻛﺎت ﻣﻧذ ﺗﺄﺳﯾﺳﮭﺎ ﻋﺎم ‪ .1998‬ﺑﺟﺎﻧب ﺗﻐطﯾﺔ‬
‫ﻟﻸﺧﺑﺎر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم‪ ،‬ﻓﺄﻧﮫ ﯾرﻛز أﯾﺿﺎ ﻋﻠﻰ ﺟودة اﻟﻣواد اﻟﻔﻧﯾﺔ واﻟورﻗﺎت‪ ،‬وﻧﻘﺎط اﻟﺿﻌف‪ ،‬ﺗﺣذﯾرات اﻟﺑﺎﺋﻌﯾن‪ ،‬واﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪،‬‬
‫وﺗﺳﺗﺿﯾف أﻛﺑر ﻣﺳﺎﺣﺔ ﺗﺣﻣﯾل ﻟﻠﺑرﻣﺟﯾﺎت اﻷﻣﻧﺔ ﻣﻊ ﺑراﻣﺞ وﯾﻧدوز‪ ،‬ﻟﯾﻧﻛس‪ ،‬وﻧظﺎم اﻟﺗﺷﻐﯾل ‪.Mac OS X‬‬

‫‪HackerStorm .6‬‬
‫اﻟﻣﺻدر‪http://www.hackerstorm.com.uk :‬‬
‫ھو ﻣورد أﻣﻧﻲ ﻟﻠﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن وﻣﺧﺗﺑري اﻻﺧﺗراق ﻟوﺿﻊ ﺧطط اﺧﺗﺑﺎر اﻻﺧﺗراق أﻓﺿل وﻧطﺎﻗﺎت أﻓﺿل‪ ،‬وإﺟراء ﺑﺣوث ﻋن اﻟﺿﻌف‪.‬‬

‫‪SC Magazine .7‬‬

‫اﻟﻣﺻدر‪http://www.scmagazine.com :‬‬
‫ھو ﻣوﻗﻊ ﯾﺗم ﻧﺷره ﻣن ﻗﺑل ‪ Haymarket Media Inc.‬وھو ﺟزء ﻣن اﻟﻌﻼﻣﺔ اﻟﺗﺟﺎرﯾﺔ اﻟﻌﺎﻟﻣﯾﺔ‪ .‬وﯾوﺟد ﺛﻼﺛﺔ إﺻدارات ﻣن ھذه اﻟﻣﺟﻠﺔ‪.‬‬
‫‪ North America –U.S. and Canada‬إﺻدار ﻷﻣرﯾﻛﺎ اﻟﺷﻣﺎﻟﯾﺔ ﻣﺧﺻص ﻷﻣرﯾﻛﺎ وﻛﻧدا‬
‫‪ International – U.K and mainland Europe‬إﺻدار ﻋﺎﻟﻣﻲ ﻣﺧﺻص ﻹﻧﺟﻠﺗرا وﺑﻌض اﻟﺑﻠدان اﻷورﺑﯾﺔ‪.‬‬
‫‪ Asia Pacific online‬إﺻدار ﯾﺗم ﻗراءﺗﮫ ﺑواﺳطﺔ ﺻﺎﻧﻌﻲ اﻟﻘرار ﻷﻛﺛر ﻣن ‪-20‬دوﻟﮫ ﻣوﺟود ﻓﻲ ﻣﻧطﻘﺔ اﻟﻣﺣﯾط اﻟﮭﺎدي‪.‬‬
‫اﻟﻣﺟﻠﺔ ﯾﺗم إﺻدارھﺎ ﺷﮭرﯾﺎ ﻓﻲ أول أﺳﺑوع ﻓﻲ اﻟﺷﮭر‪ .‬وھﻲ أﻛﺑر ﻣﺟﻠﮫ ﻷﻣن اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﻌﺎﻟم ﻣﻊ أﻛﺑر ﺗوزﯾﻊ ﻓﻲ اﻟﻌﺎﻟم‪ .‬ﺑدأت اﻟﻌﻣل ﺳﻧﺔ‬
‫‪.1989‬‬

‫‪Computerworld .8‬‬
‫اﻟﻣﺻدر‪http://www.computerworld.com :‬‬
‫ﻷﻛﺛر ﻣن ‪ 40‬ﺳﻧﮫ أﺻﺑﺣت ‪ computer world‬اﻟﻣﺻدر اﻟرﺋﯾﺳﻲ ﻟﻸﺧﺑﺎر اﻟﺗﻛﻧوﻟوﺟﯾﺎ واﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻣﺳﺗوى اﻟﻌﺎﻟم‪.‬‬

‫‪HackerJournals .9‬‬
‫اﻟﻣﺻدر‪http://www.hackerjournals.com :‬‬
‫ھو ﻣﺟﺗﻣﻊ أﻣن اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ اﻹﻧﺗرﻧت‪ .‬إﻧﮭﺎ ﺗﻧﺗﺷر اﻷﺧﺑﺎر اﻟﻣﺗﻌﻠﻘﺔ ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد ﻟﺗﮭدﯾدات أﻣن اﻟﻣﻌﻠوﻣﺎت واﻟﻘﺿﺎﯾﺎ ﻣن ﺟﻣﯾﻊ أﻧﺣﺎء‬
‫اﻟﻌﺎﻟم‪ .‬وھم ﻋﺑﺎره ﻋن ﻓرﯾﻖ ﺑﺣﺛﻲ ﯾﻌﻣل ﻋﻠﻰ ﺑﺣث وﺗﺟﻣﯾﻊ اﻷﺧﺑﺎر ﻣن ﻋﺷرات اﻵﻻف ﻣن اﻟﻣواﻗﻊ ﻟﺗﺟﻠب ﻟك ﻋﻧﺎوﯾن اﻷﻣن اﻷﻛﺛر ﻣﻼءﻣﺔ‬
‫ﻓﻲ ﻣﻛﺎن واﺣد‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻷﺧﺑﺎر‪ ،‬ﻓﺄﻧﮭﺎ ﺗﺳﺗﺿﯾف ‪ blogs‬واﻟﻣﻧﺎﻗﺷﺎت‪ ،‬وأﺷرطﺔ اﻟﻔﯾدﯾو اﻟﺗﻌﻠﯾﻣﯾﺔ‪ ،‬وﻟﻘد أﺻﺑﺢ ﻣن أﻓﺿل ﻣواﻗﻊ اﻹﺧﺗراق‬
‫اﻷﻛﺛر ﺷﮭره ﻓﻲ اﻟﻌﺎﻟم‪.‬‬
‫‪WindowsSecurity Blogs .10‬‬
‫اﻟﻣﺻدر‪http://blogs.windowsecurity.com :‬‬
‫ﻛﺗب ﺑواﺳطﺔ اﻟﻣؤﻟﻔﯾن اﻟﻣﺷﮭورﯾن اﻟذﯾن ﯾﻘودون ﺧﺑراء اﻟﺻﻧﺎﻋﺔ‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪25‬‬

‫ﻣﺎ ھو اﺧﺗﺑﺎر اﻻﺧﺗراق )‪(WHAT IS PENETRATION TESTING‬؟‬

‫اﺧﺗﺑﺎر اﻻﺧﺗراق )‪ :(penetration test‬ھو وﺳﯾﻠﺔ ﻟﺗﻘﯾﯾم ﻣﺳﺗوﯾﺎت اﻷﻣن ﻟﻧظﺎم أو ﻟﺷﺑﻛﺔ ﻣﻌﯾﻧﺔ‪ .‬ﺗﺳﺎﻋد ﻋﻠﻰ ﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ ﺣﯾث إذا ﻟم ﯾﺗم‬
‫اﻛﺗﺷﺎف ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﺳرع وﻗت ﻣﻣﻛن ﻓﺈﻧك ﺳوف ﺗﻛون ﻣﺻدر ﺳﮭل ﻟﻠﮭﺎﻛر‪.‬‬
‫ﺧﻼل اﺧﺗﺑﺎر اﻻﺧﺗراق‪ ،‬ﻓﺎن اﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﮭذا اﻻﺧﺗﺑﺎر ﯾﺣﻠل ﻛل اﻹﺟراءات اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗﺳﺗﺧدﻣﮭﺎ اﻟﻣﻧظﻣﺔ ﻟﺗﺷﺧﯾص ﺿﻌف اﻟﺗﺻﻣﯾم‪،‬‬
‫واﻟﻌﯾوب اﻟﻔﻧﯾﺔ‪ ،‬وﻧﻘﺎط اﻟﺿﻌف‪ .‬ھﻧﺎك ﻧوﻋﺎن ﻣن اﻻﺧﺗﺑﺎر ﻛﺎﻻﺗﻰ‪:‬‬
‫• اﻟﺻﻧدوق اﻷﺳود )‪(black box‬‬
‫ھو إﻧﺷﺎء ھﺟوم ﻣن ﻗﺑل أﺷﺧﺎص ﻟﯾس ﻟدﯾﮭم ﻣﻌرﻓﺔ ﻣﺳﺑﻘﺔ ﻋن اﻟﺑﯾﻧﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻔﺣﺻﮭﺎ‪.‬‬

‫• اﻟﺻﻧدوق اﻷﺑﯾض )‪(white box‬‬

‫ھو إﻧﺷﺎء ھﺟوم ﻣن ﻗﺑل أﺷﺧﺎص ﻟدﯾﮭم ﻣﻌرﻓﺔ ﻛﺎﻣﻠﺔ ﻋن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ‪.‬‬
‫ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن اﻻﺧﺗﺑﺎرات ﻓﺎن اﻟﺷﺧص اﻟﻣﺳﺋول ﻋن اﻻﺧﺗﺑﺎرات )‪ (pen tester‬ﯾﺑدا ﻓﻲ إﻋداد ﺗﻘﺎرﯾر واﻟﺗﻲ ﺗﺷﻣل ﺟﻣﯾﻊ ﻧﺗﺎﺋﺞ اﻻﺧﺗﺑﺎر‬
‫واﻟﺗﻲ ﺗﺑﯾن ﻣﻧﺎطﻖ اﻟﺿﻌف اﻟﺗﻲ ﺗم إﯾﺟﺎدھﺎ‪.‬‬
‫وﺗﺷﻣل ھذه اﻟﺗﻘﺎرﯾر ﺗﻔﺎﺻﯾل ﻋن ﻧﺗﺎﺋﺞ ﻧﺷﺎط اﻻﺧﺗراق‪ ،‬وﻧﻘﺎط اﻟﺿﻌف ﻣﻔﺻﻠﺔ وإﺟراءات اﻟوﻗﺎﯾﺔ واﻻﻗﺗراﺣﺎت وﻋﺎدة ﻣﺎ ﯾﻛون ﺗﺳﻠﯾﻣﮭﺎ ﻓﻲ‬
‫ﺷﻛل ﻧﺳﺧﺔ ﻣطﺑوﻋﺔ ﻷﺳﺑﺎب أﻣﻧﯾﺔ‪.‬‬

‫ﻣﺎ أھﻣﯾﺔ ‪PEN TESTER‬؟‬

‫• ﺗﺣدﯾد اﻟﺗﮭدﯾدات اﻟﺗﻲ ﺗواﺟﮫ أﺻول اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﻣؤﺳﺳﺔ‬
‫• ﺗﺧﻔﯾض ﺗﻛﺎﻟﯾف أﻣن ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﻟﻠﻣؤﺳﺳﺔ وﺗوﻓﯾر أﻓﺿل ﻋﺎﺋد ﻣن اﻻﺳﺗﺛﻣﺎر اﻷﻣن )‪ (ROSI‬ﺣﺳب ﺗﺣدﯾد وﺣل ﻧﻘﺎط‬
‫اﻟﺿﻌف‪(ROSI = Return On Security Investment) .‬‬
‫• ﺗوﻓﯾر اﻟﻣﻧظوﻣﺔ ﻣﻊ اﻟﺿﻣﺎن‪ :‬ﻣن ﺧﻼل ﺗﻘﯾﯾم ﺷﺎﻣل ﻟﻠﻣﻧظوﻣﺔ اﻷﻣﻧﯾﺔ واﻟﺗﻲ ﺗﻐطﻲ اﻟﺳﯾﺎﺳﺔ)‪ ،(policy‬واﻹﺟراءات‪ ،‬واﻟﺗﺻﻣﯾم‪،‬‬
‫واﻟﺗﻧﻔﯾذ‪.‬‬
‫• اﻟﻛﺳب واﻟﺣﻔﺎظ ﻋﻠﻰ ﺷﮭﺎدة ﻟﺗﻧظﯾم اﻟﺻﻧﺎﻋﺔ)‪. (BS7799,HIPAA etc.‬‬
‫• ﺗﺑﻧﻲ أﻓﺿل اﻟﻣﻣﺎرﺳﺎت ﻣن ﺧﻼل ﻣطﺎﺑﻘﺔ اﻟﻠواﺋﺢ اﻟﻘﺎﻧوﻧﯾﺔ واﻟﺻﻧﺎﻋﺔ‪.‬‬
‫• اﻻﺧﺗﺑﺎر واﻟﺗﺣﻘﻖ ﻣن ﺻﺣﺔ وﻛﻔﺎءة اﻟﺣﻣﺎﯾﺔ اﻷﻣﻧﯾﺔ واﻟﺿواﺑط‪.‬‬
‫• ﺗﻐﯾﯾر أو ﺗرﻗﯾﺔ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻟﻘﺎﺋﻣﺔ ﻣن اﻟﺑرﻣﺟﯾﺎت أو اﻷﺟﮭزة أو ﺗﺻﻣﯾم اﻟﺷﺑﻛﺎت‪.‬‬
‫• اﻟﺗرﻛﯾز ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف اﻷﻛﺛر ﺷده واﻟﺗﺄﻛﯾد ﻣن اﻷﻣن ﻋﻠﻰ ﻣﺳﺗوى اﻟﺗطﺑﯾﻖ‪.‬‬
‫• ﺗوﻓﯾر ﻧﮭﺞ ﺷﺎﻣل ﻟﺧطوات إﻋداد اﻟﺗﻲ ﯾﻣﻛن اﺗﺧﺎذھﺎ ﻟﻣﻧﻊ اﻻﺳﺗﻐﻼل‪.‬‬
‫• ﺗﻘﯾﯾم ﻛﻔﺎءة أﺟﮭزة أﻣن اﻟﺷﺑﻛﺎت ﻣﺛل اﻟﺟدران اﻟﻧﺎرﯾﺔ واﻟﻣوﺟﮭﺎت‪/‬اﻟراوﺗر وﺧوادم وﯾب‪.‬‬
‫•‬

‫ﻣﻧﮭﺞ اﺧﺗﺑﺎر اﻻﺧﺗراق ‪PENETRATION TESTING METHODOLOGY‬‬

‫ﺑﻣﺛﺎﺑﺔ إﻧك ‪ ،pen tester‬ﻓﯾﺟب ﻋﻠﯾك أﻻ ﺗﻐﻔل ﻋن أي ﻣورد ﻟﻠﻣﻌﻠوﻣﺎت‪ .‬ﯾﺟب أن ﯾﺗم اﺧﺗﺑﺎر ﺟﻣﯾﻊ ﻣﺻﺎدر اﻟﻣﻌﻠوﻣﺎت اﻟﻣﻣﻛﻧﺔ ﻟﻠﺑﺣث ﻋن‬
‫ﻧﻘﺎط اﻟﺿﻌف‪ ،‬ﻟﯾس ﻓﻘط ﻣﺻﺎدر اﻟﻣﻌﻠوﻣﺎت‪ ،‬وﻟﻛن ﯾﺟب أن ﯾﺗم اﺧﺗﺑﺎر ﻛل آﻟﯾﺔ وﺑرﻧﺎﻣﺞ ﺗﺳﺗﺧدﻣﮭم ﻓﻲ ﻋﻣﻠك ﻷﻧﮫ إذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻟﯾس ﻗﺎدرا ً‬
‫ﻋﻠﻰ ﺧرق ﻧظﺎم اﻟﻣﻌﻠوﻣﺎت‪ ،‬ﻓﺎﻧﮫ أو إﻧﮭﺎ ﻗد ﺗﺣﺎول اﻟوﺻول إﻟﻰ اﻟﻧظﺎم وﻣن ﺛم إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺣﺳﺎﺳﺔ‪ .‬ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن اﻟﮭﺟﻣﺎت‪ ،‬ﻣﺛل‬
‫ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت )‪ ،(denial-of-services‬واﻟﺗﻲ ﻻ ﺗﺣﺗﺎج إﻟﻰ اﻟدﺧول إﻟﻰ اﻟﻧظﺎم‪ .‬وﺑﺎﻟﺗﺎﻟﻲ ﻟﺿﻣﺎن أن ﺗﺣﻘﻖ ﻓﺣص ﻟﺟﻣﯾﻊ‬
‫اﻟﺳﺑل اﻟﻣﻣﻛﻧﺔ ﻻﺧﺗراق اﻟﻧظﺎم أو اﻟﺷﺑﻛﺔ‪ ،‬ﯾﺟب ﻋﻠﯾك اﺗﺑﺎع ﻣﻧﮭﺟﯾﺔ اﺧﺗﺑﺎر اﻻﺧﺗراق‪ .‬وھذا ﯾﺿﻣن اﻟﻧطﺎق اﻟﻛﺎﻣل ﻟﻼﺧﺗﺑﺎر‪.‬‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬
 ‫‪26‬‬

‫ﻻ ﺗﻧﺳوﻧﺎ ﺑﺎﻟدﻋﺎء‬
‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫•‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬