دروس حول امن المعلومات

مقدمة Introduction:

يجلب الارتباط مع شبكة الانترنت تحديات أمنية جديدة لشبكات الشركات
الكبيرة،شهد العامان الماضيات دخول آلاف الشركات إلى شبكة الانترنت، حيث
أنشأت هذه الشركات مواقع لها على الانترنت، وزودت موظفيها بخدمات البريد
الالكتروني ومتصفحات انترنت وأصبح بذلك أمام المستخدم الخارجي المسلح ببعض
المعرفة وبعض الأهداف الخبيثة طريقة جديدة للتسلل إلى الأنظمة
الداخلية،حالما يصبح هذا الدخيل داخل شبكة الشركة، يمكنه أن يتجول فيها
ويخرب أو يغير البيانات، أو يسرقها مسببا أضرارا من مختلف الأنواع ، و حتى
إذا أخذنا أكثر تطبيقات الانترنت استخداما وهو البريد الالكتروني فانه لا
يعتبر مأمونا ، يمكن لمن لديه محلل بروتوكولات protocol analyzerوإمكانية
الوصول إلى الموجهات routers والأجهزة الشبكية الأخرى التي تعالج البريد
الالكتروني أثناء انتقاله من شبكة إلى شبكة عبر الانترنت أن يقرأ أو يغير
الرسالة المرسلة، إذا لم تتخذ خطوات معينة لضمان سلامتها , تتصرف بعض
الشركات وكأن التحديات الأمنية لم تكن خطرا حقيقيا حيث تتطلع إلى البنية
التحتية لشبكة الانترنت، كوسيلة رخيصة نسبيا، لربط شبكتين أو عدة شبكات
محلية LAN معزولة جغرافيا مع بعضها البعض أو للربط عن بعد مع شبكة ما.

وتجدر الإشارة إلى أن أعمال التجارية على شبكة الانترنت والتي تتطلب
الملايين من التبادلات المصرفية السرية أصبحت قريبة من متناول
الكثيرين,وتستجيب أسواق أمن الشبكات Network Security بسرعة لتحديات أمن
شبكة الانترنت عن طريق تبني تقنيات التحقق Authentication والتشفير
Encryption المتوفرة في هذا المجال لتطبيقها على روابط شبكة الانترنت ،
وعن طريق تطوير منتجات جديدة في مجال أمن المعلومات، وتعتبر الأسواق اليوم
في فوضى معايير وتقنيات ومنتجات .

السياسات الأمنية Security Policies:

لن يكون الربط مع شبكة الانترنت مثل الربط مع أي نوع آخر من الشبكات آمنا
تماما، وبدلا من أن تلجأ الشركات إلى تحقيق الأمن المطلق عليها أن تعرف
خطر تسرب المعلومات ، وتحقق نوعا من التوازن بين احتمالات خرق الترتيبات
الأمنية وبين كلفة تحقيق مختلق هذه الترتيبات.

يجب أن تركز الخطوة الأولى علي استنباط سياسة أمنية شاملة للشركة أو علي
تطوير السياسة الأمنية المتعبة بحيث تأخذ في الاعتبار الربط مع الانترنت ,
ويجب أن تحدد هذه السياسة بالتفصيل , الموظفين الذين يحق لهم الوصول إلى
كل نوع من أنواع الخدمة التي تقدمها الانترنت، كما يجب أن تثقف الموظفين
في مجال مسئولياتهم تجاه حماية معلومات الشركة مثل مسؤولياتهم تجاه حماية
كلمات المرور التي يستخدمونها
بالإضافة إلى تحديد الإجراءات التي ستقوم الشركة بها في حال حدوث خرق لمثل
هذه الخطة الأمنية , وتعتبر هذه السياسة أداة هامة جدا في تحديد المجالات
التي ستنفق فيها أموال الشركة للحفاظ علي أمن معلوماتها ، ويقدم كتاب دليل
امن المواقع Site Security handbook الذي أصدره مجموعة Network Working
Group التابعة لهيئةInternet Engineering task force أو IETF فكرة جيدة عن
الموضوعات التي يجب أخذها بعين الاعتبار عند وضع سياسات أمنية .

تتطلب السياسة الأمنية كجزء من ترتيباتها تقدير الكلفة التي ستتحملها
الشركة، في حال خرق الترتيبات الأمنية. ويجب أن ينخرط الموظفون علي اعلي
المستويات في هذه العملية وقد يكون من المفيد أن تقوم الشركة بتوظيف
مستشار لأمن الكمبيوتر، لضمان أمن معلوماتها ، وتقدم الكثير من الشركات
المزودة لخدمة الانترنت، الاستشارة والنصح في هذا المجال، وتبدأ بعد تحديد
السياسة المتبعة، عملية تقويم استخدام برامج الجدران النارية firewall،
والتشفير encryption والتثبت من المستخدم Authentication.

بعض الأمثلة على السياسات الأمنية :

• مسح كلمة السر الخاصة بالموظف المنتهي عقدة فورا(مثلا كإجراء خلال سحب أوراقة من الشركة).

• وضع حساسات Sensors مياه أو حرائق قرب أجهزة تخزين البيانات.

• استخدام الجهاز الخاص بالشركة للانترنت, ويمنع استخدام جهاز غيرة مثلا كأن يحضر laptop .

• لا يسمح بتبادل الرسائل داخل الشركة التي تحتوي على رسائل خاصة أو malicious gossip أو Slander ... .

• صلاحيات كل مستخدم على البيانات الموجودة على قاعدة البيانات .

• الدخول للشركة عن طريق البطاقة الخاصة.

• وضع مثلا أجهزة التحقق من بصمة الشخص على أجهزة البيانات المهمه


وغيرها الكثير من السياسات الأمنية Security Policies .

أنواع الهجوم Attacks

يقسم الهجوم إلى أربعة أقسام وهي :


1. هجوم التصنت على الرسائل Interception Attacks:

وفكره عمل هذا الهجوم: أن المهاجم يراقب الاتصال بين المرسل والمستقبل
للحصول على المعلومات السرية وهو ما يسمى بالتصنت على الاتصال
(Eavesdropping).

2. هجوم الإيقاف Interruption Attacks:

وهذا النوع يعتمد على قطع قناة الاتصال لإيقاف الرسالة أو البيانات من
الوصول إلى المستقبل وهو ما يسمى أيضا برفض الخدمة (Denial of service ).

3. هجوم يعدل على محتوى الرسالة Modification Attacks:

وهنا يتدخل المهاجم بين المرسل والمستقبل (يعتبر وسيط بين المرسل
والمستقبل) وعندما تصل إلى الAttacker فإنه يقوم بتغيير محتوى الرسالة ومن
ثم إرسالها إلى المستقبل , والمستقبل طبعا لا يعلم بتعديل الرسالة من قبل
الAttacker.

4. الهجوم المزور أو المفبرك Fabrication Attacks :

وهنا يرسل المهاجم رسالة مفادها انه صديقه ويطلب منه معلومات أو كلمات سرية خاصة بالشركة مثلا .

الدرس الثاني: أمن المعلومات (2)
وبعد أن أخذنا مقدمة عن أمن المعلومات لابد لنا من معرفة :
1. تعريف الخطر Risk وأقسامه.
2. الإجراءات المضادة عند حدوث الخطر Countermeasures.
3. كيفية إدارة الخطر و احتمال حدوثه .
سندرس اليوم النقطة الأولى، وندرس النقطتين التاليتين في الدرس القادم إن شاء الله..
تعريف الخطر Risk وأقسامه:
الخطر أو Risk هو أنه يوجد على الأرجح تهديد يمكن إستغلاله , وبالتالي إذا
استغل ذلك التهديد يمكن أن نطلق عليه Vulnerability (ثغرة) , حيث أنه يوجد
ثغرة أمنية في تلك المنظمة.

ومن هذا التعريف يمكن أن نقسم ال Risk إلى قسمين رئيسيين هما :

• التهديد (Threat) : وهو عملية المحاوله الى الوصول إلى المعلومات السرية الخاصة بالمنظمة.
• الثغرات (Vulnerabilities) : وهي أنه يوجد ضعف في المنظمة يستطيع المهاجم Attacker الدخول من خلالها .
وهناك مكنونات أخرى لل Risk وهي كما يوضح الشكل التالي :



الآن سوف نأخذ الـ Vulnerabilities والـ Threats بشيء من التفصيل :


أولا الثغرات Vulnerabilities:

تتكون من نوعين وهما:

• تحصين تقني Technical Vulnerability: إذا كان التحصين ضعيفا واستغل
الضعف من قبل المهاجم Attacker يعرف هذا الهجوم بما يسمى بالهجوم التقني.
• تحصين غير تقني Administrative Vulnerability: وهو ما يسمى بالهجوم
الغير تقني أو هجوم الهندسة الاجتماعيةsocial engineering Attack.

ويمكن تقسيمها من حيث الصعوبة والسهولة إلى قسمين:

• تحصينات ضعيفةHigh-level Vulnerability :وهو سهل الاستغلال, ومثال عليه كتابه كود برمجي لاستغلال تلك الثغرة.
• تحصينات قوية Low-level Vulnerability : وهذا النوع صعب الاستغلال
ويتطلب الكثير من المصادر , مصادر ماليه أو وقت طويل على المهاجم Attacker.



ثانيا التهديد Threat :

هناك ثلاث مكونات أساسيه للتهديد Threat وهي :

• الهدف Target: وهي المعلومات المراد سرقتها.
• الطريقة أو العميل Agent: وهي الأشياء المكونة والمنشأة للتهديد.
• الحدث Event :وهي نوعية التأثير لوضعية التهديد .


ولنتحدث عن كل منهم بالتفصيل:



1. الهدف Target :


وهي المعلومات الخاصة بالمنظمة ويمكن للمهاجم Attacker بعمل الآتي على كل من :
• الخصوصية Confidentiality: وذلك بكشف المعلومات السرية للآخرين.
• سلامه المعلومات Integrity: يمكنه تغيير المعلومات الخاصة بالمنظمة.
• التواجد Availability : بواسطة رفض الخدمة عن طريق DoS.
• قابلية محاسبة المهاجمAccountability : لكي لا يحاسب المهاجم Attacker
فإنه يقوم بإخفاء الهجوم (على سبيل المثال تغيير سجل الأحداث Events logs).



2. الطريقة Agents(أو العميل):

لابد من توفر ثلاث سمات :
• الوصول إلى الهدف Access to the target: قد يكون وصول مباشرDirect (أي
أن لدية حساب دخول على النظام وقد يكون غير مباشر Indirect (وذلك بالدخول
عن طريق وسيط ).
• معلومات عن الضحية Knowledge about the target.
• الدوافع أو أسباب الهجوم Motivation.

3. الأحداث Events:

وهي تكون بطرق عديدة من أهمها إساءة الدخول المخول Authorized وغير المخول
Unauthorized إلى المعلومات أو النظام.وإما عن طريق وضع أكواد خبيثة
Malicious (تروجونات أو فيروسات) في الأنظمة.

الدرس الرابع: التشفير (Encryption (1

مقدمة Introduction :

التشفير أو (التعمية) استخدم قديما في الحضارات القديمة لإخفاء المعلومات
والمراسلات مثل الحضارة الفرعونية والدولة الرومانية. ولكن التشفير كعلم
مؤسس منظم يدين بولادته ونشأته للعلماء الرياضيين واللغويين العرب إبان
العصر الذهبي للحضارة العربية ومن أشهرهم الفراهيدي والكندي, وقد ألف
هؤلاء العلماء مفاهيم رياضية متقدمة من أهمها التوافيق والتباديل . وكذلك
توظيف الكندي ومن تبعه مفاهيم الإحصاء والاحتمالات في كسر الشفرة , وقد
سبقت هذه الكتابات كتابات باسكال وفيرما بحوالي ثمانية قرون !!!

وقد شاع في أيامنا استخدام مصطلح "التشفير" ليدل على إخفاء المعلومات.
ولكن كلمة "التشفير" وافدة من اللغات الأوربية (Cipher) وهذه بدورها جاءت
أصلا من اللغة العربية ولكن بمعنى آخر لكلمة "الصفر". فكما هو معلوم أن
العرب قد تبنوا مفهوم الصفر والخانات العشرية واستخدموه في الحساب, وهو ما
لم يكن الأوربيون يعرفونه في القرون الوسطى , وكان مفهوم الصفر جديدا
وغريبا لدرجة أنهم أخذوه بنفس الاسم فأسموه "Cipher". ولأن مفهوم الصفر
الجديد كان في منتهى التعقيد والغموض فقد صاروا يستخدمون كلمة "Cipher"
للدلالة على الأشياء المبهمة وغير الواضحة.

ومن هنا تطور استخدام كلمة "Cipher" في جميع اللغات الأوربية تقريبا لتعني
إخفاء المعلومات وقمنا – نحن العرب- بعد ستة قرون بإعادة بضاعتنا الأصلية
ولكن بمعنى مختلف فنحتنا كلمة غريبة على اللغة العربية هي "التشفير".

تمهيد

التشفير: هو تحويل المعلومات المهمة أو التي لا تريد أن يطلع عليها أحد إلى نص مخفي( أي لا يمكن فهمه).


وعملية فك التشفير كالتالي


وكمثال بسيط على ذلك نأخذ على سبيل المثال كلمة Arab الخطوات أو الخوارزمية لتشفير تلك الكلمة:
نجعل كل حرف يساوي الحرف الذي تليه أي أن:
• A = B
• R = S
• A = B
• B = C
وفي هذا المثال النص الأصلي Plain**** هو Arab والنص المشفر هو BSBC وبذلك
قد أخفينا النص الأصلي وعندما تصل إلى الطرف الثاني فإنه يقوم بعكس
التشفير أي أننا :

نجعل كل حرف يساوي الحرف السابق , وبذلك قد حصلنا على النص الأصلي.
وسوف نتطرق إلى بعض الطرق المتبعة في التشفير إن شاء الله، وهي: • طريقة Caesar
• طريقة Monoalphabetic
• طريقة Playfair
• طريقة Vigenere

• طريقة Caesar :
وهي من أبسط طرق التشفير وهذه الطريقة تعتبر من أقدم طرق التشفير, وفكرة
هذه الطريقة هي تبديل كل حرف بثالث حرف بعده مثلا((A=D. وهكذا, وهذا
الجدول يوضع جميع الحروف:



الشرح :

لنأخذ على سبيل المثال النص الأصلي Plain**** هو "C for Arab" ونريد تشفيره, نقوم بتبديل كل حرف بثالث حرف بعده:
كما هو واضح في الجدول السابق فإن ثالث حرف بعد ال C هو F , وثالث حرف بعد
ال F هو I , وهكذا إلى أن ينتج لنا النص المشفر Cipher****:
"F IRU DUDE"
مثال آخر:
Meet me after the party
والنص المشفر Cipher ****:
PHHW PH DIWHU WKH SDUWB
عيــــــوب هذه الطريقة :
1.لو نظرنا إلى هذه الطريقة من جانب أمني لرأينا أنها سهلة الكسر لدينا 26
احتمالية (عدد الحروف الانجليزية) أو بالأصح 25 احتمالية لأن الحرف لا
يساوي نفسه .
ولنأخذ على سبيل المثال الحرف A لكسره نجرب كل الحروف ماعدا الحرف نفسه
وهذه طريقة معروفه لكسر التشفير وتسمى البحث الشامل Brute force Search .
2. لا يوجد مفتاح Key, وسوف نرى في الطرق الأخرى فائدة المفتاح أي أن هذه الطريقة ثابتة,(نقوم بإرسال النص المشفر فقط ).

• طريقة Monoalphabetic :
فكرة هذه الطريقة أن يكون لدينا مفتاح Key ونقوم بتبديل النص الأصلي بالمفتاح Key.وهي أفضل من طريقة Caesar لأن المفتاح متغير :
الشرح:
لدينا الأحرف من a-z:



سؤال: لماذا قمنا باختيار هذا المفتاح (DKVQFIBJWPESCXHTMYAUOLRGZN) هل له قاعدة ؟ الجواب: نحاول أن نختار المفتاح عشوائيا, و ليس له قاعدة قمنا باختياره عشوائيا ونحاول أن نوزع الحروف بشكل متباعد.

والآن وبعد أن و ضعنا المفتاح ال Key ونريد تشفير رسالتنا بذلك المفتاح ولنفرض أن الرسالة plain**** التي لدينا هي : "C for Arab" .

ولتشفيرها : نبدأ بحرف C ننظر إلى الحروف Plain ونبحث عن الC و نرى ماذا
يقابله ( في الجدول السابق) , ويقابلة حرف الـV . ثم نأتي للحرف التالي
وهو ال f وننظر لمقابلة في الجدول وهو حرف الـ I .... وهكذا إلى أن نحصل
على النص المشفر Cipher **** :
"V IHY DYDK"

مثال أخر:
النص الأصلي:
Plaint ext: ifwewishtoreplaceletters
والمفتاح كما في الجدول السابق، ناتج التشفير:
Cipher t ext: WIRFRWAJUHYFTSDVFSFUUFYA

الدرس الخامس: التشفير (Encryption (2


وبعد أن عرفنا طريقة Caesar وطريقة Monoalphabetic, قد يتبادر إلينا أن
طريقة Monoalphabetic قوية بما فيه الكفاية , وهذا ليس صحيح !!!
تكمن المشكلة في أن اللغة فيها تكرار (سواء اللغة العربية أو اللغة
الإنجليزية) ولنـأخذ على سبيل المثال "th lrd sm allh shll nt wnt" .

ولفهم المثال السابق لا يلزمنا كتابة الحروف كاملة بل فهمناها بحذف حروف العلة (Vowels) .



اقتباس:

الحروف ليست متساوية في الاستخدام , في اللغة الانجليزية على سبيل المثال E هو الأكثر استخداما ثم يأتي من بعده الحروف: T, R, N, I, O, A, S والحروف نادرة الاستخدام هي: Z, J, K, Q, X

ولنأخذ على سبيل المثال النص التالي:
UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ
VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX
EPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ.
ولمعرفة النص الناتج:

نحسب الحرف المتكرر في النص بأكبر تكرار.
على سبيل التخمين نجعل الـ P=e والـ Z=t .
وعلى سبيل التخمين أيضا ZW=th ومن ثم يكون ZWP=the.

و بعد المحاولات إلى أن نحصل على النص التالي:
it was disclosed yesterday that several informal but
direct contacts have been made with political
representatives of the viet cong in Moscow.

والآن ننتقل إلى الطريقة الثالثة وهي:
• طريقة Playfair :
أخترع هذه الطريقة العالم Charles Wheatstone في عام 1854م ولكنها سميت
بعد ذلك بأسم صديقة Baron Playfair, وكانت هذه الطريقة تستخدم لعدة سنين
بين(US & British) في الحرب العالمية الأولى (WW1).

وفكرة هذه الطريقة أن يكون لدينا مصفوفة من نوع 5x5, أي تكون المصفوفة مكونة من 25 عنصر , ولكن الحروف الانجليزية تساوي 26 !!!

ولهذا السبب جعل Charles حرفي الـ I و J متساويان، أي(I,J=>I).

الشرح:
1. نختار مفتاح Key ولنفترض "COMPUTER".
2. نقوم بتعبئة المصفوفة ونبدأ بالمفتاح Key أولا .
3. بعد ذلك نكتب الحروف بعد المفتاح Key.
4. نبدأ بحرف ال A بعد كتابة المفتاح Key وبعده ال B ثم حرف ال C ولكن حرف
ال C موجود في ال key ولذلك لا نكتب ال C بل نذهب إلى الحرف الذي بعده
وهكذا إلى أن نصل إلى ال Z.

وتصبح المصفوفة Matrix كما يلي


طريقة التشفير:

لنأخذ مثال أخر :

المفتاحKey هو "MONARCHY".

وعند إكمال المصفوفة تصبح:



1. نأخذ حرفين في كل مرة وإذا تشابه الحرفين نضع 'X' , مثلا "balloon" تصبح كالتالي "ba lx lo on".
2. إذا جاء حرفين في نفس الصف مثلا "AR" (في الجدول السابق) نبدله مع
الأيمن منه إلى "RM" وهنا وقعت في طرف الجدول أخذنا "R" ونرجع إلى بداية
الصف ونأخذ ال "M". ولو جاء في الوسط مثلا : "ON" تصبح "NA" .
3. إذا جاء حرفين في نفس العمود , نبدله مع الأسفل منه , مثال "MU" يشفر إلى "CM" .
4. معادا ذلك (أي إذا وقعت الحروف غير المكان السابق) كل حرف يبدل مع
الحرف الواقع في نفس العمود وعلى صف الحرف الأخر,مثال "HS" يشفر إلى "BP"
و"EA" يشفر إلى "IM" و"MZ" إلى "RU" وهكذا ..

ولفك التشفير نقوم بعكس الخطوات السابقة.
• طريقة Vigenere:
في هذه الطريقة نقوم بوضع مفتاح Key للنص على أن يكون :
• أن يكرر المفتاح Key على حسب طول النص.
• نجمع المفتاح Key مع النص الأصلي ( نجعل كل حرف يساوي قيمته العددية ) مثلا a=0 والc = 2 وهكذا.

مثال :

باستخدام المفتاح ( Key deceptive ).

والرسالة Plain**** هي we are discovered save yourself .

نقوم بالآتي :
key: deceptivedeceptivedeceptive
plain****: wearediscoveredsaveyourself



في المثال السابق:
1. قمنا بتكرار ال Key على طول النص الأصلي .
2. نجمع كل حرف من النص الأصلي مع الحرف الذي يوازيه من حروف المفتاح Key.


مثل : d+w وهي تساوي 3+22=25 وهو حرف ال Z اذا d+w=Z.

e+e تساوي 4+4=8 وهو حرف ال I , I 8 =.

وبعد تشفيرها يصبح النص :
ZICVTWQNGRZGVTWAVZHCQYGLMGJ

ولفك التشفير:
النص الأصلي = النص المشفر – الحرف الموازي له من المفتاح Key.

مثل Z-d أي 25-3 = 22 وال 22 تساوي حرف w. وهكذا...