هذا المقال لا يهتم بالجانب العملي، بل هو أشبه برؤية مككوكية لعالم الحماية. قد تنجح في عمل شئ ما إذا ما ثابرت وحاولت، ولكنك لن تبدع إلا إذا كانت لديك رؤية شاملة لما يحصل من حولك في هذا العالم الواسع، عالم الحماية.بعد متابعتك للمقالتين القادمتين سيكون بمقدورك التفريق بسهولة بين أنواع الهجمات والإختراقات، ستعرف ما نوع الهجوم الذي إن طبقته ستحصل على ما تريد.
في هذه المقالة والتي تليها سنتعرض إلى الأهداف التي يجب على مصمم البرنامج أو الشبكة المحافظة عليها، وما هي أشهر الهجمات التي تحاول أختراق كل هدف من هذه الأهداف. ومن ثم سنتحدث عن خدمات الحماية وفقا لأشهر المعايير في مجال أمن المعلومات (ITU-T) وما هي طرق الحماية التي نستطيع استخدامها لتحقيق هذه المعايير.
سنبدأ الحديث عن الأهداف التي من أجلها تقوم المنظمات بإنشاء أنظمة الحماية المختلفة، وهي ثلاثة. السرية، السلامة، الإتاحة أو التوفر.
- السرية (Confidentiality):
السرية هي أشهر الأهداف في مجال أمن المعلومات. إخفاء المعلومات قد يكون مهم جدا، فمثلا المعلومات العسكرية لا يجب أن تصل إلى مخابرات العدوا! حتى في عالم الأعمال، بعض المعلومات سرية ولا يجب أن يطلع عليها المنافسين. سرية المعلومات لا تكون فقط في المعلومات المحفوظة في القرص الصلب، بل أيضا تمتد لتشمل المعلومات المنتقلة عبر الإنترنت.
- السلامة (Integrity):
البيانات تتغير دائما، فمثلا في البنك حينما يقوم أحدهم بسحب نقدي، يجب تغيير ما تبقى له في حسابه بناءً على ما تم سحبه. السلامة تعني أن تبقى البيانات كما هي ولا يستطيع تغييرها إلا الأشخاص المصرح لهم بهذا وبالطريقة الصحيحة. وسلامة البيانات ليست مهددة فقط بفعل هجومي من خارج المؤسسة، انقطاع الكهرباء أو زيادة الشحنة الكهربائية قد تؤثر في البيانات! (تذكر أن كل البينات المنتقلة في الشبكة هي عبارة عن شحنات كهربائية).
- الإتاحة (Availability):
تعني الإتاحة أن تكون البيانات(أو الخدمات) متاحة للأشخاص المصرح لهم بهذا. ويذكرني هذا الهدف بالمقولة الشهيرة التي تقول: “أكثر الأماكن أمانا للسفن هي الميناء، ولكنها لم تُبن لذلك”. لإن حماية البيانات ستكون أكثر سهولة إذا لم تكن متاحة عبر الإنترنت، ولكن ما فائدتها إذن؟
الآن سنتحدث عن أشهر الهجمات التي تستهدف هذه الأهداف.
الهجمات على السرية:
التجسس(Snooping):
هي سرقة البيانات المنتقلة من مكان إلى آخر ومعرفة محتواها. على سبيل المثال، إذا تم نقل ملف عبر الإنترنت يحتوي على البيانات سرية، التجسس هو الحصول على هذا الملف ومعرفة ما فيه من بيانات.
التنصت (Traffic Analysis):
التنصت بعكس التجسس، لا تستطيع الإستفادة من البيانات بشكل مباشر (بسبب أنها مشفرة مثلا). ولكن تستطيع معرفة الكثير من المعلومات الأخرى التي قد تكون مفيدة من خلال مراقبة حزم البيانات المنتقلة من جهاز إلى آخر. على سبيل المثال، تستطيع معرفة وجهة الملف (من خلال معرفة الـ IP الخاص بالوجهة). ومعلومة واحدة قد لا تكون مفيدة وحدها، ولكن المعلومات الصغيرة قد تفيد إذا ما جمعتهم معًا.
الهجمات على السلامة:
التعديل (Modification):
التعديل هي خطوة تلي الحصول على حزمة البيانات، فيستطيع المهاجم تغيير البيانات لتكون في صالحه هو. على سبيل المثال، يستطيع المهاجم الإستفادة من رسالة عميل بنك يريد تحويل أمواله إلى حساب آخر من خلال تغيير الحساب المستفيد ليكون حسابه المهاجم.
سرقة الهوية (Masquerading OR Spoofing):
سرقة الهوية هي ادعاء المهاجم والتظاهر أنه شخصٌ آخر. كادعاء المهاجم أنه عميل بنك معين (من خلال سرقة كلمة المرور الخاصة بهذا العميل مثلا). وتشمل سرقة الهوية إدعاء أنه مؤسسة أيضًا! فقد يدعي المهاجم أنه البنك ليأخذ معلومات حساسة من العميل.
إعادة إرسال (Replaying):
هذا الهجوم يعتمد على سرقة نسخة من رسالة معينة، ومن ثم إعادة إرسالها في وقت لاحق. على سبيل المثال، ينسخ المهاجم رسالة لعميل أراد تحويل أموال له من البنك لقيامه المهاجم بخدمة معينة للعميل. في وقت لاحق، يرسل المهاجم نفس الرسالة إلى البنك ليتم تحويل المبلغ مرة ثانية وثالثة ورابعة وهكذا..
الإنكار (Repudiation):
طريقة الهجوم هذه مختلفة تماما عن كل ما سبق. في هذه الطريقة ينكر أحد طرفي الإتصال قيامه بالإتصال. على سبيل المثال، يقوم عميل بنك بطلب تحويل أموال إلى حساب آخر، وبعد فترة يُنكر طلبه هذا الطلب. أو قيام شخص بشراء بضاعة على الإنترنت، وبعد الدفع، يُنكر البائع حصوله على الأموال.
الهجمات على الإتاحة:
الحرمان من الخدمة (Denial of Service):
من أشهر الهجمات على الإطلاق في عالم أمن المعلومات. لها عدة طرق، منها إرسال طلبات كثيرة إلى الموقع تجعله بطيئا أو تقوم بإيقاعه كليا. قد يشمل أيضا الحصول على الرسائل القادمة من الموقع إلى عميل معين ومسحها، ليُخيل للعميل أن المُخدم قد سقط. أو العكس، يقوم المهاجم بمسح كل الرسائل الموجهة من العميل إلى الموقع.
إكمالا لما تحدثنا عنه في المقال السابق عن أهداف الحماية وأشهر الهجمات التي تهدد هذه الأهداف، سنتحدث اليوم عن الأربع خدمات التي قدمها معيار (ITU-T) العالمي وكيف يمكن تقديمها.
الخدمات:
الأربع خدمات هم سرية البيانات وتكمالية البيانات والتحقق من الشخصية،و منع الإنكار والتحكم في الوصول. نلاحظ في هذه الخدمات أنها تقوم مجتمعة مقام الأهداف الثلاثة للحماية. وأيضا ستلاحظ أنها تمنع جميع أنواع الأختراق الذي تم ذكره في المقالالسابق.
سرية البيانات (Data Confidentiality):
هي الخدمة المقدمة للحماية من معرفة محتوى البيانات والإستفادة منها بشكل مباشر (من خلال الإطلاع على البيانات مباشرة) أو بشكل غير مباشر (من خلال التنصت على الإتصال).
تكاملية البيانات (Data Integrity):
هي الخدمة المقدمة لحماية البيانات من التعديل أو المسح أو حتى إعادة الإرسال.
التحقق من الشخصية (Authentication):
هي الخدمة المقدمة للتحقق من شخصية المستقبل أو المرسل أو كليهما معا.
منع الإنكار (Nonrepudiation):
هي الخدمة المقدمة للحماية من إنكار أحد طرفي الإتصال قيامة بطلب شئ معين من خلال تمكين المرسل أو المستقبل من إثبات أن من قام بالإتصال هو الطرف الآخر إذا قام الطرف الآخر بالإنكار.
التحكم في الوصول (Access Control):
هي الخدمة المقدمة للحماية من الوصول إلى البيانات لغير المصرح لهم.
آليات الحماية:
آليات الحماية هي الأدوات التي يتم استخدامها لتقديم الخدمات الأربع التي تم ذكرها آنفا. قد يتم استعمال أكثر من آلية للحصول على خدمة واحدة، وقد تُستعمل الآلية للحصول على أكثر من خدمة أيضًا. سنقوم أولا باستعراض هذه الخدمات، ومن ثم سنستعرض كيف يتم الإستفادة من هذه الخدمات.
التعمية (Encipherment):
أولى أدوات الحماية، وتعني إخفاء البيانات بطريقة لا يمكن الإستفادة منها إلا من الأشخاص المصرح لهم فقط. أشهر أنواع التعمية اليوم هي التشفير (Encryption) وإخفاء البيانات (Encipherment).
تكاملية البيانات (Data Integrity):
هي طريقة لإضافة بيانات إضافية (عبارة عن قيمة معينة) إلى البيانات الأصلية للتحقق منها. يقوم المرسل بحساب هذه القيمة بطريقة معينة ومن ثم يضعها مع البيانات الأصلية. ومن ثم يقوم المستقبل بأخذ البيانات الأصلية ويقوم بعمل نفس الحسابات التي قام بها المرسل ويقوم بعدها بمقارنة النتيجتين للتأكد من تطابقهما.
التوقيع الإلكتروني (Digital Signature):
التوقيع الإلكتروني هي الطريقة التي يستطيع بها المرسل توقيع البيانات إلكترونيا بحيث يستطيع المستقبل التأكد من صحة التوقيع. الطريقة هي أن يقوم المرسل بعملية تُثبت أنه يمتلك المفتاح السري للمفتاح المُعلن الذي أعلنه من قبل.
تبادل التوثيق (Authentication Exchange):
هي الطريقة التي يُمكن لطرفي الإتصال من خلالها إثبات هويتهما لبعضهما. على سبيل المثال أحد طرفي الإتصال يستطيع إثبات أنه يمتلك معلومة معينة (كلمة المرور مثلا) هو وحده يعرفها.
حشو حزم البيانات (Traffic padding):
هي طريقة تستخدم لمنع التجسس، وذلك من خلال إرسال حزم بيانات مزيفة وسط البيانات الحقيقية لتضليل المتنصت.
التحكم بالطريق (Routing Control):
هي الطريقة التي تقوم على تغيير مسار البيانات بين المرسل والمستقبل بشكل مستمر بحيث يكون من الصعب الحصول على كامل الرسائل المرسلة بينهما.
التوثيق (Notarization):
وتعني اختيار طرف ثالث موثوق للتحكم بعملية الإتصال بين طرفي الإتصال. هذه الطريقة تستخدم لمنع الإنكار (راجع المقال السابق). يقوم الطرف الثالث بحفظ الطلبات من جهتي الإتصال بحيث لا يستطيع أحدهما إنكار إرسال الطلب.
التحكم في الوصول (Access Control):
استخدام طريقة للتأكد من أن المستخدم له الحق في الإطلاع على البيانات، استخدام كلمات المرور مثلا
مصادر:
كتاب: cryptography and network security
للكاتب: behrouz a. forouzan
.jpg)
.jpg)
