كيف تحمي بريدك الشخصي من الاختراق

كثر الحديث هذه الأيام عن سرقة البريد الالكتروني، وهي عملية معقدة وتحتاج إلى وقت حتى تكاد تصبح مستحيلة خاصة مع الشركات الضخمة مثل هوت ميل. سوف نتطرق في هذه المقالة عن طريقة حماية البريد من خطر الاختراق والسرقة وذلك بعد الحديث بشكل مبسط عن الطرق المستخدمة في عملية الاختراق.

وإليك بعض الطرق المستخدمة في عملية الاختراق:

1-      طريقة الـ Social Engineering  والمقصود بها أن الشخص يخترق البريد بعد التحدث مع الشخص الضحية ومعرفة بعض المعلومات عنه مثل عمره أو مدرسته أو أفضل مدرس أو أفضل صديق أو ... وخاصة إذا كان هذه الأسئلة من الأسئلة التي تكون مسجلة لدى خصائص البريد. وبعد معرفة هذه الأجوبة يكون من السهل تغير الكلمة السرية إلى أي شيء اخر بدون علم صاحب البريد.

 

2-      من الطرق الأخرى طرق مراقبة الشبكة بعمل Network snaffling وتكون من خلال الشبكة المحلية حيث يقوم الهاكر بمراقبة جميع المخرجات من جهاز الضحية وقد تحتوي هذه المخرجات على كلمات سر مرسلة إلى الشركة المزودة بالبريد الالكتروني وتكون الكلمة السرية واضحة عين الشمس من خلال البيانات وخاصة إذا كانت الشركة  المزودة للبريد لا تستخدمة SSL  لتشفير البيانات بين المستخدمين.

 

 

من الصورة السابقة يمكن ان نجد أن كلمة R3VFc1N0SGlTMTIz    مكتوبة بطرقة واضحة وهي مشفرة وبعد فك التشفير باستخدام احد البرامج رأينا ان الكلمة هي GuEsStHiS123

انظر هذه المقالة لمزيد من المعلومات

http://www.exchangeinbox.com/article.aspx?i=130&t=2

 

3-      من الطرق ايضاً وجود برامج Key logger  وهذه البرامج تقوم بتخزين وارسال جميع المدخلات على الجهاز من لوحة المفاتيح وتكون طريقة سهلة لمعرفة البريد خاصة أن معظم أجهزة مقاهي الانتنرنت تحتوي على مثل هذه البرامج بطريقة مخفية.

 

وأكثر الحلول المستخدمة تكون من الحل الاول لسهولتها وعدم الاعتماد على الخبرة في فن التشفير، لذلك جميع مشاكل الاختراق تكون من سوء الاستخدام وليس من سوء الشركة وسوء نظامها.

 

والان ما ذا يمكن أن أفعل لأقوم بحماية بريدي الخاص.

1-      ينصح بالقيام بتصعيب الكلمة السرية، أضف أرقام وحروف ورموز بنفس الوقت إلى الكلمة، ولا تجعل الكملة السرية اسمك أو رقم هاتفك او تاريخ ميلادك أو أرقام تسلسلية. ومثال على الكلمات الصعبة:

$ecUriTy4Ar@b92_352

$y$tEm4@r@b3232-132

2-      في الهوت ميل قم بالغاء ميزة اعادة الكلمة السرية عن طريق الأسئلة السرية واستخدم بدلاً منها البريد الاحتياطي

3-      لا تقم بالثقة بأحد باعطائه الكلمة السرية أو عدد الحروف أو عدد الأرقام والحروف المكونة منها

4-      حمل اخر التحديثات الأمنية على جهازك

5-      اقتني اخر اصدار من مكافح الفايروسات وقم بتفعيل خدمة الجدار الناري الموجود مع برنامج ويندوز

6-      استخدم دائماً ميزة Use enhanced security الموجودة اسفل خانتي اسم المستخدم والكلمة السرية في برنامج الهوت ميل حيث أنها تمكن الجهاز من ارسال جميع البيانات مشفرة إلى شركة الهوت ميل

 

والان نأمل أن تكون قد وافينا الموضوع إلى هذا الحد وبانتظار ردودكم وافكاركم لحماية البريد الالكتروني من الاختراق

 

 

مقدمة عن TMG

يعتبر برنامج TMG  من البرامج الشاملة في امن الوصول لصفحات الويب، فهو البوابة الويب لحماية الموظفين من مخاطر الويب. ويحتوي

على الأمور التالية:

1-       Firewall  جدار حماية متوافق مع بنية دليل النشط AD

2-       VPN  وهي خاصة تمكن الموظفين من الوصول للشبكة المحلية من أي مكان في العالم

3-       نظام منع المتطفلين IPS وحيث أن الاصدارات القديم لم تكن تحتوي إلا على IDS  وهي نظام ترقب المتطفلين بدون منعهم.

4-       نظام مكافح الفايروسات ونظام فلترت المواقع، ولم يكن هذه الميزات موجودة في الاصدارات السابقة. حيث كان يترتب شراء منتج متوافق مع ISA  للقيام بعملية مكافحة الفايروسات وفلترت المواقع.

5-       يمكن بناء DMZ بسهولة ويسر.

6-       سهل الاستخدام كسائر برامج Microsoft

7-       حماية طبقة الشبكة من المخترقين "الطبقة الثالثة من طبقات TCP" والمتخصصة في عملية الـ Routing

8-       حماية طبقة التطبيقات من المتطفلين "الطبقة السابعة من طبقات TCP"

9-       حماية عالية للبرامج الـ Published  عبر الشبكة ومثال عليها خدمة الـ OWA أو "web mail"

10-   امكانة عمل VPN site to site وVPN للمستخدمين

11-   سهولة التحكم وتغير الاعدادات

Forefront Threat Management Gateway (TMG) is a comprehensive, secure Web gateway that helps protect employees from Web-based threats. It also delivers simple, unified perimeter security with integrated firewall, VPN, intrusion prevention, antivirus, and URL filtering.

With integrated protections against Web-based threats, Forefront Threat Management Gateway provides a solution to protect your users against both malware and malicious sites.

Forefront Threat Management Gateway is also the successor to Microsoft ISA Server 2006, enabling you to deploy an integrated security gateway to help protect your perimeter or branch offices from attack.

Key Benefits

Multiple Threat Protection

• Network-layer attack protection
• Integrated anti-malware and antivirus
• Application-layer intrusion prevention

Highly Secure Connectivity

• Protection against Web-based attacks for Web users
• Highly secure application publishing for remote users
• VPN management for site-to-site and remote users

Simple Management

• Centralized network security management
• Easy-to-use wizards
• Integrated e-mail security management

 

 

 

مقدمة عن أمن العلومات

مقدمة عن أمن العلومات
كثر استخدام مصطلح "أمن المعلومات" في الآونة الأخيرة ، وزاد انتشاره في القطاعات العامة والخاصة، والقطاعات المدنية والعسكرية، ومع التطور المستمر لقطاع الاتصالات الذي اتخذ أشكالا متعددة عبر الزمن، ودخول الانترنت والاتصالات الإلكترونية القطاعات المختلفة، بل حتى القطاع الشخصي، أصبح مفهوم أمن المعلومات أكثر حضورا في واقع كثير من الناس، فالانترنت قام بربط أجهزة الحاسب في العالم مع بعضها البعض حتى قيل أن العالم أصبح قرية صغيرة، ومن ثم أصبحت هذه الأجهزة وما تحويه من معلومات متاحة كذلك لكل من يستطيع الوصول لهذه الأجهزة من خلال الارتباط الحاصل بواسطة الشبكة العنكبوتية (الانترنت).


ولكي تحقق وسائل الاتصال أهدافها المرجوة منها، فلا بد أن تحقق الموضوعية والثقة ودرجة معينة من الحماية.
تمثل هذه المعلومات أصولاً مهمة جداً في كثير من الأحيان، بل هي رأس مال الكثيرين بحيث يشكل ضياعها تهديدا لاستمرارية المؤسسة أو الشركة.
فلو تخيلنا مثلا أن شركة دعاية وإعلان قامت بوضع قائمة عملائها في الحاسب المرتبط بالشبكة العنكبوتية، وهؤلاء العملاء هم المعلنون في إصداراتها والذين هم مصدر دخلها، ولم يقوموا بحماية هذه المعلومات من الضياع أو الاستخدام من قبل المنافسين، فماذا تتخيل أن يحصل إذا ما وصلت هذه القائمة للمنافسين؟
كذلك لو أن أحد المخترقين للأنظمة الحاسوبية استطاع أن يصل إلى حسابات عملاء أحد البنوك، فإنه بالتأكيد سوف يحول أرصدة هؤلاء العملاء إلى حسابه الخاص أو يعبث بها بأي نوع من أنواع العبث الذي قد يكلف هذا البنك مليارات الريالات.
ولا تسلم القطاعات الحكومية أو العسكرية من مثل هذا النوع من العبث، بل هو في حقها أشد خطورة وتهديدا من الأمثلة السابقة.
هذه الأمثلة ليست من باب الفرضيات التي ( لا أو لم ) تقع، بل قد وقعت وأدت إلى خسائر تفوق الوصف، وهو الذي دفع الكثيرين إلى إعطاء هذا الجانب حقه من الاهتمام، بل المضي قُدما في تصنيف معلوماته وضبط طرق عرضها والوصول إليها، ومتابعة الطرق المطلوبة لحمايتها من العبث أو الضياع.
ومع توسعة نطاق استخدام الانترنت، فلم يعد وسيلة لعرض المعلومات فقط، بل تعداه إلى أن أصبح وسيلة لعقد الاتفاقات والصفقات التجارية وتبادل الأموال، ومع أهمية وفائدة هذا الاستخدام في اختصار الوقت وتسهيل الاجراءات، إلا أنه يصاحب هذه الفائدة تهديدات متنوعة من الداخل والخارج تهدد هذه المصادر المهمة والقيمة.

· ما المقصود بأمن المعلومات؟

يقصد بأمن المعلومات: مجموعة العمليات والإجراءات والأدوات التي تتخذها القطاعات أو المنظمات لتأمين وحماية معلوماتها وأنظمتها ووسائطها من وصول غير المصرح لهم ، سواء في ذلك من هم من داخل القطاع أو من خارجه.

وتوصف هذه العمليات بأنها عمليات مستمرة تتطلب استمرارية في التطوير ومتابعة للمستجدات، واستمرار في مراقبة وافتراض المخاطر وابتكار الحلول لها.

ولهذا فالمنظمات لا توصف بأن لها نظام معلوماتي أمني حقيقي وفعال حتى تحقق نظام تطويري مستمر للعمليات الأمنية والبشرية والتقنية من أجل تقليل واحتواء المخاطر المفترضة أو المتوقعة.
فالمنظمات تحمي وتُأمن معلوماتها من خلال:
•اعتماد العمليات الأمنية التي تقوم بالتعرف على المخاطر.

•تكوين استراتيجيات لإدارة المخاطر.

•تطبيق للاستراتيجيات.

•اختبار تلك التطبيقات.

•مراقبة بيئة العمل للتحكم بالمخاطر.
· أهداف أمن المعلومات:

يمكننا من تعريف أمن المعلومات السابق تحديد الهدف المرجو منه وهو حماية المعلومات الخاصة بالمنظمة من العبث أو الفقدان، مع مراعاة عدم الحيلولة دون تحقيق أهداف وتطلعات المنظمة، حيث أن الهدف من أمن المعلومات لا بد أن يتفق مع أهداف المنظمة، وكي يتم ذلك لا بد من تحقق الأمور التالية، وهذه الأمور تسمى CIA:

•الخصوصية أو السرية (Confidentiality): وهي الخصوصية للمعلومات المتعلقة بالعملاء أو بالمنظمة بحيث تكون بعيد عن وصلو غير المصرح لهم بالاطلاع عليها. ومن الأمثلة المستخدمة للحصول على الخصوصية – نظام التشفير، وهو من الأمثلة المهمة التي توفر مستوى عالٍ من الأمن للمعلومات مع المحافظة على المرونة في تداول تلك البيانات

•السلامة (Integrity) المعلومات والأنظمة بحيث يمكن التأكد من عدم تعرضها لأي نوع من التغيير الغير مصرح به، وبعبارة أخرى فإن البيانات لا يمكن أن يحدث لها استحداث أو تغيير أو حذف من غير تصريح، وكذلك تعني أن البيانات المخزنة في أحد أجزاء جداول قواعد البيانات متوافقة مع ما يقابلها من البيانات المخزنة في جزء آخر من قواعد البيانات. مثال ذلك: يمكن أن تتغيب سلامة البيانات في قواعد البيانات عند حدوث انقطاع مفاجئ للكهرباء التي تغذي جهاز الخادم، أو عند عدم إقفال قاعدة البيانات بشكل صحيح، وكذلك بسبب حذف لمعلومة بطريقة الخطأ من قبل أحد الموظفين، وقد يحصل الخلل أيضا بسبب فايروس.

•التوفر بشكل دائم (Availability) المعلومات والأنظمة الحاسوبية والعمليات الأمنية بحيث تعمل بشكل سليم عند الحاجة لها، وذلك بعد تطبيق العمليات الخاصة بأمن المعلومات.

ولتحقيق هذه الأمور، نحتاج لاستخدام مجموعة من المقاييس. وتدرج هذه المقاييس تحت ثلاث أمور رئيسية وهي:
1- Access control (التحكم بالوصول)
2- Authentication (إثبات الصلاحيات)
3- Auditing (التدقيق)

ويرمز للأمور الثلاث السابقة بالاختصار AAA وهو الأمر الأساسي لفهم أمن الشبكات وأمن الوصول للبيانات, وتستخدم هذه الأمور الثلاثة بشكل يومي في حماية البيانات الخاصة وحماية الأنظمة من التخريب المعتمد والغير معتمد. وهذه المفاهيم السابقة تدعم مفاهيم الأمن CIA الخصوصية والسلامة والتوفر التي سبق ذكرها.


ماهو AAA؟
AAA هي مجموعة من العمليات تستخدم لحماية البيانات وسرية المعلومات والغرض منها هو تزويدنا بCIA ، وهي على النحو التالي:

1. التحكم بالوصول (Access control)
ممكن أن تعرف كسياسة للتحكم بمكونات البرامج أو مكونات الأجهزة من حيث المنع أو السماح للوصول إلى مصادر الشبكة ويمكن تمثيلها بالبطاقات الذكية أو أجهزة البصمة أو يمكن أن تكون أجهزة الاتصال الشبكي مثل الراوترات أو نقاط الوصول للأجهزة اللاسلكية تخصيص صلاحيات على ملفات شخصية لمستخدمي الكومبيوتر.

2. إثبات الصلاحيات (Authentication)
هي عملية التحقق من صلاحيات للمستخدمين على مصادر الشبكة ويتم تحديد المستخدم من خلال استخدام اسم المستخدم وكلمة السر أو البطاقات الذكية ويتم بعد ذلك إعطاءه الصلاحيات بناء على هويته. وهذه الصلاحيات يتم تحديدها من قبل مدير الشبكة.

3. التدقيق (Auditing)
وهي عبارة عن عمليات التدقيق وتتبع الصلاحيات عن طريق مراقبة الموارد والشبكة وتعتبر من أهم الأمور في مجال أمن الشبكة حيث يتم التعرف على المخترقين ومعرفة الطرق والأدوات التي تم استخدامها للوصول إلى الشبكة.َ


· المخاطر الواقعة على أمن المعلومات

يقصد بالمخاطر هنا هو كل ما يمكن أن يؤثر على المعلومات والبيانات بشكل سلبي من تغيير غير مُراد أو ضياع. هذه المخاطر تحتاج إلى معالجة لتجنيب البيانات الخطر قبل وقوعه وهو ما يعرف بإدارة المخاطر. فإدارة المخاطر تُعرف بأنها العمليات التي تهدف إلى التعرف على حساسية البيانات المملوكة للمنظمة، والتهديدات التي قد تقع على هذه البيانات، وتحديد الإجراءات والمقاييس التي يمكن اتخاذها لتقليل مستوى الخطر.
وكي تحقق إدارة المخاطر الأهداف المرجوة منها، فينبغي أن تبدأ مع بداية عمل المنظمة، أي من اليوم الأول أو قبله، وسوف يتم التفصيل في هذه الموضوع لاحقا.

· الوعي الأمني للمعلومات

مما سبق يتضح مفهوم أمن المعلومات، ومخاطر غياب هذا المفهوم لدى الموظفين، فكثير من المخاطر الواقعة على أمن المعلومات هي صادرة من داخل المنظمة من قبل الموظفين، بعضها بسبب الجهل وبعضها بسبب الخطأ أو الإهمال.

فبعض الموظفين يتساهل في تداول وسائل التخزين المختلفة دون التأكد من خلوها من برامج التجسس أو الفيروسات أو ...، وهذا بالتالي يعرض البيانات إلى خطر التلف أو السرقة والعبث.

وقد يتسبب الجهل بنوع الخطر وطريقة معالجته بخطر آخر لا يقل عن سابقه في الخطورة، ومثال ذلك: أن تقوم مؤسسة ببناء مركز معلوماتي وتتخذ إجراءات حماية لهذا المركز بأن تضع في المبنى كاشف للحريق، بحيث يتم اكتشاف الحريق وإطفائه قبل أن يصل إلى الخادمات ووسائط التخزين المختلفة، ويغفل المسؤول في المؤسسة أن يختار نوع المادة المستخدمة في إطفاء الحرائق، بل يستخدم المادة المعتادة وهي الماء، متغافلا عن أن خطرها على الخادمات بمقدار خطر النار عليها.

ومن الأمور التي تعتبر غاية في الأهمية هو التصنيف الأمني للمعلومات، فلا بد من تحديد القيمة الفعلية للبيانات والتعريف بدرجات سريتها وحساسيتها، ومن ثم تعريف إجراءات الحماية المناسبة لكل معلومة بحسب أهميتها، فليس كل البيانات بنفس القدر من الأهمية، ولهذا يجب التفاضل أيضا بينها في درجة الحماية، ومن الخطوات المهمة في تصنيف المعلومات:

• تحديد عضو مسؤول يصنف كمسؤول عن البيانات.

• تطوير نظام بسياسات التصنيف للبيانات، بحيث يتم تعريف ووصف المستويات المختلفة للتصنيف، وتحديد المعاييرالتي تحدد كيفية إدراج المعلومة في مستوى التصنيف المناسب، ومن ثم تحديد الأدوات والإجراءت التي تتخذ من أجل حماية كل مستوى من مستويات التصنيف.

• معرفة القوانين والأنظمة لدى المنظمات من الأمور المهمة في تحديد مستوى ودرجة أهمية البيانات، فمثلا تفقد الفواتير قانونيتها – وهي من البيانات المهمة – إذا تجاوز عمرها عن خمس سنوات مثلا.

وكنموذج على التصنيف لمستويات أمن المعلومات لدى المؤسسات التجارية:
1- المعلومات العامة.
2- المعلومات الحساسة.
3- المعلومات الخاصة.
4- المعلومات السرية.

وكنموذج على التصنيف لمستويات أمن المعلومات لدى القطاع الحكومي:
1- المعلومات الغير مصنفة.
2- المعلومات الحساسة غير المصنفة.
3- المعلومات السرية.
4- المعلومات عالية السرية.

ولا بد من تدريب الموظفين للتأكد من إلمامهم بهذا التصنيف ومعرفتهم التامة بالإجراءات المتخذة في كل مستوى من مستويات التصنيف.

وأيضا لا بد من الفحص الدوري للمعلومات، والتأكد من صحة بقائها في المستوى المناسب لأهميتها، فأهمية المعلومات والبيانات تتغير من حين لآخر، ومن ثم تحتاج إلى إعادة تصنيف من جديد.


المصدر:
1- Harris, Shon (2003). All-in-one CISSP Certification Exam Guide

2- ISACA (2006). CISA Review Manual 2006

مجموعة من المقالات المتوفرة عبر الانترنت







مناقشة المقالة

http://www.security4arab.com/index.php?option=com_kunena&Itemid=2&func=view&catid=5&id=13