Admin
Admin
Messages : 153
Date d'inscription : 06/05/2009
 | موضوع: الهجوم والتخطيط  الخميس 8 أكتوبر - 22:58 | |
| بسم ا الرحمن الرحيم
كلنا سمعنا عن كيفن متنيك السطورة ولكن للسف كانت المعلومات التي تعطيها لي
المواقع العربية كلها ل تتعدى صفحة أو اثنين وكلها متشابهة لذا وبعد أن اطلعت
عليه وأجريت الكثير من البحاث حوله في المواقع العالمية
وبعد قراءتي لكتبه التي ألفها بنفسه والتي الفت ضده وكل المقالت التي تحدثت عنه
قررت ووجدت فيها من المعلومات ما ل يستغني عنها أي هاكر أو مختص في
المن التقني لذا ابدأ بكتابه الول وهو
THE ART OF DECEPTION
مع ملحظة انه قد تم حذف بعض المواضيع الغير هامة والمملة للقارئ وبعض
التفاصيل السخيفة
ترجمة : فريدون تيللو قراءة وتدقيق : سردار سليمان
المقدّمة:
يُحطّمُ بَعْض الهاكرز ملفاتَ الناسَ أَو كامل القراص الصلبةِ؛ هؤلء يَدْعونَ
الهاكرز إي اللصوصَ أَو مخربون. بَعْض الهاكرز المبتدئون ل يُكلفون أنفسهم عناء
تَعَلّم التقنيةِ، لكن ببساطة عن طريق البرامج وأدوات هاكر آخر لتحميلِ و لقتحام
أنظمةِ الحاسوب؛ هم يَدْعونَ أطفال التصفح. الهاكرز أكثر خبرة بالبرمجة العليا وِ
يُطوّر الهاكرز البرامج وتُعيّنُهم لختراق الويبِ و النظمة . وبعد ذلك هناك الفرادَ
الذين لَيْسَ لهُمْ اهتمام في التقنيةِ، لكن يَستعملونَ الحاسوبَ كمجرّد أداة لمُسَاعَدَتهم
في سَرِقَة المالِ، سلع، أَو خدمات. وبالرغم التشويه من قبل أجهزةَ العلم يقول كيفن
متنيك لَستُ لصّ كومبيوتر خبيث. لكنني طورت نفسي.
البَداية:
مسيرتي كانت على نحو مبكر. كطفل سعيد، لكن سريع الملل .بَعْدَ غياب والدي وانأ
في الثالثة،عَملتْ أمي كنادلة لتعيلنا .فكانت النسانة التي كرست حياتها لتراني اكبر
يوم بعد يوم رغم كل الصعاب التي تعرضنا لها البداية كانت في مدينة سان فرنان
دو فالي منحني المجال لستكشاف معالم لوس أنجلس ، وبعُمرِ أثنا عشرَ اكتشفت
طريقة لركوب الحافلت مجانا في كافة أنحاء لوس أنجلس من خلل بعض السئلة
التي كانت تبدو بريئة من قبل طفل صغير واستطعت إن أتحايل على جهاز قطع
التذاكر . (منذ الصغر تمتعت بذاكرة كانت ول تزال تمكنني من تذكّرُ أرقامَ الهواتف،
كلمات سر، والتفاصيل التافهة الخرى. ) الهواية الخرى التي ظهرت في عُمرِ
مبكّر لديِ كَانَت ولعي بالتقنية فما إن أرى جهازا أو برنامج حتى أبدا تعلمه واتقانة
وتطويره هذه كانت المتعةَ في كَسْب إسرار المعرفة.
التحول مِنْ لص الهاتف إلى لصّ الكومبيوتر:
لقائي الول مَع ما تعلّمت تسميته في النهاية الهندسة الجتماعية.
؟؟الهندسة الجتماعية هي التي نسميها نحن خداع الناس أو النصب أي أن تتحايل
على شخص لتأخذ منه معلومات تحتاجها لعمل معين وقد اختار لها كيفن هذا السم
لذا سوف نستخدمه في ترجمتنا للكتاب؟؟
حَدثتْ أثناء سَنَواتِ الدراسة في المدرسة العليا عندما قابلتُ طالباً آخراً منغمسَ في
هواية التحايل على المقاسم الهاتفية. وهو نوع أخر من الهاكر الذي يدخل شبكةِ
الهاتفَ باستغلل أنظمةِ الهاتفَ أو الزبائن أنفسهم . أطلعني صديقي على خُدَعَ لطيفةَ
مع الهاتف، مثل الحُصُول على أيّ معلومات عن زبون معين لدى إحدى شركات
الهاتفَ ، واستعمال اكواد سرية خاصة بالشركةِ لجراء مكالمات خارجية مجانيةِ.
(في الحقيقة كان مجانا بالنسبة لنا فقط. اكتشفت كثيراً فيما بعدً بأنّ الكواد ل تمكننا
من إجراء مكالمة مجانية وإنما تضاف المكالمة على حساب شخص آخر
تلك كَانتْ بداياتي. صديقي و صديقه الذي كان ملك قرصنة الهواتف اسمعاني
النداءاتَ الزائفة إلى شركةِ الهاتفَ. على نحو خدع موظفو الشركة؛ تَعلّمتُ خداع
مختلف شركات الهاتفِ، تدربت طويل على خداع الخرين وانتحال الشخصية .
حتى تفوقت على من علموني ذلك. الدرس الذي اثر على مجرى حياتي لخمسة عشر
سنة التالية.
، إحدى مزحِاتي المفضّلةِ كَانت اختراق مقسم هاتف المدرسة والدخول إلى حساب
صديقي ملك قرصنة الهواتف.
فعندما حاول التصال مِنْ البيتِ، سمع رسالة تُخبرُه بان رصيده غير كاف لجراء
أي مكالمة أصبحت خبير اتصالت، لَيسَ فقط اللكترونياتَ،المقاسم،
والكومبيوترات، لكن أيضاً كل ما يتعلق بالشركاتَ، والجراءات التي يتبعونها ،
أكثر من أي خبير اتصالت آخر . بعمر سبعة عشرَ سنةً، كُنْتُ قادرا على مُنَاقَشَة
عن إي قسم و موضوع مَعهم شخصياً أَو بالهاتفِ.بَدأتْ رحلتي Telco أكثر موظفي
المشهورة جداً في المدرسة العليا.ل أَستطيعُ وَصْف التفاصيلِ هنا، يكفي القول إن ما
دفعني بكل قوة في هذا المجال إن اقبل في شلة الهاكر.استعملنا تعبير الهاكر لتعني
الشخص الذي يقضي الكثير مِنْ الوقت يستخدم الجهزةِ والبرامجِ، أمّا لتَطوير
البرامج أَو لتَجَاوُز الخطواتِ الغير ضروريةِ وانجازُ العمل بسرعة أكبر.أصبحَ
التعبيرُ الن ذو صدى سيء، "مجرم خبيث." بَعْدَ تخرجي من المدرسة العليا
دَرستُ الحاسباتَ –مركز التقنيات في لوس أنجلس خلل بِضْعَة شهورِ،أدركَ مدير
المدرسةَ باني اكتشفت ضعفاً في نظامِ التشغيل والسيطرة الكاملة كأي إداري على
أفضل خبراء الحاسوب لم يَستطيعوا فْهمَ كيف قمت بذلك. فقاموا .IBM شركة
باستغللي وعرض علي ما ليس بقدرتي رفضه : العمَلُ لتَحسين أمنِ كومبيوتر
المدرسةَ أو سيتم ملحقتي قانونياِ. بالطبع، اخترت أَنْ أتعاون معهم، وتخرجت
بدرجة الشرفِ.
نحو المهندس الجتماعي:
معظم الناس يعانون من الروتين في العمل لحد العياء. كُنْتُ محظوظُ بما فيه
الكفاية للتَمَتّع بعملِي. ،
ل يمكن تَخَيّل التحدي، والسرور الذي تملكني كمحقّق خاصّ. كُنْتُ أطور مواهبَي
في فنِ الداء ما اسميه هندسة اجتماعية (تدفع الناس للقيام بأمور لصالحك وبالتالي
هم من يدفع الثمن في النهاية ).
بالنسبة لي لم تكن هناك صعوبة في الهندسة الجتماعية. فعائلة أبية كَانَت في
التسويق لجيالِ، لذا فَنّ التأثير والقناع كَان ميزةً مَوْرُوثةً. عندما تَجْمعُ تلك الميزةِ
بميلِ لخَدْع الناسِ، عندها تملك لمحةُ عن حياة المهندس الجتماعي المثالي.
عَملتُ على تَطوير مهاراتِ حرفتِي، أَدْعوها حرفة،
كَأنَ أَنْ يَختارَ موضوع غير مهمة لي وأَرى إذا كنت استطيعُ أَنْ أناقش شخص ما
على الهاتفِ في ذلك الموضوع وأبدو له إني اعرف جيدا عما أتحدث ، فقط لتحَسّينْ
مهاراتَي. بالطّريقة نفسها كُنْتُ أُزاولُ خُدَعَي السحريةَ، زاولتُ
التَحَجّج. خلل هذه التدريباتِ، وَجدتُ قريباً بأنّني يُمْكِنُ أَنْ احصل على أيّ معلومات
أريدها.
كما وَصفني ليبرمان وطومسون في شهادتهما أمام الكونغرس
؟؟ليبرمان وطومسون هما عضوان في الكونغرس المريكي وهما اللذان ناقشا
قضية كيفن في الكونغرس بعد إلقاء القبض عليه؟؟
بعد فترة تمكنت من اختراق أنظمةِ الحاسوب في بعض مِنْ اكبرِ الشركات على
الكوكبِ، واختراق لبعض مِنْ أنظمة الحاسوب المختصة بالبرمجيات المنية
المتطورة جداً. استعملت في ذلك وسائل مختلفة تقنية وغير تقنية للحُصُول على
النسخ الصلية لنظمةِ التشغيل المُخْتَلِفةِ لدِراسَة نقاطِ ضعفهم وطرق عملها. كُلّ هذا
كان كفيلَ بإرضاء فضولَي لكتشاف قدراتي
الخلصة:
اعترفت منذ إلقاء القبض علي بأنّ أعمالي كَانتْ غير شرعيه ولكن كل ما فعلته كان
بدافع الفضول أردتُ أن اكتشف مهاراتي. تحولت بعد ذلك من الطفل المشاكس إلى
ذلك الهاكرز الكثر شراسة في العالم وأصبحت كابوسا تخَافَه الشركاتِ والحكومةِ.
كان كل ذلك انعكاس لل 30 سنة القاسية التي مضت من عمري الن لم اعد كما كنت
عليه في سابق عهدي لقد أصبحت شخصا آخر أوظف مواهبَي ومعرفتي لزيادة أمنِ
المعلوماتِ ومساعدة الحكومة والشركات ودرع أي تهديد لمن المعلومات لديهمِ.
؟؟ لقد أصبح كيفن بعد خروجه من المعتقل خبير امن ومستشار حماية وهو يدعي انه
ترك الختراق وهذا موضوع يكثر الجدل فيه؟؟
الفصل الول : إيجاد الثغرة الضعف
ل تدخر الشركات جهدا أو مال في سبيل زيادة أمنها سواء بشراء أفضل ما توصل
له المن التقني و رفع كفاءة موظفيها و الحراسة المكثفة لمباني المؤسسة.
مع ذلك تبقى الشركة ضعيفة بما فيه الكفاية
أما الشخاص فإنهم يتبعون كافة الرشادات المنية الموصى من ذوي الخبرة و
استخدام برامج الحماية
مع ذلك يبقون ضعفاء بما فيه الكفاية.
.
العَامِل البَشَرِيّ
في شهادتي أمام الكونغرس، وضّحتُ بأنه يُمْكِننيُ الحصول على كافة المعلومات
الحساسة و كلمات السر وذلك بانتحال شخصية شخص آخر مثل مسؤول كبير في
الشركة .
من المسلم به أننا تواقون للحساس بالمان الكامل. مما يؤدي إلى الشعور الزائف
بالمن وانه ما من مخاطر محدقة..
ل يوجد أمان كامل مهما استخدمت من وسائل و إجراءات لِماذا؟
لن العَامِل البَشَرِيّ هو النقطة الضعفِ.
المن أيضاً في أغلب الحيان مجرّد وهمُ، له نتائج كارثية أحيانا عند التصرف
بغباء . هناك قول مأثور عن. العالم المِنْ خبراء تقديرا ، ألبرت آينشتاين، ،"فقط
شيئان لنهاية لهما، الكون والغباء النساني، " في النهاية، هجمات الهندسة
اجتماعية توتي ثمارها أمام الغبياء المتجاهلون للقواعد المنية.، العديد مِنْ خبراء
تكنولوجيا المعلوماتِ
يقعون فريسة فكرة إنهم جَعلوا الشركات محصّنة بشكل كبير ضدّ الهجومِ اعتمادا
علىً مُنتَجات - برامج حماية، أنظمة تعقّب المتطفلين، أَو أدوات تحقّق أقوى مثل
رموزِ أساسهاِ الوقتَ لعتقاد السائد إن المنتجات المنية فقط توفر الحماية
الكافية.هذا كله مجرد وهم . فهذا اعتقاد موجود فقط في الخيال سيندم عليه
أصحابه.ولقد أشار مستشار أمنِي بارزِ وهو بروس شناير إن المن ليس مجرد
برامج حماية، بل ممارسة ." علوة على ذلك، المن لَيسَ مشكلة تقنيةِ - بل قضية
إدارة و أشخاص. فبينما يطور خبراء المن بشكل مستمر أفضل تقنياتَ المنِ، لجعل
نقاط الضعف المني صعبة الستغلل فبالمقابل المهاجمون يعتمدون أكثر وأكثر
على استغلل العنصرِ النسانيِ. لن التغلب على العامل النسانيُ في أغلب الحيان
سهل، خالي من المخاطر.
إحدى حالت المكر التقليدية
ما هو الخطر الكبر على ممتلكاتك ؟ ذلك سهلُ:
المهندس الجتماعي -- ساحر عديم الضمير ل يمكنك إدراك ما يفعل و هو معك .
ودودا جداً في أغلب الحيان ومرح،
يدفعك للمتنان له بَعْدَ أَنْ صادفتَه.
انظر إلى هذا المثال عنِ الهندسة الجتماعية:
لزال البعض يذكّرْون الشابّ ستانلي مارك ريفكن ومغامرته الصَغيرة بإحدى
مصارف لوس أنجلس. تفاوتت القاويل عنهُ، وهو (مثلي) لم يسبق أن نشر قصته
من جهة نظره الخاصة، لذا فيما يلي مستند على التقاريرِ المَنْشُورةِ.
اختراق الكود:
في 1978 , مَشى بتثاقل نحو قسم الحوالت في .بنك الباسيفيك ، حيث الموظّفون
فقط مسموح لهم بالدخول لحساسية القسم. يتم يوميا تحويل مليارات الدولرات .
وهو كان يَعْملُ لدى الشركة بِموجب عقد لتُطوّيرُ النظام الحتياطي لبيانات قسم
الحوالت في حالة تعطل حاسوبهم الساسي . ذلك العمل خوله الطلع على
إجراءاتِ وسير العمل ، بضمن ذلك موظفو الحوالت يقومون بوضع كلمات المرور
المتغيرة يوميا أمامهم في مكان يسهل رويته . في احد أيام نوفمبر/تشرين الثّاني
ولسبب معين ووجيه قام ستانلي بزيارة القسم.وألقى نظرة خاطفة نحو القصاصات
الورقية المدون عليها كلمات المرور أي الباسوردات .، متظاهرا بأنه يدون
ملحظات حول سير إجراءات سير العمل و التأكد من حسن سير العمل .
. في هذه الثناء، بدون أن يلحظه احد حفظ الباسورد.ثم بعد دقائق قليلة خَرجَ.
الحساب المصرفي السويسريِ
. . .
تَرْك الغرفةِ في حوالي السّاعة الثّالثة بعد الظهر،توجه نحو هاتف عمومي قرب البنك
.واتصل مع قسم الحوالت .
. ليتصل مرة أخرى منتحل شخصية ، مستشار البنك هانسن، عضو القسم الدولي.
وطبقا للمصادر فقد جرت المحادثة كالتي:
بما انه مطلع على نحو كافي استطاع أن يقنع الموظفة التي اتصل بها ليتم بعد ذلك
عملية تحويل 8 مليون دولر لحساب حدده مسبقا.هذه العملية كانت الكبر في سرقة
البنوك حيث لم يستعمل فيها السلح وحتى الكومبيوتر. بل الخداع والمهارة الدقيقة
لجمع المعلومات المطلوبة بدون إثارة الشبهات.
هذا ما يتحدث الكتاب عنه .أساليب الهندسة الجتماعية الماكرة . وكيفية تفادي
مخاطرهم
.
طبيعة الخطر:
توضح حادثة ستانلي بشكل جلي - إلى أي مدى يمكن إقناعنا على نحو خطير
ومكلف جدا. هذا يَحْدثُ كُلّ يوم. أنت قَدْ تَفْقدُ مالَ الن، أَو شخص ما قَدْ يَسْرقُ منه
خططَ منتج جديدِ، وأنت ل تَعْرفُه حتى.القضية الجوهرية ليست انه إذا لم تتعرض
لهكذا حوادث يعني انك بمنأى .بل متى ستتعرض لعملية كتلك.
القلق مُتزايد فقد أشار معهد امن الحواسيب . في استطلع أجرته. انه في عام
2001 .إن 85 بالمائة مِنْ المؤسسات تعرضت لعمليات اختراق. نسبة عالية جدا
تبين مدى تنامي الختراق . مع العلم أن النسبة المذكورة فقط المكتشفة طبعا .
من خلل خبرتي أرى إن تلك الرقام المتناقلة عبر وسائل العلم مبالغ بها.لكن هذا
ل يعني بعدم وجود خسائر مكلفة.
إن الفشل في وضع خطة أمنية يعني الدمار الكيد.إن التقنيات المنية تفيد في ردع
الختراقات الغبية من قبل مبتدئون يدعون إنهم هاكرز.الخطر الكبر يأتي من قبل
هؤلء المحترفون امرة.قون بهذا المجال.حيث يُركّزُ هؤلء الناسِ على هدف واحد
كلّ مرة . وليس مثل الهواة، يُحاولونُ اختراق كل النظمة. الهاوي يَختارُ الكميةَ
ببساطة، يَستهدفُ المحترفين معلوماتَ عالية النوعية والقيمة. إن التقنياتُ مثل
أدواتَ تحقّقِ (لثْبات الهويةِ)، مراقبة الدخول (لدارة الدخول لملفات و مصادر
النظام )، وتعقّب المتطفلين على النظمة (المكافئ اللكتروني لجراسِ إنذار
اللِصوصّ) ضرورية للشركات فهي تنفق على الكماليات مثل القهوة أكثر من توزيع
الجراءات المضادة الرادعة لحماية الشركة ضد هجمات الهاكرز. العقل الجرامي
ل يَستطيعُ مُقَاوَمَة الغراءِ، عقل الهاكرز يقوده نحو إيجاد حلول ومنافذ تعينه على
تقنيات الحماية المنية. وفي العديد مِنْ الحالتِ، يقومون باستهداف الناسِ الذي
يَستعملون تلك التقنيات.
....
.
الممارسات الخادعة
هناك مقولة شائعة.الحاسوب المن هو المطفئ قول ذكي لكن خاطئَ بنفس الوقت
فالواقع نقيض ذلك تماما.لن الحاسوب المطفئ يمكن تشغيله. فالخصم الذي يريد
معلوماتك يمكنه الحصول عليها.بطرق و أساليب متنوعة .إنها قضية وقت و صبر و
إصرار ل أكثر. وهذا ما يتحدث عنه كتاب. فن الخداع.
لهَزيمة التدابير المنية، فالمهاجم، أو الدخيل، أَو المهندس الجتماعي عليه إيجاد
وسيلة لتضليل المستخدم الضحية.لفشاء المعومات. -خدعة الثر الجاهل - لختراقه.
وذلك بخداع الموظفي و المستخدمون و التأثير.و القيام باستغللهم لكشف المعلومات
الحساسة و الجراءات والساليب المضادة .المهاجم.جوة أمنية يتسلل منها .المهاجم .
ليس من تقنية تحمي البزنس بشكل نهائي . مثل محللي الشيفرات عند تحليل رسالة
مشفرة .يبحث عن نقاط الضعف.تجاوزْ تقنيةَ التشفير. يَستعملُ المهندسون
الجتماعيون أساليب ماكرة لتجاوز التقنيات المنية.
سوء استخدام الثقة
في اغلب الحيان المخترقون يتمتعون بمهارات ومواهب متعددة وشخصيات ة
فهم ساحرون ومؤدبون يسهل محبتهم ويمتازون بسرعة خلق جو من الثقة والوئام
فالهاكرز محنك قادر على الحصول على معلومات مختلفة باستخدام استراتيجيات
وتكتيكات مطورة. إن تقنيات امن المعلومات تقلل على نحو كبير الخطار الناجمة
من استعمال الحواسيب المعرضة للختراق وعلى الرغم من ذلك تهمل نقطة
الضعف الكبر وهي العامل البشري على الرغم من رأينا إننا نحن البشر نبقى التهديد
الكثر خطورة على امن الخرين
سماتنا العامة (كبشر)
فنحن في العالم الغربي وبخاصة الوليات المتحدة لسنا متنبهين للمخاطر والتهديدات
فنحن لم نتعلم الرتياب يبعضنا البعض فلقد تربينا على محبة الجيران والثقة يبعضنا
لنأخذ بعين العتبار كم من الصعب على الجيران مشاهدة شركات التأمين وهي
تستولي على منازل وممتلكات الناس فهذه نقطة ضعف واضحة بالنسبة للمجتمع لكن
الكثيرين يتجاهلون هذه النقطة ويعيشون في عالم وردي حتى تصيبهم الكارثة فنحن
نعرف بأنه ليس كل البشر لطفاء وشرفاء لكننا نعيش وكأنهم كذلك هذه البراءة
الرائعة كانت من نسيج الحياة المريكية ومن المؤلم التخلي عن ذلك . أمريكا أفضل
الماكن للعيش حيث الحرية رغم إنها أكثر الماكن استعمال للقفال والمفاتيح
معظم الناس على فرضية إنهم لن يتعرضوا للخداع من الخرين اعتمادا على إن
نسبة وجود الخداع منخفضة جدا والهاكرز يعرفون بهذا العتقاد الخاطئ لدا الناس
فهم يطلبون المعلومات بشكل ل يثير الريبة وطوال الوقت يستغلون ثقة
الضحية
البراءة المنظمة
هذه البراءة هي جزء من شخصيتنا الوطنية ظهرت بشكل جلي وواضح في أول
شبكة وكالة ) Arpanet مشروع لشبكات الحاسوب وإدارتها والتي كانت أربا نت
مشاريع البحوث المتطورة لوزارة الدفاع) والتي كانت هي النترنت
صممت كطريقة لتشارك في البحاث والمعلوممنها.لحكومة ومؤسسات البحاث
والثقافة والهدف منها كان حرية المعلومات بالضافة إلى التقدم العلمي .كان كل ذلك
بدون حماية أو بالحد الدنى منها .لكن بظهور التجارة اللكترونية مخاطر ضعف
المن في عالمنا المترابط تغيرت بشكل مثير ان انتشار المزيد من التقنية ل يعني
إيجاد حل نهائي لمشكلة العامل البشري. إن نظرة صغيرة إلى مطاراتنا نكتشف إن
المن أصبح أساسيا رغم قلقنا من التقارير العلمية التي تشير إلى المسافرين
القادرين على مراوغة المن والمرور من نقاط التفتيش محملين بالسلحة.رغم أن
مطاراتنا على درجة عالية من التأهب في هذه الوقات. هل كاشفات المعادن فاشلة؟
المشكلة ليست باللت المشكلة بالعامل البشري والناس الذين يديرون تلك اللت.
موظفو المن يعلمون كيف يشاهدون الناس عبر الشاشات أكثر من إمكانية تقديم
المساعدة إننا نجد نفس المشكلة ضمن الحكومة والشركات والمؤسسات المختلفة في
كافة إنحاء العالم على الرغم من جهود رجال المن المحترفين فالمعلومات تبقى
ضعيفة كهدف محتمل من قبل المهاجمين. الن وأكثر من أي وقت مضى علينا إيقاف
المنيات وان نكون أكثر إدراكا من قبل باللذين يحاولون اختراق أو مهاجمة السرار
وأنظمة الحواسيب والشبكات فنحن علينا الرضوخ لحاجاتنا المنية الوقائية فهذه
المخاطر ل تبدو واقعية حتى تقع الطامة والكارثة الكبرى . لتفادي مثل هكذا عمل
كارثي محتمل نحتاج إلى التعلم دائما والحذر بشدة ووقاية أصول معلوماتنا وأمورنا
الشخصية والبني التحتية لذلك علينا أن نطبق الجراءات الوقائية اليوم.
الرهاب والخداع
المراوغة والخداع ليست حكراً على الهاكرز حيث أدركنا بشكل لم يسبق له مثيل إن
العالم مكان خطير بعد الهجمات على نيويورك وواشنطن التي خلفت الكثير من
الحزن والخوف في قلوبنا
الحقيقة تنذرنا بان هناك العديد من الرهابيين الخطيرين في هذا العالم اللذين يريدون
مهاجمتنا مرة أخرى لذا نحتاج إلى فهم كيفية اندماج الرهابيين بالمجتمعات التي
يريدون مهاجمتها وون أدوارا كطلب أو جيران ويذوبون في الحشود ويخفون
نواياهم الحقيقية هذه الساليب المخادعة ستقرأ عنها في هذا الكتاب فعلى حد علمي لم
يستعمل الرهابيون أساليب الهندسة الجتماعية ومعامل معالجة المياه والمؤسسات
الزراعية والكهرباء ومكونات البني التحتية.
؟؟يظهر كيفن هنا الشعب المريكي وذلك في محاولة منه للتقرب من قلوب الناس (ل
غرابة فهذا اختصاصه) وذلك بعد ما كتب عنه (ونحن نقلناها لكم كما هي بغض
النظر عن رأينا)؟؟
حول هذا الكتاب
إن المن المتعلق بالشركات سؤال حساس جدا فمجرد ثغرة أمنية صغيرة قد تحدث
الكارثة لكن الفراط المني أيضا يقف عقبة أمام ديناميكية العمل حيث يمنع نمو
وازدهار الشركة انه تحدي و من واجبنا التوصل إلى موازنة بين المن والتقدم
فصل 2 : فَنّ المهاجمِ ل حساسية المعلومات ظاهريا:
العتقاد الدارج إن التهديد الحقيقي يأتي من قبل الهندسة الجتماعية.؟فما هي الخطوات الحترازية؟إذا كان
الهدف الستحواذ على المعلومات المطلوبة بشدة.ماذا لو تم استهداف بعض المعلومات عالية الهمية ما يعتمد
عليه موظفو الشركة في أعمالهم.ما الحل؟ تشديد الحراسة حول مباني الشركة؟ الواقع غير ذلك تماما.الختراق
يبدأ بحصول الهاكر على مجرد معلومة و لو صغيرة أو بعض الوثائق التي تبدو للعيان بريئة .و غير مهمة وهي
ملحظة يوميا .لذلك لن يعار أي أهمية لحمايتها أو تقييد الوصول لها.لكن في الواقع اختراق أمن أي
شركةظاهريا لفي أغلب الحيان من إهمال معلومات الغير قيمة ظاهريا.ِ مُعظم المعلوماتِ الغير مؤذيةِ ظاهريا
ل تقدر بثمن من قبل المهندس الجتماعي.لما لها من دور حيوي في تنكره.هذا ما سأوضحه في هذه الصفحات.
كيف يتم الهجوم أمامك وأنت ليس لديك أدنى فكرة عما يحدث.لوقت طويل، كان النظام المصرفي البريطاني
صارما متصلبا.ل يمكنك فتح حساب جاري إل بكتاب توصية من احد زبائن المصرف.مما قلل عمليات النصب.
ولكن مدفوع الثمن .المور تغيرت وقواعد العمل تطورت و حدثت. بوجود شركات خاصة تقدم المعلومات عن
أي زبون للتأكد من نظافة سجله العدلي. للسف هو نفسها عرضة للخطر.بسؤال احد المهندسين موظفة في بنك
ومع تصاعد وتيرة السئلة ترددت الموظفة .ومع إدراك المهندس الجتماعي ذلك قال انه بصدد تأليف كتاب وهو
بحاجة للمساعدة. ومرة أخرى انه يجري استطلع عن ساعات العمل و النتاج.كانت الموظفة سعيدة بذلك مؤلف
يطلب يد العون منها لكتابه. المهندس يطلب المساعدة من الضحية انه أمر من الصعب رفضه. . فأنت مهم وذو
فائدة.و هذا قد يجعلك تترفع في سلم العمل.
أحرا ق السببَ: المهاجم يقوم في حال كانت إحدى المصادر طريقا لدراك الضحية بهجوم محتمل.لنه سيعلم
زملئه أو الدارة.لذا سيكون من الخطورة تكرار المحاولة فيما بعد. عليك بإزالة الحساس بالخطر من شعور
الضحية. السئلة الكثيرة المريبة تزيد من حالة التأهب وهذا ينذر بالفشل الكيد.بطلبك المساعدة مثل الدعاء
بإجراء استطلع ومن خلل أسئلة تافهة و شخصية لخلق جو من الود و اللفة إدراج سؤال مهم و ل يغيب
عن بالك ملحظة تغير نبرة صوت الضحية أم ل .بالطبع ليس كل الموظفين يقعون بسهولة عليك تعلم ومعرفة
ردود أفعال الضحية و دراسة وجوههم وسلوكهم. من الغباء الشديد إنهاء المحادثة حالما تصل لمبتغاك. بضع
أسئلة قليل من الحديث السئلة المطلوب الجابة عنها يجب أن تكون ضمن كلم عام شخصي.لكي ل تتذكر
فالغلب ستتذكر ما جرى الحديث عنه في النهاية.
تَحليل الخدعة:
هذه بأكملها مستندة إلى إحدى التكتيكات الساسية للمهندس الجتماعي.الحصول على اكبر قدر من المعلومات
التي هي بنظر الموظفين تافهة.
بحصولك على هذه المعلومات وعند تحدثك إلى الضحية وإدارتك مجرى الكلم ستبدو لها انك شخص مطلع وهذا
يزيل التوتر والريبة.
مما يفيدك لحقا بالتنكر بصفة احد مسؤولي الموظف الضحية .
رسالة متنيك:
من الحكمة التعامل مع كافة المعلومات بنفس القدر من الهمية . ليس من معلومة تافهة. كما لو كانت اكواد
الصراف اللي.فما يبدو من الداخل و بنظر الموظفين عديم القيمة هو بالخارج عكس ذلك تماما.بل اساسيا
للختراق.يجب أن تجرى و بشكل مستمر التحقق عن طبيعة الستفسارات وهوية أصحابها.هذا الجراء يرفع من
مستوى الحذر و التأهب لدى مستخدميك.ويلغي خرافة اسمها معلومات تافهة.
هندسة المصيدة:
بالطبع ليس كل المهندسين ذكورا .بل أحيانا إناث فاتنات وهذا هو الخطر إذا تزامن مع موهبة إدارة دفة الحديث
و سعة الطلع.و سرعة البديهة.فالتعامل اليومي و التكرار مع المعلومات يفقدها الحساسية و الهمية .هنا على
المهندس معرفة ذلك .فإذا جاء السؤال كان أمرا طبيعيا مما يفسح المجال لسئلة أخرى والفضل أن يتم بوتيرة
بطيئة.. لزالة الشكوك ليكن هناك سؤال يدل على معرفتك ببواطن المور في المؤسسة. وهذا ما يمنحك الفرصة
للوصول إلى مسؤولي الشركة الكبار تراتبيا أما طلبهم مباشرة خطأ فاحش.
رسالة متنيك:
كل معلومة ل تدل على نفسها تماما مثل أحجية الصورة المقطعة.ما أن تجتمع القطع حتى تتضح اللوحة.كذلك
المر بالنسبة للمهندس الجتماعي.يرى التركيبة الداخلية لكامل الشركة.هنا من الحكمة عدم إعطاء أي معلومات
عن الشركة و موظفيها لي شخص لم تثبت بالدلة الكافية هوية المستفسر و مصداقية الطلب.
منع الخدعة:
تقع على عاتق الشركات مسؤولية توعية موظفيها و مدى المخاطر الناجمة عن إفشاء المعلومات و السرار.
إن الدارة الكفوئة لسياسة امن المعلومات بالتزامن مع التوعية و التدريب المناسب .سيزيد من ادارك الموظفين
على نحو كبير بالتعامل الصحيح مع معلومات الشركة.كما أن سياسة تصنيف البيانات ستعينك على تطبيق
السيطرة الفعالة. حيث تعرف عن ماذا تكشف. بدون سياسة تصنيف البيانات كل المعلومات الداخلية يجب أن
ينظر لها سري للغاية. هذه الخطوات تحمي شركتك.
المعلومات الغير مؤذية:
إن قسم امن المعلومات بحاجة لمعرفة الساليب التي يتبعها المهندس الجتماعي.ينطبق المر أيضا على
الموظفين بان يأخذوا جانب الحيطة والحذر من متصل يبدو على دراية و معرفة بطرق سير العمل و الجرات و
التمعن مليا قبل إجابة طلبه و تحقيق ما يريد.هنا أيضا الشركة عليها مسؤولية تحديد الساليب المناسبة للتحقق عند
تعامل الموظفين مع أناس ل يعرفونهم. وتحديد الدوار و المسؤوليات لكل منهم
رسالة متناك:
هناك قول مأثور وهو.حتى الشخاص المصابون بالبار انوي لهم أعداء. علينا الفتراض أن كل شركة لها
خصوم و أعداء
المهاجم أيضا الذي يستهدف البنية التحتية للشبكة بغرض المساومة على إسرار الشركة .
ل يجب إن يتوقف المرء عند إحصاء جرائم الحاسوب - انه الوقت المناسبُ لتَقْوِية الدفاعاتِ الضروريةِ
لتَطبيق السيطرةِ الصحيحةِ عبر سياساتَ أمنِ مدروسة بعناية.
؟؟ البار انوي هو مرض نفسي يشعر كل من يصاب به بالريبة تجاه الخرين؟؟
القليل من الشركات يَعطي أرقامَ الهواتف المباشرةِ لمديرهم التنفيذي أَو رئيس مجلس إدارتِهُمْ. أكثر الشركاتِ، مع
ذلك، لَيْسَ قلقُا حول إعْطاء أرقامِ الهواتف إلى القسامِ والعاملين خصوصاً إلى شخص يَبْدو موظفا أو هكذا يبدو.
الجراء المضاد المحتمل:
تطبيق سياسة تَمْنعُ إعْطاء أرقام الهواتفِ الداخليِة للمستخدمين، المقاولون، المستشارون، الخطوة الكثر أهمية
بِأهمية، تطوّيرُ إجراء تدريجي لتَمييز الشخص المتّصل الذي يَسْألُ عن أرقامِ الهواتف حقاً مستخدمةُ.
اعتماد الرموزِ لمجموعات العمل والقسام، بالضافة إلى نسخِ من الدليل المتعلّق بالشركات (سواء النسخة
المطبوعة، بيانات تَحْفظُ، أَو دفتر هواتف إلكتروني على إنترانت) أهدافَ متكرّرةَ مِنْ المهندسين الجتماعيين.
كُلّ شركة تَحتاجُ كَتبَ، السياسة المَنْشُورة بشكل جيد على كشفِ هذا النوعِ مِنْ المعلوماتِ. الوقاية يَجِبُ أَنْ
تتضمّنَ إبْقاء سجلّ تدقيقِ الذي يُسجّلُ الحالتَ عند كْشَفُ المعلومات الحسّاسةَ إلى أناس خارج الشركةِ.
فصل 3 : الهجوم المباشر
الطلب مباشرة:
العديد مِنْ هجماتِ الهندسة الجتماعية معقّدة، تَضْمن العديد مِنْ الخطواتِ والتخطيط المُتقَن، و مزيج من مهارة
الستغلل والتقنيات.
لَكنّي برأيي إن المهندس الجتماعي الماهر يُمْكِنُ أَنْ يُنجزَ هذا في أغلب الحيان هدفه بالهجوم المباشر الخالي
من التعقيدات. فقط يَسْألُ بشكل صريح مباشر عن المعلومات المطلوبةُ .
أرادْ احد المهندسين معْرِفة رقمِ هاتف شخص ما الغير مُدرَجِ في دليل الهواتف.
هذه المعلومات محصورة بين موظفي الشركة مع احد المهندسين الجتماعيين بإجراء اتصال مع احد أقسام
الشركة ويدعي انه من احد الشركات المتعاونة معهم.وهو عامل صيانة الكابلت وبحاجة لرقم معين و وما يتعلق
بها لنجاز واجبه المرهق.
أنها من الطبيعة النسانية إن نثق بزملئنا. خاصة عندما يكون الطلب سهل التنفيذ.يقوم المهندس
الجتماعي باستغلل هذه النقطة لتنفيذ مأربه.
من مواصفات المهندس الجتماعي الناجح . معرفته الدقيقة بالتفاصيل المتعلقة بالضحية سواء أكان فردا آم
شركة.
رسالة متنيك:
بمثل هذهعلوماتِ المهرة لَيْسَ لهُمْ هواجسُ حول التصال بالمسؤولون الحكوميون المحليّون ليَتعلّموا حول
إجراءاتِ تطبيقِ القانون.بمثل هذه المعلوماتِ في متناول اليدّ، المهندس الجتماعي قَدْ يَكُون قادر على مُرَاوَغَة
مستوى عمليات المراقبة المنية لشركتك.
قصّة المهاجمَ:
أعتقد دائماً بوبي والس بأنّه من المضحِكَ عند سؤاله للزبون لماذا يريد المعلومات إن الزبون متردد . في هذه
الحالةِ يُمْكِنُ أن يفكّر فقط بسببين. ربما ممثلو بَعْض أقسام الشركةِ المهتمة بشراء الشركةِ الهدفَ، ومطلوب
معْرِفة ما نوع وضعهم الماليِ الن - خصوصاً كُلّما قد يريدون بقائه مخفيا عن أعين إي مشتري محتمل. أَو ربما
مثّلوا بعض المستثمرون الذين فكروا أن هناك شيءُ مريبُ حول طريقِة إدارة المال و اكتشاف سرقة مال من
قبل المدراء التنفيذيين. رُبّمَا زبونه أيضاً لَمْ يُردْ إخْباره السببَ الحقيقيَ لنه إذا عَرفَ بوبي أهمية المعلومات
لربما طلب مال أكثر لنجاز العمل.
هناك الكثير مِنْ الطرقِ للولوج لملفات الشركةِ الكثر سريةً. بوبي صَرفَ بِضْعَة أيامِ يُفكّرُ في الخيارات المتاحة
أمامه و فحص ما استقر عليه من خطة عمل. اشترى هاتف خلوي . اتصل مع الرجلِ الهدف ، قدم نفسه انه
مِنْ قسم رعاية الزبائن الشركةَ، بهذه الطريقة يصل لجهاز الضحية يزرع فيه كود ليطلب الضحية المساعدة مرة
أخرى عن طريق التروجان أو أحصنة طروادة.
قصّة كريج:
كان كريج كفئ كبائع في شركة تقنية، بعد فترة بَدأَ بإدْراك بأنّه كَانَ عِنْدَهُ مهارة لقراءة الزبون،يفَهْم أين الشخص
يقاوم وأكتشف بَعْض الضعفِ و قلة المناعة الذي جَعل المر سهلً لتمام البيعِ.فكّرْ بشأن الطرقِ الخرى
لستعمال هذه الموهبةِ، مما أوصله لمجال ذو فائدة أكثر بكثير من عمله كبائع:
وهو التجسس الصناعي.هذه كَانَت مهمة مثيرة.الن أصبح بالمكان السفر بيسر إلى هاواي. أَو رُبّمَا
تاهيتي.الرجل الذي استأجرني، هو لَمْ يُخبرْني من هو الزبونَ، بالطبع، لَكنّه أعتقد إحدى الشركات التي أرادتْ
اللحاق بالمنافسة بسرعة كبيرة،
القفزة السهلة:
تقمصت شخصية أخرى للمهمة،. الشركة دُعِيتْ جيمي ميد للصناعات الدوائية. مَا سَمعَ عنها، لَكنّ كانت من
كبريات الشركات مصنفة ضمن اكبر 500 شركة بأميركا - مما يسهل أداء المهمة فمن المحال كشركة عملقة إن
إي موظف يعرف كل العاملين بالشركة.زبوني أرسلَ لي فاكسا، فيه بعض المعلومات عن منتج الشركة الهدف
الجديد.، . كَانَ عِنْدي شيءُ واحد احتاجه للتخطيط والن أبدا، اسم المُنتَجِ الجديد.المشكلة الولى: تَحْصلُ على
أسماءِ الناسِ في الشركةِ التي عَملتْ المنتج أَو قَدْ يَحتاجُ لرُؤية التصاميمِ. لذا اتصلت مع مقسم الشركة وقُلتُ، "أنا
موَاعدَ أحد الناسِ في قسم التخطيط ول أَتذكّرُ اسمَه الخيرَ، لكن اسمَه الولَ بَدأَ بحرف س . " قالَت الموظفة،
STH "عِنْدَنا نَبّال سك.م ديفيد سن." انتهزت هذه الفرصة الغير متوقعة . "لسالها أيهم يعمل في مجموعة
100 ؟ "هي لَمْ تَعْرفْ، لذا أنا فقط اخترت نَبّالَ سكوت عشوائياً، وهي اتصلت به.عندما أجابَ، قُلتُ، " ، هذا
مايك، في غرفةِ البريد. نحن عِنْدَنا عقد هنا لمشروع - 100 .هل من فكرة لديك لمن يَجِبُ أَنْ الجأ؟ "أعطاَني اسمَ
رئيس المشروعَ، جيري ميندل. اتصلت به لكن رسالةَ بريده الصوتي قالتَ بأنّه سَيَكُونُ في إجازة حتى الثالث
عشْرِ،وأي شخص بحاجة لشيءَ في هذه الثناء يَجِبُ أَنْ يتصل مع ميشيل على 9137 . اتصلت معها وقلتْ، "هذا
بيل توماس. جيري أخبرني أنك جاهزة ويريد المواصفات جاهزة ويريد فريق عمله للمراجعة. إذا بدت مرتابة
سأخبرها إنني أودي معروفا لجيري بناءا على طلبه، هكذا حصلت على ما أريد من معلومات بدون إثارة
الشبهات. جيري قال بأنّك يُمْكِنُ أَنْ تَعطيني قائمة عناوين البريد اللكتروني لفريق التطويرِ،إياك وزيارة المباني
التي تخص الهدف ما لم تكن مضطرا.
الختراق:
تبقى لدي خطوة واحدة عظيمة لدخول حاسوب الشركة.
لَكنّ ل زلت بحاجة عدة معلومات.تظاهرت إنني حد الموظفين الجهلة بالحواسيب و احتاج للمساعدة. حصلت
على بيانات و إجراءات الدخول لحاسوب الشركة من الخارج كان الموظف متعاونا وما قام بإعطائي كأنه أمر
روتيني عادي.
تفكيك الباسوورد: الكثير من الهراء عن حماية الباسوورد. السبب طبعا الفتراض الوهمي إنّ العمليةَ غير قابل
للنقض؛ مع العتقاد انه ل يمكن إعادة صياغتها
تفكيك الباسوورد:
دخلت من حسابِ الضيفَ، دخلت الن إلى حاسوبِ واحد، الذي يعمل على نسخة قديمة مِنْ نظامِ تشغيل
اليونيكسَ. تحت اليونيكسِ،
نظام التشغيل يعالج ملف كلمةِ سر بشيفرة طويلة كُلّ شخصِ مخول لدُخُول ذلك الحاسوبِ. ملف كلمةَ السر
يَحتوي طريقة واحدة للتفكيك( إحدى طرق التشفيرِ المنيعة) كُلّ كلمة سر مستعملِ. مَع التفكيك أحادي التجاه
سَيُمثّلُ مِن قِبل التفكيك في الشكلِ المشفّرِ؛ في هذه الحالةِ، التفكيك سَيُحوّلُ "justdoit"، كلمة سر فعلية مثل، رأي
باليونيكسِ إلى ثلثة عشرَ خانة حرفية أو رقميةِ.
حوّلَ بيلي بَعْض الملفاتِ إلى الحاسوب، وعرف نفسه بتَزويد اسم المستعمل وكلمة السر. النظام دقّقُ كلمةَ
السر المدخلة ، وبعد ذلك
تُقارنُ النتيجةُ بكلمةِ السر المشفّرةِ (المفككة ) المتضمنة في ملف كلمةِ سر؛ إذا تم التطابق يتم إدخاله لن كلماتَ
السر في الملفِ المشُفّرَ، الملف بنفسه جُعِلَ متوفرا إلى أيّ مستعمل طبقا للنظريةِ القائلة ل يمكن كسر الشفرة.
كَانَ عِنْدَهُ حسابُ حالياً على ،r اعتمادا على ما حصلت عليه سابقا القوائم البريدية لفريق التطوير. ستيفن
الحاسوبِ بكلمةِ السر "جانيس."في الوقت المناسب، إذا تم ذلك سيوفر الكثير من العناء و الوقت.حتى لو كشف
اختراقي هذا لقوائم البريدية كافية و مفيدة.حملت ما أريد من برامج التطوير لمشروعهم. لرسله لموقع في الصين
بدون إثارة الشبهات .
الهبوط الميت:
مكان لتَرْك المعلومات حيث من غير المحتمل أنْ يَجِدُه الخرون. في عالمِ الجواسيسِ التقليديينِ، بغاية
الخطورة .ألن وبتوفر النترنيت أمر متبع من قبل الهاكرز.
تَحليل الخدعة:
بالنسبة للرجلِ المَدْعو كريج ، أَو أي واحد مثله ماهرِ على حد سواء في -السرقة لكن لَيسَ دائماً- الهندسة
الجتماعية، التحديَ روتينيَا تقريباً. هدفه كَانَ أَنْ يُحدّدَ مكان الملفاتَ ويُحمّلها.المخزنة في حاسوب الشركة، أنجز
العمل بيسر رغم أنها محمية مِن قِبل برنامج حماية وكُلّ تقنيات المن المعتادةِ.
تَظَاهُر بصفة شخص ما مِنْ غرفةِ البريد و المداد و متظاهرا أنه بانتظار عرض مهم عطّلَ كريج أيّ شكوك
بالدّعاء بأنه كَانَ يرَدّ على رئيس المجموعة.-الذي هو بإجازة -ِ،لم يكون هناك طريقة للتثبت من صدقيه أقواله.
كما ل يمكن إن يتحمل الموظفون -حسبما ارتأوا- عاقبة عدم التعاون و المساعدة بغيابه . مرةً أخرى، هنا مثالُ
عن شخص تدفعه الرغبة الة ليكون عضوا نشطا، مما يكونون عرضة أكثر للخداع إرسال البيانات بالفاكسُ
جنبه خطر دُخُول البنايةِ . موظفو الستقبال يختارونَ عادة لشخصياتِهم السَاحِرةِ وقدرتِهم لخلق انطباع جيد.
-لكنهم أيضا عديموا الخبرة بقيمة و اهمية المعلومات .
رسالة ميتنيك:
أولوية كُلّ شخصِ انجاز العمل. تحت ذلك الضغطِ، تَأْتي التطبيقات المنِية بالمرتبة الثانية في أغلب الحيان أَو
تُهملُ.هذه إحدى نقاط الضعف التي يعتمد عليها المهندس الجتماعي .و ضعف الحماية المنية التقنية في الشبكات
الداخلية.
مَنْع الخدعة:
تَتضمّنُ إحدى أقوى خُدَعِ المهندس الجتماعي قلب الموازين لصالحه . يثير المهندسُ الجتماعي المشكلةُ،وبعد
ذلك يَحْلّ المشكلةَ بطريقة سحرية، يَخْدعُ الضحيّةَ للدخول إلى أكثر أسرار الشركةِ حماية.
تعلّمْ، تعلّمُ، و تعلّمُ. . .
هناك قصّة قديمة حول زائر إلى نيويورك أوقف رجل في الشارعِ وسأله، "كَيفَ أَصِلُ إلى قاعةِ كارنيجي
للموسيقى؟ " أجابه الرجل "التمرين التمرين التمرين." لذا كُلّ شخص عرضة لهجماتِ الهندسة الجتماعية. و
دفاع الشركةِ الوحيدِ الفعّالِ تعلّيمَ وتدرّيبَ مستخدميك، بمنحهم هذه الممارسة ليكونو قادرين على اكتِشاف
المهندس الجتماعي. وبعد ذلك يَستمرّ بتَذكير الناسِ ما تَعلّموا في التدريب، فالكل عرضة لن أن ينسى.لنه من
سجايا النسان الرغبة في الثقة بالخرين. لكن كما يقول المثل الياباني -البزنس حرب-فإعمالك ل يمكنها تحمل
تخفيض مستوى الوقاية.
سياسة المنِ المتعلّقة بالشركاتِ يَجبُ أَنْ تحدد الساليب الملئمة وغير الملئمة بشكل واضح.المن مستويات.
الموظفون عِنْدَهُمْ أدوارُ متباينةُ عادة
و مسؤولياتَ وكُلّ موقع له نقاط الضعف مترابطة. يَجِبُ أَنْ يَكُونَ مستوى أساسي مِنْ التدريب لكُلّ شخصِ في
الشركةِ عليه اجتيازه، كل حسب عمله و موقعه والتزام ببَعْض الجراءاتِ التي سَتُقلّلُ الفرصةَ لستغللهم. الناس
الذين يَعْملونَ بالمعلوماتِ الحسّاسةِ أَو في مواقع الثقةِ يَجِبُ أَنْ يتلقوا تدريبات متخصصة إضافية.
استمرار بسلمةِ المعلوماتِ الحسّاسةِ
عند اقتراب احد الغرباء من الناس عارضا المُسَاعَدَة، هم يَجِبُ أَنْ يَستندوا على سياسةِ المنِ المتعلّقة بالشركاتِ
المصممة لتامين الحتياجات المنية، حجم، وثقافة شركتِكِ.
مُلحظة:
شخصياً، ل أَعتقدُ بسلمة التبادل لكلماتِ السر. على الشركات أن تمنع هذا و بحزم.و العمل لتأسيس ثقافة أمنية
خاصة بها. إدخال أوامر غير مألوفة تغيير إعدادات برنامج فتح ملحق بريدي أو تنزيل برنامج لم يدقق. عدم
التجاوب مطلقا مع إي غريب يطلب الطلع على البيانات.من الطبيعي نسيان ماتعلمناه الحل هو التدريبات
الدورية.
لتظن أبدا إن المهندسين يحتاجون لخدع مفصلة معقدة .لنه من المحتمل التعرف إليهم قبل انجاز هدفهم. فيكون
الهجوم قصيرا فعال مثل الكر و الفر.
هجوم بغاية البساطة و ل أكثر.
عليك بتنمية ما يسمى غريزة المهندس مثل غريزة الصياد . كيف تجعل الشخص في الطرف الخر يتعاون معك.
منع الخدعة:إحدى المسائل التي يجب إن تكون ضمن برنامج التدريب : معرفة المتصل أو الزائر بأسماء بعض
الموظفين أو إجراءات الشركة أو أساليبها
ل يعني بالضرورة انه من يدعي. و ل يبرهن قطعا كشخص مخول ومسموح له بأخذ معلومات الشركة الداخلية
الخاصة.و الولوج إلى أنظمة الحواسيب والشبكة.فالتدريبات المنية بحاجة لتأكيد: عند وجود شك أو ارتياب عليك
بالتحقق فورا وبدون تأخير.لن الدخول لبيانات الشركة هو أمر محصور بفئة معينة سلفا و محددة.السياسة المنية
يجب إن يعرفها كل الموظفون بغض النظر عن الموقع.المهندس الجتماعي يركز هجومه على قسم خدمة الزبائن
لنه الرابط الضعف.. لمحاولت الهجوم والخداع فهم طبعا.الموظفون الجدد .لقلة خبرتهم وسهولة خداعهم.لذلك
على أي شركة تريد زيادة مناعتها وتحصينها التغلب على نقطة الضعف هذه.
الفصل الرابع :بناء الثقة :
ما يجري من عمليات خداع للخرين يقودنا نحو العتقاد التالي.إن كل موظف أو عامل .مستوى الغباء لديه
مرتفع مستعد و متلهف لنشر كل إسرار العمل التي بحوزته.المهندس الجتماعي يدرك إن هذا غير صحيح. لماذا
اذاً هجومه ناجح على نحو مبهر؟
السبب ليس غباء الناس أو افتقادهم للحس السليم. لكن كوننا بشرا عرضة للخداع للثقة بالشخص الغير مناسب.إذا
استغل بطريقة معينة.
يتوقع المهندس الشتباه و حتى المقاومة ذكائه وخبرته يقلبان القلق إلى ثقة .المهندس الماهر يخطط لهجومه مثل
لعبة الشطرنج.حيث يقوم بتهيئة نفسه إن المستهدف قد يمطره بوابل من السئلة.ليكون مستعدا للجابة وبشكل
صحيح.من أساليب المهندس المتبعة بكثرة . إشاعة جو من الثقة مع الضحية.
كيف له ذلك؟
يجب إدراك القاعدة التالية .الثقة أساس الخداع:ما أكثر ما يستطيع القيام به المهندس الجتماعي ليؤدي مهامه بكل
سلسة ودون إثارة الشكوك أو تغيير
غير متوقع .من السهولة بمكان على المهندس كسب ثقة الضحية حالما يتم ذلك .يبدأ العد التنازلي.لنجاز الهجوم
بنجاح.إن بناء الثقة احد أهم العوامل للنجاح عليك التفكير مليا هل تعرف الشخص الذي أمامك هل هو من
يدعي.علينا أن نتعلم الملحظة و التفكير و أحقية السؤال عن طلب ما.
تمعن بموقفك .عند سؤال شخص غريب منك رث الثياب من المحتمل أن ترفض استقباله أو حتى الجابة عن
سؤاله.لكن ماذا لو كان أنيقا مهذبا محترما.ستكون اقل اشتباها به.النطباع الول كثيرا ما يكون خادعا.فالثقة
تتشكل هنا حسب مظهر الطرف المقابل لنا و هذا خطا فادح . فالشك له فوائده .فهي تمنعنا من النزلق إلى
خسائر قد تكون مكلفة .علينا تذكر مقولة كانت تقال لنا باستمرار و نحن صغار .ل تثق بالغرباء.إن مجرد السؤال
عن أيميل زميلك أو حتى تفاصيل صغيرة عن احد زبائن شركتك حتى لو كان السائل احد زبائن الشركة. كفيل
بقرع أجراس النذار.معظم الناس يبحثون عن الصفقة الفضل إما المهندس الجتماعي فانه يبحث عن الطريقة
الحسن لنجازها على أحسن ما يمكن.الشركات تطلق أحيانا حملة دعائية لحد منتجاتها بطريقة من الصعب إن
تدعها تمر مرور الكرام .المهندس ينظر للعرض كيف له الستفادة بالحد القصى من العرض.
تحليل الخدعة:
من الطبيعي أن يكون هناك قبول من قبل الناس إذا كان الطرف الخر زميل أعلى رتبة ويعلم بإجراءات
الشركة. المهندس الجتماعي البارع ل يتوقف لحظة للتأمل في كيفية اختراق قواعد البيانات. لنه ببساطة من
الصعب مقاومة شخص يتكلم بلطافة و إقناع .
منع الخدعة :
ما الخطوات التي يمكن إتباعها في شركتك للتقليل من إمكانية استغلل المهندس . الغريزة الطبيعية لدى
مستخدميك الثقة بالخرين.
بعض القتراحات لحماية زبائنك .في هذا العصر اللكتروني العديد من الشركات تحول جاهدة التمسك بزبائنها
وهم يشترون منها نسخة من أرقام بطاقته
للسباب التالية: تكفي الزبون عناء تزويد بيانات بطاقته الئتمانية في كل مرة يشتري بها هذا العمل يجب أن
يلغى .أما إذا اقتضى العمل على ذلك الستمرار بحفظ نسخة الجراءات بحاجة أن يتزامن معها . ول تتوقف
الجراءات على التشفير أو مراقبة الوصول المنية . الموظفون بحاجة للتمرين على أساليب الغش لدى
المهندسين. فزميلك بالعمل والذي أصبح صديقك على الهاتف والذي لم تلتق به ربما ليس ما يدعي , وانه بحاجة
لمعرفة كيفية الدخول لبيانات الزبائن الحساسة .
رسالة متنيك :
يجب على الكل الحذر من أساليب المهندس الذي يجمع المعلومات عن هدفه بقدر ما يستطيع , ثم يستخدمها
لكتساب الثقة كأنه من أهل البيت ثم يقوم بهجومه المدمر .
ثق بتعقل :
المعلومات الحساسة جدا ل يدخلها فقط أناس مثل المبرمجون أو مختص البحاث والتطوير وهكذا دواليك. فكل
من هو بموقع دفاعي ضد الهجمات بحاجة للتهيئة لحماية ممتلكات المؤسسة .لهذا السبب يجب إجراء مسح شامل
وعام عن أصول ممتلكات الشركة المعلومات الحساسة والقيمة ومعرفة ما الساليب التي يمكن أن يتبعها المهاجم
للستحواذ عليها . التدريب الملئم للموظفون المخولون للدخول إلى تلك المعلومات يجب أن يعتمد على الجابة
عن السئلة التالية :
عند ما يطلب منك أي شخص بعض المعلومات والمواضيع أو أن تؤدي له عمل على حاسوبك .هل ما أقوم به
هو لصالح أعداء مؤسستي , هل من الممكن أن تؤذيني أو تؤذي شركتي , هل أنا مدرك للعواقب المحتملة عند
قبولي بالدخول لحاسوبي . ل نريد من خلل هذه السئلة الشتباه بكل البشر الذين نلتقي بهم مصادفة الحذر
ضروري وواجب , الحكمة تقتضي بفحص حواسيب الشركة بشكل دوري وخاصة النترانيت .
الفصل الخامس : الرجاء مساعدتي
نكون بغاية المتنان عندما نبتلى بمصيبة ويأتي شخص ما ماهر مطلع وخبير ليقدم لنا يد المساعدة المهندس
يدرك ذلك و يعرف كيفية استغلل ذلك لصالحه .وما يعرفه أكثر كيف يسبب لك مشكلة ليجعلك بعدها ممتنا له
عندما يحلها لك . ليقوم بعد ذلك باستغلل امتنانك له لستخراج بعض المعلومات أو خدمة صغيرة. والذي
سيترتب جراء ذلك عليك أو على الشركة أسوء النتائج أو لربما ل تعرف كيف فقدت شيئا قيما.
حصان طروادة :
برنامج يحتوي على اكواد ضارة صممت للضرار بحاسوب الضحية أو ملفاته . أو للحصول على معلومات من
حاسوبه وشبكته .بعض أنواع التروجان مصممة للختباء في ملفات النظام وتتجسس على كل ضغطة مفتاح أو
عمل تؤديه على حاسوبك , انه حتى يقبل الوامر عبر النترنيت لداء بعض المهمات كل هذا بدون ملحظة
الضحية لذلك . هذا ليس كل شيء بإمكانه العودة بأي وقت للبحث خلل رسائل اليميل والمذكرات الخاصة
لمدراء الشركة . يقوم بالبحث عن كل ما هو مهم أو يحوي معلومات قد تكون مؤثرة.
تحليل الخدعة :
المهاجم يسرع الويب لقناع الضحية لديه حل للمشكلة التي يعاني منها .في الواقع هي غير موجودة لكن ستحدث
حتما لنه سيقوم بذلك ليقدم نفسه على انه من لديه الحل هكذا يكتسب المصداقية التي تستند لوامر تقبل أداء
بعض الوظائف المعينة أو تشغيل البرامج . المهاجم الذي يستغل الثغرات الضعيفة تقنيا أ | |
|
