64% من الشبكات مفتوحة ولا يهتم أصحابها بأمن المعلومات

في دراسة حديثة بالتزامن مع جيتكس 2008

أقيمت دراسة بالتزامن مع معرض جيتكس السعودية 2008والذي أقيم خلال الأسبوع الماضي في مركز معارض الرياض، انهت شركة الحلول المتميزة المتخصصة في أمن المعلومات والأعمال الالكترونية دراسة مسحية للشبكات اللاسلكية في مدينة الرياض وتمت الدراسة الميدانية بواسطة مهندسي أمن معلومات متخصصين في الشبكات اللاسلكية وتقنياتها.
وكشفت الدراسة عن نتائج (War-Driving) في مدينة الرياض بان معظم نقاط الوصول للشبكات اللاسلكية تستخدم الاسم الافتراضي لSSID بنسبة (36%) وعدم تغيير الSSID الافتراضي يتيح للمخترق فرصة معرفة اسم الجهاز المستخدم للشبكة اللاسلكية ومن هذا الباب يستطيع تخمين كلمات المرور الافتراضية بنسبة (66%) وكشفت الدراسة أن الكثير من المستخدمين يعتمدون على أنواع ضعيفة من التشفير مثلWEP والتي يمكن كسرها بسهوله باستخدام برامج خاصة بنسبة (67%). إضافة إلى أن بعض المستخدمين لا يولون اهتماما بأمن الشبكات اللاسلكية، وشبكاتهم تكون مفتوحة للجميع بنسبة (64%) إضافة إلى عدم مراقبة مدير الشبكة أو صاحب الشبكة للتردد والبث اللاسلكي (مع انه يمكن أن يحصرها داخل نطاق عمله أو منزله أو نطاق عمل الشبكة المفترض)،يمكن المخترقون والعامة من خارج بيئة عمله أو منزله التقاط إشارة الشبكة (100%) وكشفت الدراسة ان (63%) من المستخدمين يغير اسم الشبكة إلى أسماء أو أرقام هواتف تساعد المخترق في جمع معلومات عن الهدف و استخدام ما يسمى بالهندسة الاجتماعية (Social Engineering) لهذا الغرض.
وفي هذا السياق حذر المهندس العمراني من إهمال تطبيق الإجراءات الأمنية لحماية الشبكات اللاسلكية من الاختراق وأوضح المهندس العمراني أهمية الشبكات اللاسلكية المحلية حيث تمثل تقنية واسعة الانتشار نظراً لما تقدمه من دعم لجميع المميزات التي تقدمها الشبكات السلكية التقليدية مفيداً أن للشبكات اللاسلكية قواعدها ومعاييرها التقنية التي تساهم في استقرار هذه التقنية وبالتالي الاعتماد عليها في الإنتاج في مختلف بيئات الأعمال وخصوصاً مع سهولة استخدامها ونقاط الوصول ((Access Point المنخفضة بالإضافة لدعم الشبكات اللاسلكية في معالجات الأجهزة المحمولة واتساع هذه التقنية حيث لا يكاد يخلو منزل أو منشأة من نقاط الوصول للشبكات اللاسلكية. وبين المهندس العمراني انتشار هذه التقنية في السعودية وشدد على أهمية العناية بتطبيق الإجراءات الأمنية لحماية الشبكات من خلال استخدامها بطرق ومعايير أمنية وأوضح أن إهمال هذا الجانب قد يعرض بيانات المستخدم والأنظمة المتصلة بالشبكة اللاسلكية لمخاطر كبيرة من المخترقين والمتسللين إلى داخلها.
وصرح المهندس أسامة بن ناصر العمراني نائب الرئيس لأمن المعلومات لشركة الحلول المتميزة المنفذة للدراسة قائلاً ان الهدف من الدراسة هو تقييم مستوى الحماية الأمنية للشبكات اللاسلكية في مدينة الرياض، ، ودراسة فعالية (war-driving) وتأثيرها اضافة الى نشر مفهوم أمن الشبكات اللاسلكية لدى المستخدمين وزيادة الوعي الأمني لهم. ومن المهم الاشارة الى ان الدراسة تمت دون انتهاك أو تخريب أي من الشبكات المكتشفه كما أنها لا تتضمن محاولة التقاط البيانات المرسلة داخل الشبكات. واوضح العمراني ان الادوات المستخدمة في هذه الدراسة تتيح لنا فقط معرفة اسم الشبكة ونوع التشفير وقوة ومدى التردد.
وبين المهندس العمراني انه خلال السنوات الاخيرة، ارتفع معدل انتشار الشبكات اللاسلكية في المملكة العربية السعودية، كشبكات الافراد وشبكات الشركات، بغض النظر عن اسباب استخدامها، فانها بازدياد مضطرد، ويرجع ذلك الى سهولة استخدامها فهي لا تحتاج الى تمديدات وأسلاك لتوصيلها وايضا لتوفر جميع اجهزة نقاط الاتصال اللاسلكي (Access Point) باسعار زهيدة. حيث يتم تقديم خدمة الشبكات اللاسلكية مجانا او برسوم زهيدة في عدد من الاماكن الخاصة كانت او العامة (كالفنادق،المطارات ، المجمعات التجارية،مقاهٍ عامة) وذكر المهندس العمراني ان المشكلة الأهم في الشبكات اللاسلكية هي "الأمان" فعدم تحديد مستوى حماية وأمان مع اغفال اتخاذ الاحتياطات اللازمة يؤدى الى سهولة وصول الاشخاص غير المرغوب بهم من فضوليين ومخربين (Crackers) ومشاركتهم في الشبكة وهذا يخولهم الاطلاع على البيانات السرية والمراسلات او حتى تعطيل بعض الخدمات وفي بعض الاحيان تعطيل الخدمة بشكل كامل.
وأضاف المهندس العمراني قائلاً ان الحلول المتميزة وتأكيداً لدورها الرئيس في خدمة المجتمع وادراكاً منها لضرورة توعيته بأهمية أمن المعلومات، قامت بدراسة في أربعة مواقع مختلفة بمدينة الرياض، وهي: شارع العليا العام، وشارع موسى بن نصير، وشارع الثلاثين بالسليمانية، وشارع الأمير محمد بن عبدالعزيز (التحلية سابقاً) حيث تعتبر هذه المواقع الاكثر حركة اضافة لكونها مركز الاعمال بالرياض. وقد تمت الدراسة باستخدام عدد من الأدوات والأجهزة المخصصة إضافة للطرق والآليات المتبعة في مثل هذه الاختبارات. وقد شملت العينة عدد (1404) نقاط اتصال لاسلكي (Access Point ).
وأفاد المهندس العمراني عن عدد من الإجراءات التى يجب تطبيقها لحماية الشبكات اللاسلكية للافراد والمنشآت وأهمها حماية نقطة الوصول باسم مستخدم وكلمة سر معقدة كما ينبغي التنبه الى ان نقاط الوصول الجديدة تكون محمية بكلمة سر متعارف عليها من قبل الشركة المصنعة، لذا يجب على المستخدم المبادرة بتغيير كلمة السر تفادياً لدخول أحد المتسللين الى الشبكة والتحكم بها من خلال تغيير إعدادات نقطة الوصول وتكون كلمة السر مناسبة تتكون مما لايقل عن سبع خانات على ان تكون خليطا بين الحروف والأرقام وافاد العمراني عن اجراءات اخرى لحماية الشبكات ومنها تشفير الشبكات اللاسلكية حيث ان هناك أكثر من نظام أو ما يسمي بروتوكول التشفير منها WPA أو WPA2 واضاف العمراني على أهمية تغيير معرف الشبكة اللاسلكية SSID بحيث لايدل على نوع نقطة الوصول أو مكان وجودها فالمعرف الافتراضي في نقاط الوصول الجديدة يدل على نوع نقطة الوصول والشركة المصنعه لها مما يتيح للمتسللين فرصة مهاجمة نقطة الوصول والسيطرة عليها باستغلال الثغرات الخاصة بنوعها، ايضاً يوصي بتعطيل خيار الإعلان عن معرف نقطة الوصول Broadcasting SSID واوضح العمراني أفضلية وضع نقطة الوصول في مكان مناسب بحيث تضمن تغطية المكان المراد وتقليل نسبة تسرب الذبذبة خارج النطاق المطلوب لان وضعها في مكان قريب من احد جوانب المنزل او المنشأة يقوي الإشارة في تلك الجهة من خارج المنزل وبالتالي يكون بمقدور من هو خارج المنزل الاتصال بالشبكة والعبث بها واضاف العمراني انه يمكن توفير حماية اكثر من خلال تحديد قائمة مسبقة للاجهزة القادرة على الارتباط بنقطة الوصول وذلك من خلال تسجيل عنوان كرت الشبكة MAC في نقطة الوصول وشدد العمراني على أهمية تحديث نظم التشغيل نقطة الوصول Firmware وبطاقات الاتصال في الأجهزة drivers الى اخر وأحدث النسخ المتوفرة وبين العمراني اهمية التأكد من موثوقية الشبكات اللاسلكية التى يتم الاتصال بها حيث يعمل بعض المخترقين الى انشاء شبكات وهمية على أجهزتهم لغرض خداع المستخدمين وسرقة معلوماتهم. وأوضح المهندس العمراني أهمية اشراك القطاع الخاص في تقديم وتنفيذ الخدمات والاستشارات في مجال أمن المعلومات والأعمال الالكترونية وبين ان شركة الحلول المتميزة تسعي لتقديم خدمات تفيد جميع القطاعات وافاد عن الخدمات التي تقدمها إدارة أمن المعلومات في الحلول المتميزة وهي تقييم المخاطر واختبار قدرة الشبكات على الصمود أمام الاختراق وتقييم الثغرات. وتقييم أمن التطبيقات. وتقييم أمن الشبكات اللاسلكية. ومراجعة مخرجات التدقيق على أمن المعلومات. وتدقيق أمن المنشأة الفيزيائي وتطوير لوائح وإجراءات أمن المعلومات. وتصميم هيكلية أمنية للشركات. والتخطيط لاستمرارية العمل التجاري (BCP)/التخطيط للنهوض من الكوارث (DRP). ونظام إدارة أمن المعلومات (ISMS). والخدمات الأمنية المستمرة. والاستجابة للحوادث وتحليل الأدلة الجنائية. ومن بين المشاريع التي قامت إدارة الأعمال الإلكترونية خدمات الرسائل القصيرة ال sms وتقنيات الاتصال الاسلكي والجوال المصرفي و جوال تداول الأسهم وخدمة ادارة المحتوى وغيرها من المشاريع الابداعية التى قدمت للقطاعات البنكية والمالية والقطاع الحكومي وقطاع الاتصالات.
‚