أمن المعلومات – أمثلة من الواقع

بالبريد الالكتوني

يعد أمن المعلومات من أهم أسباب تحقيق نجاح أي قطاع حكومي أو مالي , لما يحمل من أهمية عظمى لاستمرار العمل وتحقيق الدعائم الضرورية للحفاظ على سرية المعلومات والتأكد من صلاحيات الأفراد المصرح لهم بالاطلاع ومعالجة البيانات, مع ضمان بقائها دون تغير أو تعديل مالم يكن ذلك التعديل من قبل أشخاص مصرح لهم بذلك قبل أوخلال أو بعد انتقالها, وأخيرا القدرة على الحصول عليها عند الطلب أو تزويدها للأفراد مصرح لهم بأخذها أو مشاهدتها, ويطلق على هذا المنطق المتكامل CIA وتعني Confidentiality وIntegrity وAvailability, مع العلم أن أي محاولة للإخلال بأحد الأسس المذكورة يعتبر انتهاك وبالتالي يدخل تحت مظلة الانتهاكات غير الأخلاقية أو كما يحب أن يسميها البعض محاولات إختراق (Hacking).
في هذا الموضوع سأعطي أمثلة عن الانتهاكات المنتشرة عبر الانترنت والتي من الممكن أن تكون سبلا أو طرقا يستخدمها المخترقون أو المتطفلون للوصول للمعلومات السرية التى تحتفظ بها أو تعديل معلومات تود الحفاظ عليها عند انتقالها أو حتى إيقاف الخدمة عنك ومنعك من استخدام صلاحياتك.
وسوف نبدأ بأحد أهم نطاق الأسس الثلاثة التى تحدثنا عنها مسبقا وهي الحفاظ على سرية المعلومات.
لنتصور معا هذا السيناريو البسيط ، أحمد مستخدم يمتلك بعض المهارات في استخدام الحاسب الآلي ولكن يفتقر لبعض الوعي الأمني، في أحد الأيام وأثناء جلوسه في مكتبه استقبل مكالمة من رقم غير معلوم ويزعم المتصل أنه يعمل في إحدى الشركات الخاصة ببطاقات الائتمان ويريد من أحمد الاشتراك في هذه الخدمة التى كما وضح له مجانية ، ويتوجب على أحمد تزود المتصل بمعلومات شخصية: مثل في فرع البنك المفتوح به حساب أحمد واسم البنك, بطاقة الأحوال الخاصة, رقم الهاتف, وصندوق البريد, وتاريخ الميلاد, بحجة رفع طلب خدمة بطاقة ائتمانية، مع العلم أن المعلومات التى قام أحمد بتزويدها للمتصل هي المعلومات المطلوبة عند تحويل أو تحديث معلومات بنكية، بالفعل قام أحمد بتزويد المتصل بالعلومات المطلوبة مع العلم أن المتصل قد أشعر أحمد أنه يتوجب عليه الانتظار حتى تتم الموافقة على طلبه ولو تمت الموافقة على طلب إصدار بطاقة ائتمان سوف يقوم أحد الموظفين بدوره بالاتصال على أحمد وتزويده ببعض المعلومات الأخرى.
وبعد فترة من الزمن قرابة (الشهر أو الشهرين) يعاود نفس الشخص الاتصال بأحمد ولكن في هذه المرة يزيف هويته لينتحل شخصية موظف في نفس البنك الذى قام أحمد بتزويده به ، ويبدأ بسرد المعلومات الخاصة بأحمد بأسلوب حواري ليبني من خلالها ما يسمى الثقة المطلقة التى يستطيع من خلالها أن يطلب من أحمد أي معلومات يتطلبها لإكمال ما بدأه ، مثل تزويده بطاقة الصراف الآلي، أو رقم الاشتراك الخاص بأحمد والرقم السري في خدمة الهاتف المصرفي، بحجة تحديث البيانات الخاصة بأحمد.
أعزائي لو تمعنا السيناريو نجد أن المخترق استحوذ على كافة المعلومات التى تخوله التحويل من حساب أحمد الى حساب آخر وبطريقة شرعية جدا في نظر البنك، ويسمى هذا الأسلوب المتبع من قبل المتصل الهندسة الإجتماعية،»”Social Engineering
يمكن خداع المستخدم بنفس الطريقة ولكن باستخدام البريد الإلكتروني عوضا عن استخدام الهاتف ويطلق على هذا الأسلوب PHISHING, ويستخدم تقنية خداع المستخدم واصطياده، وتعتمد على تزييف عنوان أو صفحة لموقع بنك معين أو حتى تزييف البريد الإلكتروني لخداع المستخدم وكسب ثقة ومن خلال هذه الثقة المكتسبة يقوم المستخدم بتسجيل بياناته الشخصية دون الشعور أنه رهن عملية خداع أو نصب، كما يوضح الرسم التالي العملية بشكل أوضح.
ترمز كلمة HACKER للمخترق، وCLIENT للمستخدم، وSERVICE AGENCY للخادم الأصلي.
نلاحظ أن المستخدم يقوم بإرسال البيانات للمخترق، ويقوم المخترق بدوره بالرد على المستخدم منتحلا شخصية الخادم الأصلي, لذلك يجب علينا الحذر من الرسائل المرسلة إلينا والتحقق من صحة المواقع قبل الدخول عليها وتسجيل البيانات وان لزم الأمر نقوم بالاتصال بالبنك للتأكد من صحة تلك الرسائل والتحقق من هويتها قبل الإقدام على خطأ من الممكن أن نندم عليه لاحقا.