كثر في الآونة الأخيرة الحديث عن قضايا الهجوم والاختراق وسرقة البيانات والعبث بها واختراق الأنظمة والشبكات الحاسوبية الكبرى. وتردد على مسامعنا أخبار متفرقة عن مواقع كبرى في شبكة الإنترنت تعرضت للاختراق وتعطلت بسببه. وبالمقابل، تحتل قضايا الأمن والحماية والسياسات الأمنية المرتبة الأولى في أولويات الإدارة العليا في جميع المنشآت التجارية منها والحكومية، بل وعلى مستوى الأفراد أيضا، فتعقد الندوات وتقام المؤتمرات الدورية لمناقشة تلك القضايا المهمة والتي أصبحت هاجس الكثير من المديرين التنفيذيين ومديري مراكز المعلومات، ومشرفي مواقع الإنترنت...إلخ. إن قضية الاختراق والعبث بالبيانات قد لا تعني لك شيئا عظيما ـ أخي القارئ ـ بصفتك مستخدم شخصي للإنترنت ولا تمتلك سوى حاسب شخصي منزلي، به بعض الوثائق والبيانات، ولكن، هل تعلم أن الشركات الكبرى قد تتجه نحو الإفلاس إذا ما تعرضت أنظمتها الحاسوبية للاختراق؟ هل تعلم أن فقدان جزء من البيانات أو تسرب بيانات حساسة من أنظمة الشركة لجهات منافسة قد تسبب كارثة للشركة وموظفيها؟! هل تعلم أن فقد (استقالة) بعض الموظفين الأكفاء من الشركة قد يكون أهون وأخف ضررا من فقد (تسرب) بعض البيانات؟ أظنك تخيلت معي حجم الكارثة التي يمكن أن تحصل إذا اختل نظام الأمن والحماية أو بالأصح انعدم. في هذا السياق، أصدرت مؤخرا شركة ميكروسوفت (www.microsoft.com) تقريرا رسميا نشر على موقعها على شبكة الإنترنت، عنونت له بعبارة The Ten Immutable Laws of Security أي القوانين العشرة الثابتة للأمن يناقش موضوع الأمن والوقاية من جميع الجوانب، وكأنه يرسم خطة أمنية منهجية شاملة ينبغي أخذها بعين الاعتبار عند التعامل مع الحواسب الشخصية أو الخادمات أو الأنظمة الكبرى أو مواقع الإنترنت على السواء. ربما كانت هذه الخطوة من شركة ميكروسوفت ردة فعل للاعتقاد السائد لدى كثير من مهندسي الأنظمة والشبكات ومستخدمي الإنترنت من أن منتجات ميكروسوفت كثيرة العيوب والثغرات الأمنية القاتلة، وتذمرهم من ذلك، وكأن ميكروسوفت تتمثل المقولة الشهيرة نعيب زماننا والعيب فينا. ونحن هنا قمنا بترجمة ذلك التقرير إلى العربية لما وجدنا فيه من الفائدة التي نرجو أن ينالها القارئ الكريم، نقدمه في جزأين، وفيما يلي الجزء الأول من التقرير: ونحن في مركز استجابة أمن ميكروسوفت نحقق في الآلاف من تقارير الأمن كل سنة. في بعض الحالات، نجد تقريرا يصف هشاشة أمن فعلية ناشئة عن عيب في أحد منتجاتنا! عندما يحدث هذا نقوم ـ بأسرع ما يمكن ـ بتطوير رقعة تصحيحية (patch) لتصحح الخطأ، انظر وثيقة جولة في مركز استجابة أمن ميكروسوفت على الصفحة www.microsoft.com echnet columnssecuritysectour.asp وفي حالات أخرى، نجد أن المشكلات المبلغة ناشئة ببساطة عن خطأ في استخدام المنتج من قبل المستخدم نفسه. معظم التقارير الواردة تقع بين هاتين الحالتين. نعم التقارير تصف مشاكل ثغرات أمنية حقيقية، ولكنها في الأصل ليست نتيجة عيوب في المنتج. على مر السنين، قمنا بإعداد قائمة بأساسيات الوقاية الأمنية، والتي أطلقنا عليها اسم القوانين العشرة الثابتة للأمن وهي القوانين التالية: القانون رقم 1: إذا استطاع شخص شرير أن يقنعك بتنفيذ برنامجه على جهازك، فإنه لم يعد جهازك بعد الآن! القانون رقم 2: إذا استطاع شخص شرير أن يعدل نظام التشغيل في جهازك، فإنه لم يعد جهازك بعد الآن. القانون رقم 3: إذا امتلك شخص شرير نفوذا غير مقيد إلى جهازك فإنه لم يعد جهازك بعد الآن. القانون رقم 4: إذا أذنت لشخص شرير أن يحمل برامج إلى موقعك على الإنترنت، فإنه لم يعد موقعك بعد الآن. القانون رقم5: كلمات المرور الضعيفة تخذل الأمن القوي! وفيما يلي شرح مفصل لتلك القوانين: القانون رقم 1: إذا استطاع شخص شرير أن يقنعك بتنفيذ برنامجه على جهازك، فإنه لم يعد جهازك بعد الآن. إنها الحقيقة السيئة في علم الكمبيوتر: عندما يتم تنفيذ برنامج حاسوبي فإنه سيعمل ما برمج من أجله، حتى وإن كان مبرمجا ليضر بالجهاز! عندما تهم بتنفيذ برنامج ما، فإنك تعمل على تسليم التحكم الكامل بالكمبيوتر لذلك البرنامج! بمجرد أن ينفذ البرنامج، فإنه يمكن أن يعمل أي شيء وهو ما يمكن أن تعمله أنت بنفسك على جهازك. يمكن للبرنامج أن يتابع ضغطاتك على لوحة المفاتيح ومن ثم يرسلها إلى موقع على الإنترنت، يمكنه أن يفتح أي وثيقة على جهازك، ويغير محتواها (مثلا يمكن أن يغير كل كلمة سوف لتكون سوف لا، ولك أن تتخيل التأثير، يمكنه أن يرسل رسائل بريد إلكتروني بذيئة إلى كل أصدقائك، يمكنه أن يخبئ فيروسا على جهازك! يمكنه أن يفتح منافذأبوابا خلفية في جهازك (ثغرات) لتسمح لشخص ما باختراق جهازك دون أن تشعر والتحكم فيه عن بعد! يمكنه أن يقوم بالاتصال بالإنترنت دون علمك، كما يمكنه ببساطة إعادة تهيئة القرص الصلب ومسح جميع البيانات!! لذا فإنه من المهم ألا تنفذ أو تحمل في جهازك أي برنامج من مصدر غير موثوق، وأقصد بعبارة مصدر غير موثوق، ذلك الشخص الذي صمم البرنامج وليس الشخص الذي أعطاه لك. هناك تشابه لطيف بين عملية تنفيذ برنامج حاسوبي وأكل سندوتش!! إذا تقدم إليك شخص غريب وناولك ساندوتشا هل تأكله؟ بالطبع لا، وماذا يا ترى ستفعل إذا أعطاك أفضل أصدقائك ساندوتشا؟ ربما تأكله وربما لا. طبعا حسب الظروف، هل هو صنع الساندوتش بنفسه أم وجده ملقى في الشارع؟ نفس التفكير الاحترازي الذي طبقته على الساندوتش، طبقه على البرامج، وسوف تكون في مأمن من الخطر. القانون رقم(2): إذا استطاع شخص شرير أن يعدل نظام التشغيل في جهازك، فإنه لم يعد جهازك بعد الآن! باختصار، نظام التشغيل مجرد سلسلة من الأصفار والآحاد (منطق لغة الآلة)، والتي تترجم من قبل المعالج لأداء وظائف معينة، بتغيير بعض الآحاد والأصفار، سيتم أداء وظائف مختلفة تماما، ولكن، أين يتم تخزين هذه الآحاد والأصفار؟ هي في النهاية ملفات النظام، وإذا سمحت للأشخاص الآخرين الذي يعملون على نفس الجهاز بتعديل هذه الملفات، فإنك فقدت السيطرة على جهازك! لفهم ذلك، يجب أن تعلم أن ملفات نظام التشغيل ممنوحة الثقة التامة لتقوم بالتحكم بالحاسب، بالإضافة إلى أنها تنفذ بصلاحيات نظام التشغيل المطلقة، وهو ما يعني أنها قادرة على عمل أي شيء بالنسبة إلى الجهاز، نعم أي شيء! من ذلك، القدرة على إدارة حسابات مستخدمي النظام User Accounts، التحكم في كلمات المرور (passwords) وتغييرها، التحكم في قوانين الصلاحيات الممنوحة لكل مستخدم للنظام. وهكذا، إذا استطاع أي شخص أن يحدث تغييرات في تلك الملفات الحساسة (وبالتالي يفقدها موثوقيتها)، فإنها ستنفذ طلباته كما يجب، وفي هذه الحالة لن يكون هناك حدود لما يمكن أن يقوم به ذلك الشخص! يمكن أن يسترق كلمات المرور، يمكن أن يجعل نفسه مديرا للنظام (System Administrator)، كما يمكن أن يضيف وظائف جديدة لنظام التشغيل، لصد هذا النوع من الهجوم تأكد أن ملفات النظام لديك، وكذلك السجلات (Registry) محمية جيدا. للتأكد من ذلك، راجع قائمة الأمن في موقع أمن ميكروسوفت على الإنترنت (http:\ www.microsoft.com echnet itsolutionssecurity ools tools.asp). القانون رقم 3: إذا امتلك شخص شرير نفوذ ا غير مقيد إلى جهازك، فإنه لم يعد جهازك بعد الآن! آه، ما أعظم الأشياء التي يمكن أن يعملها الشخص الشرير إذا وقعت يداه على حاسبك! فيما يلي أمثلة على ذلك، بدءا من العصر الحجري إلى عصر الفضاء: - يمكن أن يتلبس أقصى أنواع الهجوم، ويهشم كمبيوترك بمطرقة غليظة! - يمكن أن يفصل الكمبيوتر، يأخذه خارج المبنى، ويحتفظ به كوسيلة ابتزاز أو للفدية! - يمكن أن يشغل كمبيوترك بدءا من قرص مرن جلبه لهذا الغرض، ثم يستطيع إعادة تهيئة (Format) القرص الصلب! انتظر.. لا تقل أنك ذكي بما فيه الكفاية وقد قمت بإعداد البيوس (BIOS) في كمبيوترك بحيث يطلب كلمة مرور عند إعادة تشغيله، فالأمر سهل جدا، إن تمكن من أن يفتح غطاء الجهاز وتصل يداه إلى القطع الداخلية، فبإمكانه استبدال شرائح البيوس لتخطي هذا الحاجز (عموما، هناك طرق كثيرة أسهل من ذلك)! - يمكن أن يزيل القرص الصلب من كمبيوترك، ثم يركبه في الكمبيوتر الخاص به، وبالتالي يقرؤه! - يمكن أن يعمل نسخة لقرصك الصلب، ثم يعيده مكانه، وبهذا يمتلك الوقت الكافي لتنفيذ الهجوم الشرس على بياناتك مثلا: سيحاول تجربة عدة كلمات مرور يتوقعها، وسيخدمه في ذلك بعض البرامج المتوفرة بالسوق، وهو بلا شك يمتلك وقت كافيا لتشغيل عدة برامج من هذا القبيل، وهو ما يعني أنه سينجح بلا ريب. بمجرد أن يحدث ذلك، فإن القانون رقم 1، والقانون رقم 2 أعلاه، قد انطبقا. - يمكن أن يستبدل بلوحة مفاتيحك واحدة أخرى تحتوي على جهاز إرسال راديو (مخفي طبعا). وبالتالي، سيتمكن من مراقبة كل ما تكتبه على كمبيوترك، بما فيها كلمات المرور! دائما تأكد أن الكمبيوتر محمي حسيا (بمنع الوصول إليه) بما يتوافق مع قيمته، وتذكر أن قيمة الجهاز لا تتضمن ثمن قطع العتاد فقط (hardware)، ولكن قيمة البيانات المخزنة عليه، وقيمة المدخل إلى شبكتك الذي يمكن أن يكسبه رجل شرير، كحد أدنى، الأجهزة الحرجة والمهمة في مجال الأعمال مثل: متحكمات النطاق (Domain Controllers) خوادم قواعد البيانات (Database Servers) خوادم الطباعة والملفات (PrintFile Servers)، جميعها يجب أن تكون دوما في غرف مخصصة ومقفلة لا يمكن لشخص الدخول إليها ما لم يكن مسؤولا عن إدارة الجهاز أو صيانته، أيضا قد ترغب في حماية الأجهزة الأخرى كذلك، وربما باستعمال إجراءات وقائية إضافية. إذا كنت تسافر بحاسب محمول (Laptop)، فإن حمايته مسألة مهمة وحرجة تماما. نفس الميزات التي تجعل الحواسيب المحمولة مناسبة جدا للسفر والتنقل بها (صغر الحجم، خفة الوزن، وما إلى ذلك) أيضا تجعلها سهلة السرقة. هناك تشكيلة من الأقفال والإنذارات متاحة لحماية الحواسيب المحمولة، كما أن بعض الموديلات تسمح لك بأن تزيل القرص الصلب وتحمله معك دوما. كما يمكنك أن تستعمل بعض المميزات المتاحة مثل: نظام الملفات المشفر (Encrypting) في ويندوز 2000، وذلك لتخفيف الضرر إذا نجح شخص ما في سرقة الكمبيوتر. بقي أن تعرف أن الطريقة الوحيدة التي يمكنك بها التأكد تماما 100? أن بياناتك ستكون آمنة ولن يتم التلاعب بالحاسب، تلك الطريقة هي أن تحتفظ بحاسبك المحمول بين يديك في جميع الأوقات ما دمت في السفر. القانون رقم 4: إذا أذنت لشخص شرير أن يحمل برامج إلى موقعك على الإنترنت، فإنه لم يعد موقعك بعد الآن. أساسا هذا هو نفس القانون رقم 1 بطريقة مغايرة، في ذلك السيناريو، الرجل الشرير يخدع ضحيته فيقنعها بتنزيل برنامج ضار على جهازه ثم تشغيله. أما هنا، فالرجل المعتدي يقوم بتحميل البرنامج الضار إلى جهاز الخادم للموقع ثم يقوم بتشغيله بنفسه. هذه الثغرة خطرة جدا ما دمت تسمح للآخرين بالدخول إلى موقعك وتحميل البرامج. ومع ذلك، فإن كثيرا من مواقع الإنترنت وقعت ضحية هذا النوع من الهجوم. في الحقيقة، كثير من مديري مواقع الإنترنت كرماء ويرحبون بالزوار لمحتويات مواقعهم، ويسمحون لهم بتحميل برامج إلى الموقع وتنفيذها. كما رأينا أعلاه، فإن المصائب يمكن أن تحصل إذا أمكن ـ بأي طريقة ـ تنفيذ برنامج ضار على جهازك. إذا كنت تدير موقعا على الإنترنت، يجب عليك أن تقيد ما يمكن لزوار الموقع أن يعملوه في موقعك، يجب أن لا تسمح لأي برنامج أن ينفذ على موقعك ما لم تكن صممته أنت بنفسك أو صممه شخص تثق به جيدا (مطور الموقع مثلا). لكن ذلك قد لا يكون كافيا إن كان موقعك واحدا من عدة مواقع مستضافة لدى خادم إنترنت مشترك. يجب أن تكون أشد حذرا لأنه إذا تمكن شخص شرير من اختراق أحد المواقع المستضافة على ذلك الخادم، فإنه قد يتمكن من مد نفوذ سيطرته لتشمل الخادم نفسه، وهو ما يعني سيطرته على جميع المواقع المستضافة فيه بما فيها موقعك! إذا كنت تستضيف موقعك لدى خادم إنترنت مشترك، فمن باب الحماية يجب عليك أن تعلم تماما ما هي السياسات المتبعة لدى مدير النظام (على أي حال، قبل نشر موقعك على الملأ، تأكد من مراجعة سياسات الأمن الخاصة بخادمات الإنترنت، مثل:IIS4.0وIIS5.0 القانون رقم 5: كلمات المرور الضعيفة تخذل الأمن القوي! إن الغرض من إتمام عملية الدخولالتسجيل في الأنظمة، هو معرفة من تكون أنت أيها المستخدم؟ بمجرد أن يعرف نظام التشغيل شخصيتك، سيتمكن من إعطائك الصلاحيات الملائمة لك على موارد النظامالشبكة. إذا تمكن شخص شرير من معرفة كلمة المرور الخاصة بك عند الدخول إلى النظام، فبإمكانه الدخول إلى النظام وكأنه أنت! في الحقيقة، وحسب منطق نظام التشغيل في الكمبيوتر، هو أنت. وذلك يعني أنه سيتمكن من عمل أي شيء تستطيع أنت القيام بعمله على النظام، وذلك ببساطة لأنه أنت. ربما يرغب في قراءة معلومات حساسة قمت أنت بتخزينها على الكمبيوتر، مثل بريدك الإلكتروني، ربما أنك لديك صلاحيات على الشبكة أكثر مما لديه، فبانتحاله شخصيتك سيتمكن من عمل أشياء لم يكن بوسعه عملها في الحالة الطبيعية (أي عندما يدخل إلى النظام باسمه)، أو ربما يرغب فقط في تنفيذ عمل تخريبي للنظام، ويلقي اللوم عليك لأجل الإضرار بك! على أي حال، إن حماية كلمات المرور التي تخصك شيء جدير بالاهتمام. كقاعدة، دائما استخدم كلمة مرور حقيقية ولا تتركها فارغة، كم هو مذهل أن كثيرا من الحسابات تكون كلمات المرور الخاصة بها فارغة! كذلك اختر كلمة مرور معقدة. لا تجعل كلمة المرور هو اسم سيارتك، أو تاريخ ميلادك، أو اسم فريق الكرة الذي تشجعه، أيضا لا تستخدم الكلمة (password) لأنها كلمة شائعة ومن الغباء استخدامها ككلمة مرور. اختر كلمة مرور بها مزيج من الحروف الهجائية الكبيرة والصغيرة، الأعداد، علامات الترقيم، وما إلى ذلك. اجعلها طويلة ما أمكن، وقم بتغييرها كل فترة زمنية، بمجرد اختيارك كلمة مرور قوية، حافظ عليها بشكل مناسب، انتبه جيدا، لا تكتبها في ورقة، وإن اضطررت إلى كتابتها، فعلى الأقل احتفظ بها في مكان آمن أو درج مقفول. تذكر أن أول شيء يتفحصه الرجل الشرير عندما يهم بالتقاط كلمات المرور، هو تلك الملصقات الصفراء التي غالبا ما تكون ملصقة على جانب شاشة الكمبيوتر، أو الملصقة على أعلى الدرج السحاب بالمكتب! كذلك لا تخبر أحدا بكلمات المرور التي تخصك، تذكر مقولة الأستاذ بن فرانكلين الشهيرة: يمكن أن يحتفظ شخصان اثنان بسر بينهما، ولكن فقط إذا كان أحدهما ميتا. أخيرا.. جرب استعمال شيء أقوى من كلمات المرور للدخول إلى النظام. على سبيل المثال، نظام ويندوز 2000 يدعم استخدام البطاقات الإلكترونية الذكية، والتي تقوي عملية فحص الهوية التي يمكن أن يؤديها النظام. أيضا بإمكانك استخدام منتجات فحص الهوية عالية التقنية، مثل أجهزة فحص بصمة الإصبع أو أجهزة المسح الضوئي لشبكية العين. خاتمة: لا تحبس أنفاسك منتظرا الترقيعات والتصحيحات البرمجية لكي تقيك شر الأخطار التي ذكرناها أعلاه. إنه من غير الممكن لشركة ميكروسوفت ـ أو أي منتج للبرامج ـ أن ينتج تصحيحات برمجية لتلك الأخطار، وذلك لأنها تنشأ حسب طريقة استخدام الكومبيوترات، لكن بالمقابل لا تفقد كل الأمل. إن التخطيط السليم هو مفتاح حماية نفسك ومنشآتك من مثل هذه الأخطار، وإذا وضعت هذه القوانين نصب عينيك فبإمكانك تحسين الأمن لنظامك بدرجة كبيرة. للفائدة هناك العديد من المواد المتاحة لمساعدتك في موقع أمن ميكروسوفت على الإنترنت (www.microsoft.com security)، تجد هناك على سبيل المثال: المئات من التقارير الرسمية، أفضل الأدلة التطبيقية الإرشادية، بعض القوائم والأدوات، نصائح ومعلومات قيمة.. للاطلاع على التقرير الأصل، اذهب إلى: http:\www.microsoft.com technetcolumnssecurity 10imlaws.asp