|
التسلل والاختراق الأخلاقي!!
|
قد يتساءل البعض عن هذا العنوان قائلاً: وهل هناك اختراق أو تسلل أخلاقي Ethical Hacking حيث سمع عن اختراق شبكة المعلومات لأحد مصافي البترول في البرازيل الذي أودى بقتل أربعة أشخاص، واختراق في الصين أودى بشركة أمريكية للإفلاس وكذا اختراق كاد أن يؤدي بخسارة حرب كاملة، فما علمنا عن الاختراقات الكمبيوترية إلا سوء وخسارة.
لكن هذه الأيام اتجهت الكثير من الشركات العالمية إلى توظيف أناس لهم خبرتهم في مجال الاختراق الكمبيوتري وتعاقدت معهم لأداء مهمة الاختراق الأخلاقي.
وهذا الاختراق هو عبارة عن توظيف أناس من قبل الدائرة أو المنظمة التي تريد أن تقيم مستوى الأمن المعلوماتي لديها وتتركهم يحاولون أن يخترقوا أنظمة الحاسب لكي تتعرف وتقيم ثم تتخذ الإجراء اللازمة لأمن معلوماتها وأنظمتها من حيث سد الثغرات وإصدار السياسات الأمنية وتركيب النظم والأجهزة الخاصة للحماية.
وهناك عدة أنواع لهذه الصفقات أو العمليات ولها مسمياتها التقنية: أولاها: الصندوق الأسود (Black box) حيث إن المخترق أو الخبير الأمني يحاول الاختراق والتعرف على الثغرات الأمنية دون أي معلومات مسبقة عن المنشأة ويعد هذا النوع الأكثر تعقيداً ويستغرق وقتاً أطول من غيره.
ثانيها: الصندوق الأبيض (White box) حيث إن المخترق يكون لديه كل المعلومات عن الأنظمة وتصميمات الشبكة لدى الشركة التي يتم اختبارها، وهذا غالباً يستخدم في عملية التدقيق للأنظمة.
ثالثها: الصندوق الرمادي (Gray box) وهو عبارة عن محاولة الاختراق من داخل المنظمة وهو يعتبر أسهل وأقل تكلفة من سابقتها.
وأياً كان نوع الاختراق فهناك ثلاث خطوات يجب القيام بها والاتفاق عليها بين الشركة المستفيدة!! والخبير الأمني:
الخطوة الأولى: الإعداد والتهيئة وفي هذه الخطوة يتم التوقيع من قبل الطرفين من طرف الخبير الأمني بألا يبوح بأي أسرار أو ثغرات أو معلومات حصل عليها أو تعرف عليها في عمله الاحتراقي، وأيضاً تعهد من قبل الشركة بألا تدعي أو تحاكم هذا الخبير في فترة العمل لديها إذا تعرف أو اكتشف ثغرات أمنية باتهامه أنه مخرب أو إلى غير ذلك.. وفي هذه الخطوة أيضاً وضع خطة من ناحية الأماكن أو الأنظمة المراد اختراقها والوقت الزمني للخطة وفريق العمل.
الخطوة الثانية: عملية التجميع والاختراق وفي هذه الخطوة يتم القيام بمحاولة اكتشاف الثغرات بالمسح الأمني ومحاولة الاختراق ويفضل عند الاختراق أن يكون خارج أوقات العمل لتفادي أي أضرار قد تنجم عن هذا الشيء، أما المسح الأمني لاكتشاف الثغرات فلا بأس أن يكون في أوقات العمل بل يفضل ذلك.
الخطوة الثالثة: هي الانتهاء من إعداد دراسة واضحة عما تم اكتشافه من ثغرات وأخطار أمنية وما هي الأدوات أو الطرق التي تم بها الاكتشاف ووضع أولويات في سد هذه الثغرات من ناحية الخطورة وما هي الحلول الأمنية المقترحة لهذه المخاطر.
وفي الختام فإن عملية الاختراق الأخلاقي تعتمد اعتماداً كلياً على الثقة والأمانة المهنية والأخلاقية، لكن اكتشاف هذه الثغرات عن طريق شخص معروف للشركة أفضل من أن يكتشفها أو أن يستغلها متسلل خطر وكما قيل (بيدي لا بيد عمرو).
م.سلطان العتيبي
.....
الرجوع
.....
| |
|
|
توجه جميع المراسلات التحريرية والصحفية الى
chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى
admin@al-jazirah.com عناية مدير وحدة الانترنت
Copyright 2002, Al-Jazirah Corporation, All rights Reserved
| 