Kotobati - مقدمة في الآمن السيبراني.pdf
Document Details
Uploaded by ArticulateEmpowerment
Tags
Full Transcript
مقدمة في األمن السيبراني === === === Introduction to Cyber Security *** *** *** مهندس كمبيوتر ومهندس شبكات/ تقدمة مفيد عوض حسن علي *** *** *** Submit it / Computer and Network Engineer Mufeed Awad Hassan Ali ...
مقدمة في األمن السيبراني === === === Introduction to Cyber Security *** *** *** مهندس كمبيوتر ومهندس شبكات/ تقدمة مفيد عوض حسن علي *** *** *** Submit it / Computer and Network Engineer Mufeed Awad Hassan Ali 2 طموحاتي نفس سأعمل كمدافع عن الكون أمتلك مهارات مذهلة -أدرك ي صغيا تخيلت ر عندما كنت بانن أستطيع ر حم األبرياء ،وأبحث عن األشار ،وأقدمهم إىل العدالة؟ ما كنت أعلم ي التهديد ،وأ ي ان ،أو ر السيي ي ر ع لألمن الخبي الش ي ر ان ،أو السيي ي ر خبي يف األمن أن أحصل عل مهنة كمثل هذه ؟ ر السييانية. ر خبي يف أمن المعلومات ،أو قرصان يف األخالق ر المثي ر ان السيي ي ر كل هذه األدوار والطموحات يمكن أن تكون جزءا من عملك يف مجال األمن والمتغي باستمرار وكل يوم وكل لحظة. ر المؤلف / مهندس كمبيوتر ومهندس شبكات مفيد عوض حسن علي عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 3 نظرة عامة عن الدورة التدريبية كي هذه الدورة التدريبية هو استكشاف مجال األمن يشي عنوان الدورة التدريبية ،أن تر ر كما ر ان. السيي ي ر يل: يف هذه الدورة التدريبية ،سيتم تنفيذ ما ي التعرف عل أساسيات األمان عي ر اإلنينت. ر تحم المؤسسات نفسها ضد ي اليامج الضارة والهجمات وكيف التعرف عل أنواع مختلفة من ر هذه الهجمات. ان. السيي ي ر استكشاف الخيارات المهنية يف مجال األمن ر اإلنينت، عي أكي بأهمية أن تكون آمنا ر يف نهاية هذه الدورة التدريبية ،ستكون عل دراية ر ان. ر السيي ي ر اإللكيونية ،والخيارات المهنية الممكنة يف مجال األمن والعواقب المحتملة للهجمات عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 4 الفصل األول :احلاجة إىل األمن السيرباني ان؟ السيي ي ر متخصصي يف األمن ر ان لماذا يزداد الطلب عل السيي ي ر يوضح هذا الفصل ماهية األمن اإلنينت ،ومكان وجودها ،ولماذا تهم مجرم ر اإلنينت. ويوضح ما هويتك وبياناتك عل ر ي يتناول هذا الفصل أيضا المعلومات ،ولماذا يجب حمايتها ،يناقش من هم المهاجمون ر الن ان بالمهارات نفسها ي السيي ي ر السييانيون وماذا يريدون ،يجب أن يتمتع المتخصصون يف األمن ر ان العمل ضمن السيي ي ر العاملي يف مجال األمن ر السييانيون ،لكن يجب عل ر يتمتع بها المهاجمون ان أيضا السيي ي ر المتخصصي يف األمن ر والدوىل ،كما يجب عل ي والوطن ي المحل ي حدود القانون ر أخالف. ي استخدام مهاراتهم بشكل السييانية ولماذا تحتاج الدول ه الحرب ر ر كما يتضمن هذا الفصل محتوى يشح باختصار ما ي ان للمساعدة يف حماية مواطنيهم وبنيتهم السيي ي ر متخصصي يف مجال األمن ر والحكومات إىل األساسية. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 5 ما هو األمن السيرباني ؟ ر اإللكيونية المتصلة جزءا ال يتجزأ من حياتنا اليومية ،حيث أصبحت شبكة المعلومات تستخدم جميع أنواع المؤسسات ،مثل المؤسسات الطبية والمالية والتعليمية ،هذه الشبكة كبية من المعلومات الرقمية للعمل بفعالية ،وتستخدم الشبكة عن طريق جمع كميات ر ومعالجتها وتخزينها ومشاركتها ،ومثلما هو الحال جمع المزيد من المعلومات الرقمية وتقاسمها، القوم واستقرارنا االقتصادي. لذلك أصبحت حماية هذه المعلومات ر أكي حيوية ألمننا ي ان هو الجهد المستمر لحماية هذه الشبكات المتصلة معا وكافة البيانات من السيي ي ر إن األمن الشخص ،تحتاج إىل حماية ي غي المرصح به أو الذي يسبب الرصر عل المستوى االستخدام ر هويتك وبياناتك وأجهزتك الحاسوبية عل مستوى ر الشكة ،يتحمل الجميع مسؤولية حماية المواطني ر القوم وسالمة ي سمعة المؤسسة وبياناتها وعمالئها عل مستوى الدولة ،فإن األمن ورفاهيتهم عل المحك. هويتك يف وضع االتصال ووضع عدم االتصال بشبكة اإلنرتنت ر باإلنينت نظرا ألن المزيد من الوقت يتم إنفاقه عل ر اإلنينت ،فإن حالة االتصال وعدم االتصال يمكن ان تؤثر عل حياتك ،إن هويتك يف وضع عدم االتصال هو الشخص الذي يتفاعل معه يوم يف الميل أو يف المدرسة أو يف العمل فهم يعرفون معلوماتك ي أصدقاؤك وعائلتك بشكل الشخصية ،مثل اسمك أو عمرك أو المكان الذي تعيش فيه. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 6 ه طريقة تقديم ر ر ان هويتك عل اإلنينت ي السيي ي ر ه من أنت يف الفضاء هويتك عل اإلنينت ي اإلنينت يجب أال تكشف هذه الهوية عي ر اإلنينت سوى كمية محدودة من نفسك لآلخرين عي ر ر ر المعلومات عنك. يجب توخ الحذر عند اختيار اسم مستخدم أو اسم مستعار لهويتك عل ر اإلنينت ،يجب أال ي ر ومحيم ،يجب أال شء مناسب ر يتضمن اسم المستخدم أي معلومات شخصية ،يجب أن يكون ي ر اإللكيونية أو يؤدي اسم المستخدم هذا إىل جعل الغرباء يعتقدون أنك هدف سهل للجرائم غي مرغوب فيه. اهتمام ر بياناتك ّّ تعرفك بشكل أي معلومات عنك يمكن اعتبارها بياناتك ،يمكن لهذه المعلومات الشخصية أن عي الن تتبادلها مع عائلتك وأصدقائك ر ر فريد كفرد ،تتضمن هذه البيانات الصور والرسائل ي االجتماع وتاري خ ومكان الميالد أو اسم ر اإلنينت ومعلومات أخرى ،مثل االسم ورقم الضمان ي تعتي معروفة لك وتستخدم للتعرف عليك ،يمكن أيضا استخدام ر األم قبل الزواج ،حيث المعلومات مثل المعلومات الطبية والتعليمية والمالية والتوظيفية لتحديد هويتك عي ر اإلنينت. ر السجالت الطبية يف كل مرة تذهب إىل عيادة الطبيب ،يتم إضافة المزيد من المعلومات إىل السجالت الصحية اإللكيونية ( )EHRsوتصبح الوصفة الطبية المقدمة من طبيب األشة جزءا من السجالت ر ون" "EHRالخاص ر ر الصح اإللكي ي ي اإللكيونية" "EHRالخاصة بك ،يتضمن السجل الصحية ر الن قد ال وغيها من المعلومات الشخصية ي بك معلومات عن الصحة البدنية ،والصحة العقلية ،ر تكون ذات صلة بالطب عل سبيل المثال ،إذا كانت لديك استشارة أثناء طفولتك عندما حدثت كبية يف األشة ،فسيكون هذا يف مكان ما يف سجالتك الطبية باإلضافة إىل تاريخك تغييات ر ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 7 ر اإللكيونية" "EHRأيضا الطن ومعلوماتك الشخصية ،وقد تتضمن السجالت الصحية ري معلومات حول عائلتك. الالسلك من ي لتمكي النقل ر تستخدم األجهزة الطبية ،مثل برامج اللياقة البدنية ،منصة السحابة تخزين وعرض البيانات الشيرية مثل معدالت ضبات القلب وضغط الدم وسكريات الدم ،يمكن ر الن يمكن أن تصبح جزءا من سجالتك لهذه األجهزة توليد كمية هائلة من البيانات الشيرية ي الطبية. سجالت التعليم مع تقدمك يف التعليم ،فإن المعلومات حول الدرجات الخاصة بك ودرجات االختبار وحضورك ر الن أخذتها ،وأي تقارير تأديبية قد تكون يف سجل ر الن درستها ،وجوائزك ،والدرجات ي والدورات ي التعليم الخاص بك وقد يشمل هذا السجل أيضا معلومات االتصال ،وسجالت التطعيم والصحة ،وسجالت التعليم الخاصة ،بما يف ذلك برامج التعليم الفردية. السجالت املالية والتوظيف الماىل عل معلومات حول دخلك ونفقاتك ويمكن أن تتضمن السجالت ي قد يشتمل سجلك وغيها من الرصيبية رواتب الشيكات ،و بيانات بطاقات االئتمان ،وتقييم االئتمان الخاصة بك ر المعلومات المرصفية يمكن أن تتضمن معلومات التوظيف عملك السابق وأدائك. أين بياناتك ؟ تحم خصوصيتك وبياناتك يف بلدك ولكن هل ي قواني مختلفة ر كل هذه المعلومات عنك وهناك تعرف مكان بياناتك؟ عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 8 الن أجريتها مع الطبيب يف مخططك ر عندما تكون يف عيادة الطبيب ،يتم تسجيل المحادثة ي التأمي لضمان معرفة ر الفواتي ،يمكن مشاركة هذه المعلومات مع رشكة ر الطن وبالنسبة ألغراض ري الطن للزيارة أيضا يف رشكة الفواتي والجودة المناسبة ،اآلن أصبح هناك جزء من السجل ر ي ر قيمة التأمي. ر لشاءاتك ومع ذلك يقوملتوفي المال ر ر قد تكون بطاقات والء العمالء للمتجر وسيلة مالئمة ر لمشيياتك واستخدام تلك المعلومات لمصلحته الخاصة ،يظهر تعريف المتجر بتجميع ملف ي ر لمشييات من ماركة معينة ونكهة معجون األسنان بانتظام ،يستخدم الشخص رشائك الملف ي المشيي بعروض خاصة من رشيك التسويق باستخدام ر المتجر هذه المعلومات الستهداف ر التسويف ملف تعريف لسلوك العميل. بطاقة الوالء ،يكون لدى المتجر ر والشيك ي عندما تقوم بمشاركة صورك عي ر اإلنينت مع أصدقائك ،هل تعرف من لديه نسخة من الصور؟ ر ر الن تم نسخ الصور موجودة عل أجهزتك الخاصة قد يمتلك أصدقائك نسخا من هذه الصور ي تييلها عل أجهزتهم إذا تمت مشاركة الصور بشكل عام ،فقد يكون للغرباء نسخ منها أيضا. عي نشها ر يمكنهم تييل تلك الصور أو أخذ لقطات من تلك الصور ونظرا ألن الصور تم ر ر اإلنينت ،فإنها يتم حفظها أيضا عل أجهزة خوادم موجودة يف أجزاء مختلفة من العالم ،اآلن لم تعد الصور موجودة عل أجهزة الحاسوب الخاصة بك. أجهزة احلاسوب اخلاصة بك ال تقوم أجهزة الحاسوب الخاصة بك بتخزين البيانات الخاصة بك فقط ،اآلن أصبحت هذه األجهزة البوابة إىل بياناتك وتوليد معلومات عنك. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 9 ر تلف كشوفات ورقية لجميع حساباتك ،فإنك تستخدم أجهزة الحاسوب ر ما لم تكن قد اخيت ي الخاصة بك للوصول إىل البيانات ،إذا كنت ترغب يف الحصول عل نسخة رقمية من آخر كشف لبطاقة االئتمان ،فأنت تستخدم أجهزة الحاسوب لديك للوصول إىل موقع ويب لمصدر بطاقة ر اإلنينت ،فيمكنك االئتمان ،إذا كنت ترغب يف دفع فاتورة بطاقة االئتمان الخاصة بك عل الوصول إىل موقع البنك الخاص بك لتحويل األموال باستخدام أجهزة الحاسوب الخاصة بك باإلضافة إىل السماح لك بالوصول إىل معلوماتك ،يمكن ألجهزة الحاسوب أيضا إنشاء معلومات عنك. ر اإلنينت ،أصبحت بياناتك الشخصية متاحة مع توفر كل هذه المعلومات عنك عل شبكة للمتسللي. ر إنهم يريدون أموالك المجرمي يريدون ذلك. شء ذو قيمة ،فإنر ر إذا كان لديك أي ي تعتي ذات قيمة ،تمنح بيانات االعتماد هذه اللصوص ر بيانات االعتماد الخاصة بك عل اإلنينت ر الن لديكر ر إمكانية الوصول إىل حساباتك ،قد تعتقد أن األميال المياكمة من السفر بالطائرة ي حواىل 10,000من اإلنينت ،فكر ف مرة أخرى بعد ر اخياق ليست ذات قيمة بالنسبة لمجرم ر ي ي ي طيان مجانية ر الخطوط الجوية األمريكية والحسابات المتحدة ،حجز مجرمو اإلنينت رحالت ر باستخدام هذه الوثائق المشوقة ،عل الرغم من أن األميال ر المياكمة من السفر بالطائرة أعيدت إىل العمالء من قبل رشكات ر الطيان ،فإن هذا يدل عل قيمة أوراق اعتماد تسجيل الدخول ،يمكن ر اإلنينت وسمعتك للمجرم أيضا االستفادة من عالقاتك ،يمكنهم الوصول إىل حساباتك عل ر حن يخدعوك فتظن أنك توصل األموال إىل أصدقائك أو عائلتك ،يمكن للمجرم إرسال رسائل تفيد بأن عائلتك أو أصدقاءك يحتاجون إليك ويطلبون منك إرسال األموال ر حن يتمكنوا من العودة إىل الوطن من الخارج بعد فقدان محافظهم. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 10 المجرمون مبدعون للغاية عندما يحاولون أن يخدعوك لمنحهم المال ،إنهم ال يشقون أموالك فقط ،بل يمكنهم أيضا شقة هويتك وإفساد حياتك. يريدون هويتك القصي ،يريد المجرمون أرباحا ر باإلضافة إىل شقة أموالك لتحقيق مكاسب نقدية عل المدى طويلة األمد من خالل شقة هويتك ،مع ارتفاع التكاليف الطبية ،تزداد شقة الهوية الطبية، الطن الخاص بك واستخدام الفوائد الطبية الخاصة بك ري التأمي ر يمكن للصوص شقة هوية ه اآلن يف السجالت الطبية الخاصة بك. ألنفسهم ،وهذه اإلجراءات الطبية ي قد تختلف إجراءات إيداع الرصائب السنوية من بلد إىل آخر ومع ذلك يرى المجرمون ر اإللكيونيون هذا األمر كفرصة عل سبيل المثال ،يحتاج شعب الواليات المتحدة إىل إيداع ينضائبه بحلول 15أبريل من كل عام ال تتحقق دائرة اإليرادات الداخلية ( )IRSمن اإلقرار الرص ر ي ين ر مقابل المعلومات من صاحب العمل حن شهر يوليو يمكن لسارق الهوية تقديم إقرار ض ر ي الشعيون عندما يتم رفض طلباتهم بواسطة المسيد ،سيالحظ المدونون رر زائف وجمع المبلغ دائرة اإليرادات الداخلية " "IRSمع الهوية المشوقة ،يمكنهم أيضا فتح حسابات بطاقات االئتمان ويجعل من ي االئتمان وتصعيد الديون باسمك ،سيؤدي ذلك إىل اإلضار بتصنيفك الصعب عليك الحصول عل قروض. يمكن أن تؤدي بيانات االعتماد الشخصية أيضا إىل بيانات ر الشكة والوصول إىل البيانات الحكومية. أنواع البيانات البيانات التقليدية : عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 11 الموظفي والملكية الفكرية والبيانات المالية ،تتضمن معلومات ر تشمل بيانات ر الشكة معلومات الموظفي ،وأي ر الموظفي بيانات الطلب ،وكشوف الرواتب ،وخطابات العروض ،واتفاقيات ر ر االخياع معلومات تستخدم يف اتخاذ قرارات التوظيف ،تتيح الملكية الفكرية ،مثل براءات مية اقتصادية عل والعالمات التجارية وخطط المنتجات الجديدة ،لألعمال التجارية اكتساب ر منافسيها ،يمكن اعتبار الملكية الفكرية شا تجاريا ،فقدان هذه المعلومات قد يكون كارثة عل والميانيات العمومية ،وبيانات التدفق ر مستقبل ر الشكة ،البيانات المالية ،مثل بيانات الدخل، للشكة تعط نظرة ثاقبة عل صحة ر الشكة. النقدي ر ي إنرتنت األشياء والبيانات الضخمة : "إنينت األشياء يوجد الكثي من البيانات إلدارة وتأمي ر إنينت األشياء عبارة عن شبكة مع ظهور ر ر ر ر الن تمتد إىل ما بعد شبكة الحاسوب كبية من األشياء المادية ،مثل المستشعرات واألجهزة ي ر التقليدية كل هذه االتصاالت باإلضافة إىل حقيقة أننا قمنا بتوسيع سعة التخزين وخدمات ر واالفياضية تؤدي إىل نمو هائل للبيانات ،لقد خلقت هذه البيانات التخزين من خالل السحابة ً مجاال جديدا لالهتمام بالتكنولوجيا واألعمال يدع "البيانات الضخمة" ومع شعة وحجم وتنوع البيانات الناتجة عن ر إنينت األشياء والعمليات اليومية لألعمال ،فإن شية هذه البيانات وسالمتها وتوافرها أمر حيوي لبقاء المنظمة. السرية والسالمة والتوفر : ر الثالن ه الشية والسالمة والتوفر ،حيث تعرف باسم ي تعد إرشادات أمن المعلومات للمؤسسة ي .CIA تشفي المصادقة. ر عي تضمن الشية خصوصية البيانات من خالل تقييد الوصول ر تؤكد السالمة أن المعلومات دقيقة وجديرة بالثقة. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 12 يضمن التوفر توافر المعلومات لألشخاص المرخص لهم. السرية : مصطلح آخر للشية هو الخصوصية ،يجب عل سياسات ر الشكة تقييد الوصول إىل المعلومات الموظفي المرصح لهم والتأكد من أن األفراد المرصح لهم فقط هم من يشاهدون ر بالنسبة إىل هذه البيانات قد تتم تجزئة البيانات وفقا لمستوى األمان أو مستوى حساسية المعلومات عل سبيل المثال ،ال يجب عل مطور برامج Javaالوصول إىل المعلومات الشخصية لجميع ر تلف التدريب لفهم أفضل الممارسات يف حماية الموظفي ي ر الموظفي عالوة عل ذلك ،يجب عل ر تشفي ر المعلومات الحساسة لحماية أنفسهم ر والشكة من الهجمات تتضمن طرق ضمان الشية البيانات ،ومعرف اسم المستخدم وكلمة المرور ،والمصادقة الثنائية ،وتقليل تعرض المعلومات الحساسة للخطر. السالمة : ه دقة واتساق وموثوقية البيانات خالل دورة حياتها بالكامل ،يجب أن تظل تعتي السالمة ي ر غي مرصح بها ،يمكن ألذونات الملفات تتغي بواسطة كيانات ر تغيي أثناء النقل وال ر البيانات دون ر غي المرصح به ،يمكن استخدام التحكم يف اإلصدار والتحكم يف وصول المستخدم منع الوصول ر المستخدمي المرصح لهم ،يجب أن تكون النسخ ر غي المقصودة بواسطة التغييات ر ر لمنع االحتياطية متوفرة الستعادة أي بيانات تالفة ،ويمكن استخدام تجزئة المجموع االختباري للتحقق من تكامل البيانات أثناء النقل. يستخدم المجموع االختباري للتحقق من تكامل الملفات ،أو سالسل األحرف ،بعد نقلها من جهاز إىل آخر عي الشبكة المحلية أو ر اإلنينت ،يتم حساب المجموع االختباري بوظائف التجزئة ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 13 ه 5MDو SHA-1و SHA-256و SHA-512.تستخدم دالة بعض المجاميع االختبارية الشائعة ي هاش خوارزمية رياضية لتحويل البيانات إىل قيمة ذات طول ثابت تمثل البيانات ،حيث تتواجد ر مباشة ،من القيمة ر اسيجاع البيانات األصلية القيمة المجزأة ببساطة للمقارنة ،ال يمكن المجزأة ،عل سبيل المثال ،إذا نسيت كلمة المرور الخاصة بك ،فال يمكن ر اسيداد كلمة المرور تعيي كلمة المرور. الخاصة بك من القيمة المجزأة.يجب إعادة ر بعد تييل أحد الملفات ،يمكن التحقق من صحتها بالتحقق من قيم التجزئة من المصدر مع الذي تم إنشاؤه باستخدام أي حاسبة تجزئة وبمقارنة قيم التجزئة يمكنك التأكد من أن الملف لم يتم التالعب به أو تلفه أثناء النقل. التوفر : الحفاظ عل المعدات ،وإجراء إصالحات األجهزة ،والحفاظ عل تحديث أنظمة التشغيل للمستخدمي المعتمدين ،يجب ر واليامج ،وإنشاء نسخ احتياطية تضمن توفر الشبكة والبيانات ر ر الن من صنع اإلنسان، للتعاف بشعة من الكوارث الطبيعية أو الكوارث ي ي أن تكون الخطط جاهزة اليامج األمنية ،مثل الجدران النارية ،تحميك من التوقف بسبب هجمات مثل المعدات أو ر المهاجمي إرباك الموارد ر حجب الخدمة ( )DoSيحدث حجب الخدمة عندما يحاول أحد للمستخدمي. ر بحيث ال تتوفر الخدمات عواقب االخرتاق األمين غي ممكن ،وذلك لعدة أسباب ر يعتي أمرا ر ر ون محتمل إن حماية مؤسسة من كل هجوم إلكي ي الخية الالزمة إلعداد وصيانة الشبكة اآلمنة مكلفة ،سيستمر المهاجمون دائما يف يمكن أن تكون ر ون متقدم ر العثور عل طرق جديدة الستهداف الشبكات يف نهاية المطاف ،سينجح هجوم إلكي ي عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 14 حينئذ يف مدى شعة استجابة فريق األمان للهجوم لتقليل فقدان ٍ ومتعمد ،ستكون األولوية البيانات ووقت التعطل والعائد. يبف عل ر اإلنينت إىل األبد ،ر حن إذا نشه عي ر اإلنينت يمكن أن ر اآلن أنت تعرف أن أي رشء يتم ر ر ي نش تمكنت من محو جميع النسخ الموجودة عندك ،إذا تم ر اخياق أجهزة خوادمك ،فيمكن ر قي بتخريب موقع ر الشكة ر ر الموظفي الشية ،قد يقوم المخيق أو مجموعة من المخي ر ر معلومات ر الن استغرق بناؤها عدة ر ر اإللكيون عن طريق ر غي صحيحة وإفساد سمعة الشكة ي نش معلومات ر ي للشكة مما يؤدي إىل خسارة ر الشكة للعائد، قي أيضا إزالة موقع الويب ر ر سنوات ،يستطيع المخي ر ً معطل ر لفيات زمنية طويلة ،فقد تبدو ر غي موثوقة وربما تفقد الشكة ر إذا كان موقع الويب مصداقيتها ،إذا تم ر اخياق موقع الويب الخاص ر بالشكة أو الشبكة ،فقد يؤدي ذلك إىل تشيب مستندات شية وكشف أشار تجارية وملكية فكرية مشوقة ،وقد يؤدي فقدان كل هذه بكثي من مجرد ر لالخياق أعل المعلومات إىل إعاقة نمو ر الشكة وتوسعها ،فالتكلفة النقدية ر الحاىل وتعزيز األمن المادي للمبن، ي استبدال أي أجهزة مفقودة أو مشوقة ،واالستثمار يف األمن يتعي عليهم ر قد تكون ر الشكة مسؤولة عن االتصال بجميع العمالء المتأثرين حول االخياق وقد ر الشكة ،قد تحتاجاالستعداد للتقاض ،مع كل هذا االضطراب ،قد يختار الموظفون مغادرة ر ي كي بشكل أقل عل النمو والمزيد عل إصالح سمعتها. ر ر الشكة إىل الي ر املثال األول لالخرتاق األمين غي عادي عل شبكته يف ر عي اإلنينت لتطبيق ،LastPassنشاطا ر اكتشفت إدارة كلمة المرور ر وتذكيات كلمة ون للمستخدم، ر ر الييد اإللكي ي المتسللي قد شقوا عناوين ر ر يوليو 2015اتضح أن المستخدمي ،لم يتمكن المتسللون من الحصول عل ر المرور وتصحيحات التوثيق ولحسن حظ أمن ،يمكن لتطبيق ر خزائن كلمة المرور المشفرة ألي شخص ،عل الرغم من وجود اخياق ي المستخدمي يتطلب تطبيق LastPassالتحقق من ر LastPassالحفاظ عل معلومات حساب عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 15 غي ر ون أو المصادقة متعددة العوامل كلما كان هناك تسجيل دخول جديد من جهاز ر الييد اإللكي ي ر معروف أو عنوان IPسيحتاج المتسللون أيضا إىل كلمة المرور الرئيسية للوصول إىل الحساب. يتحمل مستخدمو تطبيق LastPassأيضا بعض المسؤولية يف حماية حساباتهم الخاصة.يجب وتغيي كلمات المرور الرئيسية ر المستخدمي دائما استخدام كلمات المرور الرئيسية المعقدة ر عل بشكل دوري. االحتياىل ،مثال عل هجوم ي المستخدمي دائما أن يكونوا حذرين من هجمات التصيد ر يجب عل تدع أنه من تطبيق ون مزيفة ر ي االحتياىل هو أن يرسل المهاجم رسائل بريد إلكي ي ي التصيد وتغيي المستخدمي النقر فوق رابط مضمن ون من ر ر ر الييد اإللكي ي LastPass.تطلب رسائل ر ون إىل نسخة احتيالية من موقع الويب ر اإللكي الييد ي كلمة المرور ينتقل الرابط الموجود يف ر المستخدم لشقة كلمة المرور الرئيسية يجب أال ينقر المستخدمون مطلقا عل الروابط التذكي بكلمة توخ الحذر من تطبيق ضاأي المستخدمي عل يجب ، ون المضم ّنة ف بريد ر إلكي ّ ر ي ر ي ي التذكي بكلمة المرور كلمات المرور الخاصة بك ر يعط تطبيق ي المرور الخاصة بهم ،يجب أال تمكي المصادقة متعددة العوامل عند توفرها ر المستخدمي ر ألحد واألهم من ذلك ،يجب عل ألي موقع ويب يقدمها. إذا كان المستخدمون ومقدمو الخدمات يستخدمون األدوات واإلجراءات المناسبة لحماية المستخدمي ،ر حن يف حالة حدوث ر المستخدمي ،فال يزال من الممكن حماية بيانات ر معلومات أمن. ر اخياق ي املثال الثاني لالخرتاق األمين أمن لقاعدة بياناتها يف ر ر عانت شكة Vtechالمصنعة لأللعاب عالية التقنية لألطفال؛ من اخياق ي الماليي من عمالء حول العالم ،بما يف ذلك األطفال. نوفمي.2015قد يؤثر عل هذا ر اخياق ر ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 16 الييد ر كشف اخياق البيانات عن معلومات حساسة بما يف ذلك أسماء العمالء وعناوين ر ون وكلمات المرور والصور وسجالت الدردشة. ر اإللكي ي للمتسللي.كان العمالء قد شاركوا الصور واستخدموا ر ميات ر أصبحت لعبة اللوح هدفا جديدا الدردشة من خالل أقراص اللعب.ولم يتم ر تأمي المعلومات بشكل صحيح ،ولم يكن موقع ر الشكة يدعم االتصاالت اآلمنة SSL.عل الرغم من أن الخرق لم يكشف عن أي معلومات عن بطاقات االئتمان وبيانات التعريف الشخصية ،فقد تم تعليق ر الشكة يف البورصة ألن المخاوف كبية. ر من االخياق كانت ر لم تقم Vtechبحماية معلومات العمالء بشكل صحيح وتم كشفها أثناء الخرق.عل الرغم من أن ر الشكة أبلغت عمالءها بأن كلمات المرور الخاصة بهم قد تم تجزئتها ،إال أنه كان ال يزال تشفي كلمات المرور يف قاعدة البيانات باستخدام دالة تجزئة ر المتسللي فك رموزها.تم ر بإمكان ،5MDولكن تم تخزين أسئلة األمان واإلجابات يف نص عادي.لسوء الحظ ،لدى دالة التجزئة ماليي قيم ر للمتسللي تحديد كلمات المرور األصلية من خالل مقارنة ر 5MDثغرات أمنية.يمكن التجزئة المحسوبة مسبقا.ومع تعرض المعلومات ف هذا الموقف إىل ر اخياق للبيانات ،يمكن ي ون ،والتقدم بطلب للحصول عل للمجرمي السييانيي استخدامها إلنشاء حسابات بريد ر إلكي ي ر ر ر يكف للذهاب إىل المدرسة. ي بطاقات االئتمان ،وارتكاب جرائم قبل أن يكون األطفال كبارا بما عي ر ونيي أن يتولوا حسابات ر للمجرمي اإللكي ر ر بالنسبة ألولياء أمور هؤالء األطفال ،يمكن اإلنينت ألن العديد من األشخاص يعيدون استخدام كلمات المرور الخاصة بهم عل مواقع ويبر وحسابات مختلفة. لم يؤثر الخرق األمن عل خصوصية العمالء فحسب ،بل أفسد سمعة ر الشكة كما أشارت ي ر الشكة عندما تم تعليق وجودها يف البورصة. عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 17 أكي يقظة بشأن خصوصية أطفالهم علبالنسبة إىل أولياء األمور ،فه دعوة لالستيقاظ لتكون ر ي لمصنع المنتجات المتصلة بالشبكة، ر اإلنينت وطلب أمان أفضل لمنتجات األطفال.وبالنسبة ي وف المستقبل ،مع ر يجب أن يكونوا أكي عدوانية يف حماية بيانات العمالء والخصوصية اآلن ي ون. ر تطور طبيعة الهجوم اإللكي ي املثال الثالث لالخرتاق األمين الوطن يف الواليات االستهالك ر الن تقدم تقارير عن االئتمان ي ي تعتي Equifaxواحدة من الوكاالت ي ر ر والشكات يف جميع أنحاء ماليي العمالء األفراد ر الشكة معلومات عنالمتحدة.تجمع هذه ر ر العالم.بناء عل المعلومات ي الن تم تجميعها ،درجات االئتمان وتقارير االئتمان تم إنشاؤها حول العمالء.وقد تؤثر هذه المعلومات عل العمالء عندما يتقدمون للحصول عل قروض وعندما يبحثون عن عمل. سبتمي ،2017أعلنت Equifaxعن حدوث خرق للبيانات.استغل المهاجمون ثغرة يفر يف ماليي البيانات ر برنامج تطبيقات الويب Apache Struts.تعتقد ر الشكة أنه تم الوصول إىل الشخصية الحساسة للمستهلكي األمريكيي من قبل مجرم ر اإلنينت ربي مايو ويوليو من عام ي ِ ر ر االجتماع وتواري خ ي .2017تتضمن البيانات الشخصية األسماء الكاملة للعمالء وأرقام الضمان ر االخياق ربما أثر عل العمالء يف الميالد والعناوين ومعلومات أخرى شخصية.هناك أدلة عل أن المملكة المتحدة وكندا. للمستهلكي تحديد ما إذا كانت معلوماتهم قد ر أنشأت Equifaxموقعا مخصصا عل الويب يتيح ر لالخياق ،وللتسجيل للحصول عل مراقبة االئتمان وحماية شقة الهوية.باستخدام تعرضت ً فرع من ،equifax.comسمحت هذه األطراف ي نطاق استخدام من بدال اسم نطاق جديد ، عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 18 غي مرصح بها بأسماء مشابهة.يمكن استخدام مواقع الويب هذه ر الشيرة بإنشاء مواقع ويب ر االحتياىل لخداعك لتقوم بتقديم المعلومات الشخصية.وعالوة عل ي كجزء من نظام التصيد غي صحيح يف وسائل اإلعالم االجتماعية للعمالء ذلك ،قدم موظف من Equifaxرابط ويب ر القلقي.لحسن الحظ ،تمت إزالة هذا الموقع يف غضون 24ساعة.تم إنشاؤه من قبل شخص ر يستخدمه كفرصة تعليمية لفضح الثغرات األمنية الموجودة يف صفحة استجابةEquifax. بصفتك مستهلكا قلقا ،قد تحتاج إىل التحقق بشعة مما إذا كانت معلوماتك قد تعرضت التأثي.يف وقت األزمات ،قد يتم خداعك الستخدام مواقع وبالتاىل يمكنك تقليل ر لالخياق ، ر ي حن ال تصبحتوفي المعلومات الشخصية ر ر غي مرصح به.يجب أن تكون حذرا بشأن ويب ر ضحية مرة أخرى.عالوة عل ذلك ،فإن ر الشكات مسؤولة عن الحفاظ عل أمان معلوماتنا من غي المرصح به.تحتاج ر الشكات إىل تصحيح برامجها وتحديثها بانتظام للتخفيف من الوصول ر ومطلعي عل إجراءات حماية ر متعلمي ر استغالل الثغرات المعروفة.ويجب أن يكون موظفوهم المعلومات وما يجب فعله ف حالة حدوث ر اخياق. ي ر االخياق هم األفراد الذين قد تكون بياناتهم قد تعرضت الحقيقيي لهذا لألسف ،فإن الضحايا ر ر لالخياق.يف هذه الحالة ،تتحمل Equifaxعبء حماية بيانات المستهلك المجمعة أثناء إجراء فحوصات االئتمان ألن العمالء لم يختاروا استخدام الخدمات المقدمة من Equifax.عل للمهاجمي ر الن تجمعها.عالوة عل ذلك ،يمكن ر ر المستهلك أن يثق يف الشكة لحماية المعلومات ي ً غي ذلك ألن كل من المهاجم استخدام هذه البيانات لتحمل هويتك ،ومن الصعب جدا إثبات ر والضحية يعرفان نفس المعلومات . توخ الحذر عند تقديم معلومات تعريف ي يف هذه الحاالت ،يكون أقص ما يمكنك فعله هو شخصية عي ر اإلنينت.تحقق من تقارير االئتمان الخاصة بك بانتظام ،مرة واحدة شهريا أو مرة ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 19 ر واحدة يف كل رب ع سنة.قم باإلبالغ فورا عن أي معلومات خاطئة ،مثل طلبات االئتمان ي الن لم ر الن لم تقم بها. ر تبدأها ،أو المشييات عل بطاقات االئتمان الخاصة بك ي أنواع املهامجني فالمهاجمون هم أفراد أو مجموعات يحاولون استغالل الضعف لتحقيق مكاسب شخصية أو ر ر شء مالية.وي هتم المهاجمون بكل ي شء ،بدءا من بطاقات االئتمان وتصميمات المنتجات وأي ي – يطلق عل هؤالء األشخاص أحيانا اسم" script kiddiesأطفال ذي قيمة الهواة السيكربت".عادة ما تكون لديهم مهارات قليلة أو معدومة ،وغالبا ما يستخدمون األدوات الموجودة أو التعليمات الموجودة عل ر اإلنينت لشن الهجمات.البعض منهم يقوم بذلك ألنه يشعر بالفضول ،بينما يحاول آخرون إظهار مهاراتهم وإحداث الرصر.قد يستخدمون األدوات األساسية ،ولكن النتائج ال تزال مدمرة. المهاجمي الذين يقتحمون أجهزة الحاسوب أو الشبكات للوصول ر القراصنة – هم مجموعة من المهاجمي عل أنها ر لغايتهم .واعتمادا عل الهدف من عملية االقتحام ،يتم تصنيف هؤالء قبعات بيضاء أو رمادية أو سوداء.يقتحم المهاجمون ذوو القبعات البيضاء الشبكات أو أنظمة تحسي أمن هذه األنظمة.يتم هذا اإلجراء ر الحاسوب الكتشاف نقاط الضعف بحيث يمكن بإذن مسبق ويتم إبالغ أي نتائج إىل المالك.ومن ناحية أخرى ،يستغل المهاجمون ذوو القبعات غي ر مشوعة.بينما السوداء أي ضعف لتحقيق مكاسب شخصية أو مالية أو سياسية ر المهاجمي أصحاب القبعة البيضاء والسوداء. ر المهاجمون ذوو القبعات الرمادية يف مكان ما ربي قد يجد المهاجمون ذوو القبعات الرمادية ثغرة ف النظام.قد ر ئ يخن قراصنة القبعات الرمادية ي وينش بعض قراصنة القبعات ر مالك النظام إذا تزامن هذا اإلجراء مع أجندتهم. الضعف أمام ي عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 20 حن يتمكن المهاجمون اآلخرون من ر اإلنينت ر الرمادية الحقائق حول الثغرة األمنية عل استغاللها. قي، ر ر مجرم اإلنينت ،والمخي ر ي القراصنة المنظمون – هؤالء القراصنة يكونون من منظمات اإلنينت مجموعة من ر المدعومي من الدولة.عادة ما يكون مجرمو واإلرهابيي ،والقراصنة ر ر المجرمي متطورون ومنظمون المحيفي يركزون عل السيطرة والقوة ر واليوة.إن ر المجرمي ر ر ر ر المخيقون يدىل للمجرمي اآلخرين. ر اإللكيونية كخدمة للغاية ،وقد يقدمون ر حن الجرائم ي ر الن تهمهم.يقوم المهاجمون الذين ترعاهم ر الوع بالقضايا ي ي النشطاء ببيانات سياسية لخلق الدولة بجمع المعلومات االستخبارية أو يقومون بأعمال تخريب نيابة عن حكومتهم.وعادة ما وممولي بشكل جيد ،وتركز هجماتهم عل أهداف ر مدربي تدريبا عاليا ر يكون هؤالء المهاجمون محددة تعود بالنفع عل حكومتهم. التهديدات الداخلية واخلارجية تهديدات األمن الداخلي داخل ،مثل ي يمكن أن تنشأ الهجمات من داخل المنظمة أو من خارج المنظمة.يمكن لمستخدم الموظف أو رشيك يف العقد ،القيام بهجوم ويمكن أن يكون عن ر غي قصد أو عن قصد. سوء التعامل مع البيانات السرية تهديد عمليات األجهزة خوادم الداخلية أو أجهزة البنية األساسية للشبكة. تسهيل الهجمات الخارجية عن طريق توصيل وسائط USBالمصابة بنظام الحاسوب الخاص ر بالشكة. ون أو المواقع الضارة. ر الييد اإللكي ي لليامج الضارة عل الشبكة من خالل ر غي مقصودة ر دعوة ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 21 أكي من التهديدات الخارجية ،ألن كما يمكن أن تتسبب التهديدات الداخلية يف إحداث ضر ر ر المباش إىل المبن وأجهزته األساسية.يمتلك الداخليي لديهم إمكانية الوصول ر المستخدمي ر الموظفون أيضا معرفة بشبكة ر الشكة ومواردها وبياناتها الشية ،باإلضافة إىل مستويات مختلفة من امتيازات المستخدم أو اإلدارة. تهديدات األمن اخلارجي المهاجمي المهرة باستغالل الثغرات األمنية يف ر يمكن أن تقوم التهديدات الخارجية من الهواة أو الشبكة أو أجهزة الحاسوب ،أو استخدام الهندسة االجتماعية للوصول إىل ما يريده. ما هي حرب األنرتنت ؟ ّّ ان بعدا هاما آخر للحرب ،حيث يمكن للدول أن تنفذ ضاعات دون السيي ي ر أصبح الفضاء مواجهات القوات واآلالت التقليدية.وهذا يسمح للبلدان ذات الوجود العسكري األدن أن يصبح ر اإلنينت ر اإلنينت ضاعا قائما عل تعتي حرب ان. ر السيي ي ر قويا مثل الدول األخرى يف الفضاء اخياق أنظمة الحاسوب وشبكات الدول األخرى.يمتلك هؤالء المهاجمون الموارد ينطوي عل ر والخيات الالزمة لشن هجمات ضخمة عل ر اإلنينت ضد دول أخرى إلحداث ضر أو تعطيل ر الخدمات ،مثل إغالق شبكة الطاقة الكهربائية. المهاجمي الذين ترعاهم الدولة برنامج " "Stuxnetالخبيث المصمم إلتالف ر ومن األمثلة عل ر اليامج الخبيثة Stuxnetأجهزة الحاسوب ان.لم تخيق ر مصنع التخصيب النووي اإلير ي ر المستهدفة لشقة المعلومات.بل تم تصميمها إلتالف المعدات المادية ي الن كانت تسيطر عليها اليامج الخبيثة. ر الميمج ألداء مهمة محددة داخل ر مي المعياري ر أجهزة الحاسوب.واستخدم الي ر واستخدمت شهادات رقمية مشوقة لذلك بدا الهجوم ر مشوعا للنظام. الغرض من حرب اإلنرتنت عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 22 ر اإلنينت هو التفوق عل الخصوم ،سواء كانوا من الدول أو األساش من حرب يعد الغرض ي المنافسي. ر يمكن إلحدى الدول أن تغزو البنية األساسية للدولة األخرى باستمرار ،وتشق أشار الدفاع، وتجمع المعلومات حول التكنولوجيا لتضييق الفجوات يف صناعاتها وقواتها العسكرية. السييانية أن تخرب البنية التحتية ر الصناع والعسكري ،يمكن للحرب ي إىل جانب التجسس للدول األخرى وتكلف األرواح يف الدول المستهدفة.عل سبيل المثال ،يمكن أن يؤدي الهجوم إىل تعطيل شبكة الطاقة يف إحدى المدن الرئيسية.وتعطيل حركة المرور.وبذلك سيتوقف تبادل السلع والخدمات.وال يمكن للمرض الحصول عل الرعاية الالزمة يف حاالت الطوارئ.قد التأثي عل شبكة الطاقة ،يمكن أن يؤثر الهجوم يتم أيضا تعطيل الوصول إىل ر اإلنينت.من خالل ر العاديي. ر للمواطني ر عل الحياة اليومية المخيقة أن تعط المهاجمي القدرة عل ر ابياز أفراد ر عالوة عل ذلك ،يمكن للبيانات الحساسة ر ي داخل الحكومة.قد تسمح المعلومات للمهاجم بالتظاهر بأنه مستخدم مرصح له بالوصول إىل معلومات أو معدات حساسة. ر اإللكيونية ،فقد يفقد المواطنون الثقة يف قدرة إذا لم تتمكن الحكومة من الدفاع ضد الهجمات السييانية إىل زعزعة استقرار الدولة وتعطيل ر الحكومة عل حمايتهم.يمكن أن تؤدي الحرب المواطني يف حكومتهم دون أن تغزو الدولة المستهدفة فعليا. ر والتأثي عل ثقة ر التجارة عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 23 الفصل األول :احلاجة إىل األمن السيرباني ان.وأوضح السبب يف أن الطلب عل السيي ي ر ميات وخصائص األمن رشح هذا الفصل ر يشح المحتوى سبب كون هويتك السييان سوف يستمر ف الزيادة.ر المتخصصي يف األمن ي ر ي ر انيي.يقدم لك بعض النصائح حول وبياناتك الشخصية عي ر السيي ر ر للمجرمي ر اإلنينت عرضة ر كيفية حماية هويتك الشخصية عي ر اإلنينت وبياناتك. ر ه ،ولماذا يجب حمايتها.وأوضح ه ،وأين ي ويناقش هذا الفصل أيضا البيانات المؤسسية :ما ي ان بالمهارات ر السييانيون وماذا يريدون.يجب أن يتمتع السيي ي ر محيفو األمن ر من هم المهاجمون ان العمل ضمن ر السييانيون.يجب عل ر السيي ي ر محي يف األمن ر الن يتمتع بها المهاجمون نفسها ي ان أيضا السيي ي ر المتخصصي يف األمن ر والدوىل.يجب عل ي والوطن ي المحل ي حدود القانون ر أخالف. ي استخدام مهاراتهم بشكل السييانية ولماذا تحتاج الدول والحكومات إىل ر وأخيا ،أوضح هذا الفصل باختصار الحرب ر ان للمساعدة يف حماية مواطنيهم وبنيتهم األساسية. السيي ي ر متخصصي يف األمن ر عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 24 الفصل الثاني :اهلجمات واملفاهيم والتقنيات ان بتحليل ما حدث بعد ر السيي ي ر الن يقوم بها المتخصصون يف األمن يغط هذا الفصل الطرق ي ي اليامج األمنية واألجهزة وفئات الثغرات األمنية هجوم ر إلكيون.فهو ر يشح الثغرات األمنية يف ر ي المختلفة. اليامج الضارة اليامج الضارة المعروفة باسم " "malwareر ويناقش األنواع المختلفة من ر ر اليامج الضارة.ويتم تغطية الطرق المختلفة ي الن يمكن أن يتسلل بها المهاجمون إىل وأعراض ر النظام ،باإلضافة إىل هجمات حجب الخدمة. تعتي هجمات ممزوجة.تستخدم الهجمات الممزوجة ر اإللكيونية الحديثة معظم الهجمات ر تقنيات متعددة للتسلل إىل النظام ومهاجمته.عندما ال يمكن منع وقوع هجوم ،فإن مهمة األمن تأثي ذلك الهجوم. ه الحد من ر ان ي السيي ي ر العثور عل الثغرات األمنية : اليامج أو عيوب األجهزة.بعد اكتساب معرفة بالثغرة تتمثل الثغرات األمنية يف أي نوع من ر المتسللي استغاللها.ر يعتي االستغالل مصطلح يستخدم لوصف برنامج مكتوب ر األمنية ،يحاول لالستفادة من ثغرة معروفة.ويشار فعل استغالل ثغرة أمنية إىل أنه هجوم.هدف الهجوم هو معي. ر الن يستضيفها أو الوصول إىل مورد ر الحصول عل إمكانية الوصول إىل النظام ،أو البيانات ي عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 25 باليامج بسبب أخطاء يف نظام اليامج وعادة ما يتم تقديم الثغرات األمنية ر الثغرات األمنية يف ر الشكات يف البحث عنالن تبذلها ر ر التشغيل أو كود التطبيق ،وعل الرغم من كل الجهود ي باليامج ،فمن الشائع ظهور ثغرات أمنية جديدة إىل العلن.تصدر وتصحيح الثغرات األمنية ر منتح أنظمة التشغيل تصحيحات وتحديثات كل يوم تقريبا. ر ي وغيهم من Microsoftو Appleر تحديثات التطبيق شائعة أيضا.وغالبا ما تقوم ر الشكات أو المؤسسات المسؤولة عن تطبيقات مثل مستعرضات الويب وتطبيقات لألجهزة المحمولة وأجهزة خوادم الويب بتحديثها. يف عام ،2015تم اكتشاف ثغرة أمنية رئيسية ،تسم ،SYNful Knockيف Cisco IOS.سمحت للمهاجمي بالتحكم يف أجهزة التوجيه عل مستوى المؤسسات ،مثل أجهزة ر هذه الثغرة األمنية للمهاجمي بعد ذلك مراقبة جميع ر 1841Ciscoو 2811و 3825القديمة.يمكن توجيه اتصاالت الشبكة ولديهم القدرة عل إصابة أجهزة الشبكة األخرى.تم إدخال ثغرة أمنية يف النظام عند تثبيت إصدار IOSالذي تم تعديله يف أجهزة التوجيه.لتجنب ذلك ،تحقق دائما من الفعل لألجهزة إىل األفراد المرصح لهم فقط. ر الن تم تييلها وحد من الوصول ي سالمة نسخة IOSي الحاىل وتجنب استغالل الثغرات األمنية.يف ي اليامج هو الحفاظ عل الوضعالهدف من تحديثات ر ر االخياق مكرسة للبحث ،والعثور عل الثغرات األمنية حي أن بعض ر الشكات لديها فرق اختبار ر والباحثي عن األمن هم طرف ثالث ر لليامج والتشخيص قبل أن يتمكن أحد من استغاللها، ر اليمجيات. يتخصص أيضا يف العثور عل الثغرات األمنية يف ر ً يعتي Google Project Zeroمثاال رائعا عل هذه الممارسة.بعد اكتشاف عدد من الثغرات ر النهائيي ،شكلت Googleفريقا ر المستخدمي ر اليامج المستخدمة من قبل األمنية يف مختلف ر اليامج.يمكن العثور عل بحث GoogleلألمانGoogle ". دائما مخصصا للعثور عل ثغرات ر "Security Research الثغرات األمنية عل _ للتواصل _ 0097433484110دولة قطر _ الدوحة مهندس كمبيوتر وشبكات /مفيد عوض حسن ي 26 ُ غالبا ما يتم تقديم ثغرات األجهزة عن طريق عيوب تصميم األجهزة.فمثال ت ُعد ذاكرة الوصول ُ ّ ئ العشوان RAMيف األساس عددا من المكثفات المثبتة يف أماكن قريبة جدا من بعضها البعض. ي التغييات المستمرة عل واحدة من هذه المكثفات ر تم اكتشاف أنه ،نظرا للتقارب ،يمكن أن تؤثر عل المكثفات المجاورة لها.استنادا إىل هذا الخلل يف التصميم ،تم إنشاء استغالل يسم Rowhammer.من خالل إعادة كتابة الذاكرة يف نفس العناوين بشكل متكرر ،يتيح استغالل Rowhammerإمكانية ر اسيداد البيانات من خاليا ذاكرة العناوين القريبة ،ر حن إذا كانت الخاليا محمية.تتعلق الثغرات األمنية لألجهزة بطرازها ،وال يمكن استغاللها االستغالل األمثل من خالل المحاوالت العشوائية عل الرغم من أن عمليات استغالل األجهزة تكون ر أكي شيوعا يف اليامج الضارة واألمان المادي توفر الهجمات شديدة االستهداف ،إال أن الحماية التقليدية من ر اليوم. ي حماية كافية للمستخدم تصنيف الثغرات األمنية تقع معظم الثغرات األمنية يف إحدى الفئات التالية: تجاوز سعة المساحة التخزينية المؤقتة – تحدث هذه الثغرة األمنية عندما تتم كتابة البيانات خارج حدود مساحة التخزين المؤقتة.مساحات التخزين المؤقتة ي ه مناطق الذاكرة المخصصة ألحد التطبيقات.من خال?
