Monday, July 19, 2004

http://www.pcmag-arabic.com/article.php?id=EplZkAZElArGyaeEpJ


لا تترك بابك مفتوحا



لا ضرورة لإضافة مزيد من التقنيات دائماً، للحصول على مزيد من الأمن، فالالتزام ببعض الإجراءات البسيطة، يمكن أن يلعب الدور الأكبر في تحسين الأمن.

الأمن مسؤولية جماعية، وقد يشكّل أي زميل لك في العمل "الحلقة الأضعف". ويعرف هذه الحقيقة، أصحاب القبعات السوداء، أولئك الهكرة السيئون، فيبحثون دائماً عن خطأ أخرق من مستخدم، قبل التوجه إلى حيل تقنية أشد تقدماً. فهل تقوم بدورك أيها المستخدم في حماية شركتك وعملك؟ وإذا كنت مشرفاً، هل لديك سياسية أمنية؟ وهل أنت متأكد من تطبيق عناصرها الحيوية بحذافيرها؟
إليك ستة من أكثر أخطاء الأمن شيوعاً، والتي يجب أن تقضي عليها.
1 – استخدام حسابات واضحة الاسم، مع كلمات سر ضعيفة.
تمثل الحسابات غير المحمية إلى درجة كافية من ناحية كلمات السر، أبواباً مفتوحة للهكرة. وأحد السيناريوهات الشائعة لذلك، أن يتماثل اسم المستخدم وكلمة السر للحساب الواحد. وعلى الرغم من أنه يمكن منع استخدام كلمات سر ضعيفة، عبر إعداد مستوى تعقيد كلمات السر المطلوب في نظام التشغيل. إلا أن تحديد طول كلمة السر ليس كافياً. وبينما تحدد كثير من الشركات سياسة أن لا يقل طول كلمة السر عن ثماني حروف، لكنها تتجاهل حقيقة أن كلمة السر تلك، قد تشكل كلمة ذات معنى مؤلفة من ثماني حروف.
يحاول الهكرة عادة استخدام الخيارات البدهية عادة، فكلمات السر الافتراضية المعروفة جيداً، فقوائم كلمات السر الشائعة، فالقوة الصرفة. والوسيلة الأفضل لهزيمة كل ذلك، أن تطبق قواعد قوية لاختيار كلمة السر على نظام التشغيل. استخدم كلمات السر الطويلة، ثم غيّرها كل شهر، وضمّنها عدداً، أو حروفاً غير شائعة، واسمح بثلاث محاولات للدخول فقط، قبل أن يليها في حال فشل الدخول، 15 دقيقة أو نحوها من إقفال النظام، قبل السماح بمحاولات الدخول مرة أخرى. انتبه أن لا تضع قواعد صعبة جداًَ بحيث توقع المستخدمين في مشكلة تذكّر كلمات السر، ما قد يدفع بعضهم إلى كتابة كلمات السر على أوراق ملاحظات لاصقة، وتثبيتها على مراقيبهم.

2 – لسان ثرثار
يشكّل تبادل المعلومات عن البنية التحتية مع أي شخص عبر الهاتف، أو البريد الإلكتروني، عملاً خطراً، مهما بدت تلك المعلومات بسيطة. قد يكون الشخص على الطرف الآخر من الهاتف هاكر يتظاهر بأنه من موظفاً في الشؤون الاجتماعية. تأكد من هوية أي متّصل، وكن حذراً من ما تقوله حتى مع الموظفين الحقيقين. لا شك أن بعض المخادعين أذكياء جداً، انظر مثلاً، إلى هذا الاستبيان الذي يبدو بريئاً:
الهاكر: "كيف تقيمّ برنامج (س) للمحاسبة إذا سمحت؟"
الموظف الأحمق:"عفواً!، نحن نستخدم نظام (ع) هنا. يؤسفني أنني لا أستطيع مساعتدك"
لكن ألم يساعده فعلاً؟!

3 – الأعمال الداخلية
تصمم سياسة الأمن عادة لإبقاء الأشخاص السيئون بعيداً، لكن معظم عمليات اختراق الشركات ترتكب من أشخاص في الداخل، أي من الموظفين، وذلك إما عمداً أو كنوع من الفضول. والمؤكد أن استخدام أحدهم لحسابه الخاص في محاولة الاختراق يشكل نوعاً من الغباء، وهكذا يترك الهاكر الداخلي المسائل المهمة حتى يغيب أحد الموظفين فيستخدم حسابه. كي تمنع الدخول غير المصرح به إلى الحسابات، أو إلى البيانات المهمة على الأقراص الصلبة، ضع على جميع الأجهزة برامج حفظ شاشة محمية بكلمات سر، تعمل تلقائياً بعد عشر دقائق من عدم استخدام النظام.

4 – التشارك على الملفات
التشارك على الملفات مرح، ومسبب للإدمان، لكن لا مكان لخدمات التشارك على الملفات، مثل iMesh، وKazza، في الشركات. فعلاوة على المشكلات التي لا تحتاج إلى شرح، من ناحية عرض الحزمة، وحقوق الملكية، التي يمكن أن تسببها، فإن تطبيقات مشاركة الملفات، يمكن أن تقبل، أو حتى ترسل أي شيء تقريباً. ولا تعرف هذه البرامج إذا كان ما تنزله هو فعلاً فيلم DivX، أو لعبة، أو فيروس، أو حصان طروادة، مع أنه يمكن أن يتخفى بسهولة وراء الامتداد .avi، أو .zip ويمكن لمثل تلك البرمجيات الخبيثة أن تفتح باباً خلفياًَ في شبكتك.
من الأخطاء الأقل وضوحاً، ما يرتكبه المستخدمون المبتدؤون في إعدادات مشاركة الملفات. وتبحث أحدث هجمات الهكرة حالياً، عن رسائل البريد الإلكتروني، والجداول الممتدة، والوثائق الأخرى التي تحتوي على معلومات شخصية، والتي يحدث أن تتم المشاركة بها عن غير قصد. ويكتب الهكرة لهذا فيروسات لها امتدادات من تلك الأنواع.

5 – الوصول غير المقيد إلى إنترنت
يمكن للبرمجيات الخبيثة أن تدخل عبر حسابات البريد الإلكتروني الشخصية، ومواقع ويب المخفية، وتقوم بفعالية بإزالة كل من حماية مزودات البريد الإلكتروني، وجدران النار في الشركات. حاول أن تطبق سياسة استخدام مناسبة لإنترنت. لا تطبق سياسة ديكتاتورية، ولا تسمح للموظفين بدخول حر، فهذا ليس منطقي جداً أيضاً.
لا تقيّد المستخدمين كثيراً إذا كان لديك دفاعات تقنية كافية، كاستخدام البرمجيات المضادة للفيروسات، لحماية حسبات البريد الإلكتروني الشخصية، واستخدام جدران النار الشخصية (مثل ZoneAlram، أو حتى برنامج جدار نار مدار مركزياً) للتصفح الحر، وذكّر الموظفين بأن الشركة تملك الأقراص الصلب، وأنها يمكن أن تفحصها إذا شكّت بوجود مشكلة أمنية.

6 – ليست مهمتي
يمكن أن يصيب تخفيض عدد الموظفين في الشركات أكثر الأقسام، ولا يستثنى من ذلك قسم تقنية المعلومات. لكن لا تدع هذا يؤدي إلى مشاركة شخص قليل المعرفة التقنية في الإشراف على النظام، بل وظّف شخصاً مؤهلاً لإعداد وتنفيذ سياسة الأمن لديك، وتركيب الرقع والتحديثات الأمنية. يمكن أن تستفيد من برمجيات إدارة النظام من النوع الذي يأتي مركباً في الحواسيب المكتبية التي تنتجها الشركات المرموقة، مثل ديل وهيوليت باكرد وآي بي إم، لكن كثيراً من الموظفين لا يعرف، أو لا يهتم بتحديث ما يستخدمه من نظام تشغيل أو تطبيقات، ويمكن للعديد من الهكرة الاستفادة من هذه اللامبالاة. وهكذا فإن دفع المستخدمين للاهتمام بذلك، ربما يكون المفتاح الرئيس لتنفيذ على سياسة أمن ناجحة.


كذبة ملفقة!

تصلك رسالة بريد إلكتروني من صديق، أو زميل عمل تقول:"You may already be infected" (ربما تكون قد أصبت فعلاً)، وتطلب منك أن تجد ثم تحذف ملفاً يبدو غامضاً اسمه jdbgmre.exe، مخفياً في مجلدات ويندوز لديك، وأن تمرر الرسالة إلى كل شخص في دفتر عناوينك. الحقيقة أن جهازك غير مصاب، والملف المذكور ليس إلا أحد مكونات جافا، والرسالة الإلكترونية كلها مجرد خدعة.
الفيروسات التي تولد على إنترنت مؤذية ومزعجة، لكن خدع الإصابة بالفيروسات مزعجة أيضاً. ويقول "كريس رايت" (Chris Wright) المستشار التقني في شركة مكافحة الفيروسات Sophos (www.sophos.com):" كلفت بعض تلك الخدع الشركات آلاف الساعات من توقف العمل. وأنا أشجع الشركات على وضع خطة دائمة للاستجابة للخدع من هذا النوع، كما يستجيبون تماماً للفيروسات أو العيوب الأمنية". يقدم موقع شركة Sophos، الخدع الفيروسية، وسلاسل الرسائل، وغيرها، تحت فئة hoax، في الموقع. ويقدر أنه يوجد الآلاف منها تدور على الشبكة.
ينصح "رايت" عند تسلم رسالة بريد إلكتروني يشك في أنها خدعة، أن تتأكد من صحة أو عدم صحة الرسالة من خبير ثقة قبل أن تفعل أي شيء آخر. ويقول:"أرسل الرسالة إلى قسم تقنية المعلومات في الشركة، وليس إلى الأصدقاء، أو راجع مواقع الأمن كي ترى إذا كانت تلك الرسالة خدعة أو تحذيراً صحيحاً"
تتولى شركة Sophos لائحة محدّثة من الفيروسات والخدع، وكذلك تفعل مواقع شركات مضادات الفيروسات، مثل www.symantec.com، ومواقع مكافحة الخداع مثل www.snopes.com/computer/virus.

0 Comments:

Post a Comment

<< Home