الأربعاء، 7 سبتمبر، 2011

الهندسة الاجتماعية: اختراق الأنظمة بالتلاعب بالبشر



كيف نحمي أنفسنا من الهندسة الاجتماعية
بسمه بنت عمر العبداللطيف
http://coeia.edu.sa/

ما هي الهندسة الاجتماعية ؟


الهندسة الاجتماعية هي القدرة على الحصول على معلومات حساسة وسرية عن طريق التلاعب بعقول الأشخاص بأساليب انتحال الشخصية أو الحصول على ثقة الضحية بشكل تدريجي .
بمعنى أنها تساعد على اختراق الأنظمة من خلال التلاعب بالبشر وليس من خلال التلاعب بالآلات.


ما هي المشكلة ؟

الهندسة الاجتماعية من اقصر وابسط الطرق لاختراق الأنظمة حتى أنها تشكل المدخل لأكثر من 70 % من الاختراقات التي تحدث في العالم.
وقد انتشر استخدامها مؤخرا بشكل كبير وارتفعت معدلات حدوثها بل أن الإحصائيات تشير إلى الارتفاع الصاروخي في عدد ضحايا جرائم انتحال الشخصية في الولايات المتحدة حيث أن أمريكي واحد من أصل كل ثلاثة وقع ضحية لعملية احتيال بطريقة الهندسة الاجتماعية والتي طبقاً لإحصائيات مكتب التحقيقات الفيدرالي ، تحدث مثل هذه الجريمة كل دقيقتين في الولايات المتحدة.
عند إجراء مقابله مع كيفن ميتنك _ وهو احد اكبر المخترقين في العالم سابقاً ومختص في الهندسة الاجتماعية أما الآن فهو مستشار امني _ وضّح خلال المقابلة أن 50% من الاختراقات التي قام بها كانت بسبب أنه استطاع سحب معلومات سرية وخطيرة من المسئولين في مراكز حساسة.
يقول كيفن ميتنك: " الناس متعودون على الحصول على حلول تكنولوجية الا أن الهندسة الاجتماعية تتخطى هذه الحلول وتتجاوزها، حتى أنها تتجاوز جدران النار الحماية ".
بمعنى انه لا يكفي تأمين المعدات المادية والآلات بمضادات الفيروسات والجدران النارية، ولا حتى تأمين المباني بحساسات الحركة او كاميرات المراقبة. يمكن اختراق النظام وتخطي كل هذه المعدات باستعمال الهندسة الاجتماعية.


كيف يعمل المهندس الاجتماعي ؟
المهندس الاجتماعي هو ممثل موهوب كما انه يتمتع بالقدرة على دراسة شخصية الأشخاص الذين أمامه لمعرفة ما الحيل التي من الممكن أن تنطلي عليهم فيركز على تهيئة البيئة المثالية نفسياً للهجوم.
الطرق الأساسية للاستخراج المعلومات الحساسة تشمل: 

إثارة انطباع جيد لدى الضحية, التملق, التكيف, تفريق المسؤوليات وادعاء وجود معرفة قديمة.
و من الممكن أن يعمل المهندس الاجتماعي داخل الشركة الضحية أو خارجها
• داخلها كأن ينتحل شخصية مندوب مبيعات أو أن يعمل بشكل مؤقت ليحصل على فرصة الدخول إلى الشركة وبالتالي الدخول إلى نظام الشركة.
• أو خارجها بحيث يصل إلى معلومات هامة عن الشركة دون أن يضطر إلى دخوله مبنى الشركة، كالاحتيال باستخدام الهاتف أو البريد الالكتروني وغيرها.


كيف نؤَمّن أنفسنا ضد الهندسة الاجتماعية ؟
 

يقول كيفن ميتنك " التدريب الجيد للعاملين، وليس التكنولوجيا، هو مفتاح النجاح وأفضل طريقة للوقاية ضد ظاهرة الهجمات التي توظف فيها «الهندسة الاجتماعية» لسرقة البيانات الحساسة "
 

• على المستوى الفردي :
 

حدود الثقة:
لا تثق بأي رسالة أو أي شخص يطلب منك معلومات شخصية ، حتى لو وصلتك رسالة من بريد إلكتروني يبدو واضحا أنه بريد الكتروني رسمي من الجهة التي تطلب المعلومات. وهذا لأنه ليس لديك ما يثبت تماما ان المرسل هو حقاً من يدعي انه هو كـ ختم أو توقيع أو شفرة معينة أو خلافه.

حافظ على سريّة معلوماتك:
لا تعطي معلوماتك الشخصية الحقيقة لأي شخص كان على الإنترنت. لأن الإنترنت مجال خصب للاحتيال، حيث تزول رهبة اللقاء الشخصي لدى الشخص المحتال وتختفي المؤشرات التي تدل على الاحتيال كالنظرات وطريقة الكلام ولغة الجسد بشكل عام. ولا تعلم ما قد تؤدي إليه معلومات بسيطة قد تستهين بها وترى أنها لا تنفع ولا تضر ، ولكن من جهة أخرى فإن المحتال يراها كنزاً غالياً.

لا تندفع وراء العروض المغرية:
احذف فورا أي رسالة تعدك بأنها جهة ستقدم لك جائزة أو أنها تعرض عليك وظيفة مقابل اشتراطات معينه ! , فإن مثل هذه الرسائل تطمّعك في ما تعدك به وتستدرجك لإعطاء معلومات قد تكون سرّيه للغاية أو قد تستخدم لكشف معلومات سريّه وإن لم تكن هي بذاتها سريّه. أو قد تطلب منك دفع مبالغ ماليه بسيطة لكي تحصل على الجائزة الثمينة أو تدخل اختبار القبول في وظيفة معينه وتبدأ تأخذ منك المبالغ شيئاً فشيئاً .

احذر من ان تكون فريسة سهله:
عند إدخال معلومات حساسة على الانترنت تأكد من انك لا تتعرض للـ fishing وال fishing يعني حرفيّاً الاصطياد وسمّي بذلك لأنه يعتمد على تصيّد المعلومات السرية عن طريق طعم معيّن مثل نموذج لتعبئة البيانات الشخصية مطابق تماما لنموذج البنك أو أي موقع يطلب معلومات سريّه. ولكي تتأكد من الموقع الذي سوف تدخل فيه معلومات حساسة احرص على تكتب عنوان الموقع بنفسك ولا تبحث عنه في محركات البحث وتدخل إليه من الروابط التي تظهر لك، وإذا لم تكن تعرف عنوان الموقع حاول أن تأخذه من مصدر مضمون على سبيل المثال خلف بطاقة الصرف الآلي يوجد عنوان موقع البنك أو أي سبيل مضمون. ولا تعتمد على العنوان الذي يظهر لك في شريط العنوان إذا كان صحيحاً لأنه قد يكون عنوان مضلل.

لا تكن فضوليّاً:
لا تكن فضولياً لكي لا تنطلي عليك الألاعيب المهندسين الاجتماعيين التي تستغل هذه النقطة لجعلك تفعل ما يريدونك ان تفعله. كأن يصلك بريد اليكتروني يدعوك لتحميل المرفقات لترى مقاطع فكاهية أو برنامج جميل يقدم مجموعه من الخدمات أو غيره ، او قد يستغل فضولك من ناحية أخرى باستخدام "الهندسة الاجتماعية المعاكسة" وهي طريقة متقدمة جداً للحصول على المعلومات المحظورة. بأن يدعي المهاجم بأنه شخص ذو صلاحيات عالية وعنده معلومات معينه مما يدفع الضحية إلى طلب المعلومات منه.إذا تم الأمر كما خطط له فقد يحصل المهاجم على فرصة أكبر للحصول على معلومات ذات قيمة كبيرة من الضحية .و هذه الطريقة تتطلب من المهاجم التحضير المسبق بشكل كبير و الكثير من الأبحاث مع القدرة على الهروب في الوقت المناسب.

• على مستوى الشركات:
وضع سياسات أمنية واضحة للشركة وذلك بأن تقوم الشركة بالتوضيح للعاملين فيها قوانين الأمن المتبعة في الشركة و التي يجب على العاملين تطبيقها. وإن أمكن برمجتها إلكترونياً لضمان تطبيقها (مثل فرض تسجيل دخول وتسجيل خروج إلكتروني لكل من يدخل إلى الشركة).وضمن هذه السياسات توضّح الشركة العقوبات التي تترتب على الموظفين عند عدم تطبيق القوانين الأمنية المفروضة عليهم.
تأمين مبنى المنظمة بحيث يتعذر الدخول والخروج من وإلى الشركة إلا تحت رقابة حراس الأمن. ويمنع دخول غير العاملين في الشركة إلا بمعرفة سابقة لحراس الأمن في المنظمة وتحت مراقبة منهم وإعطاء بطاقات دخول أو كلمات مرور تمكّن الأمن من التعرف على المخوّل لهم بالدخول للشركة وتفعيلها.
السيطرة على المكالمات الهاتفية وذلك بوضع نظام امني حازم للمكالمات مع قدرة على التحكم في من يستطيع مكالمة من ومنع المكالمات الخاصة كما يجب عدم إظهار مدخل للخط الهاتفي للمنظمة لأنه قد يستخدم من شخص خارج المنظمة باسم المنظمة فيقوم بالتعامل مع عملاء المنظمة على انه احد موظفيها ويكسب ثقة العملاء بسبب خط الهاتف المطابق لخط المنظمة.
تثقيف جميع مستويات الموظفين داخل المنظمة بمجال أمن المعلومات و الاختراقات التي من الممكن حصولها وتدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص و وفقاً للحد المسموح به. وتدريبهم أيضاً على كيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب لبق.
ويرى ميتنك أن الوسيلة الفعالة لصد هجمات الهندسة الاجتماعية تتمثل في خلق جدران نار بشرية، أي توعية العاملين لعدم الانصياع للمتسللين من دون علمهم.
ومن المهم هنا الانتباه إلى أن توعية صغار الموظفين وكبارهم هي في نفس مستوى الأهمية، فيجب توعية حراس الأمن مثلا بعدم إدخال غير المصرح لهم والتأكد من بطاقات الموظفين والتأكد من صحة أعذار أي شخص قبل أن يدخله، كأن يقول له احدهم أنا مندوب من الشركة الفلانية وعندي موعد مع المدير أو يقول آخر أنا عامل الصيانة.

وكذلك يجب توعية المدير بأنه وإن كان مدير يجب عليه الانصياع لقوانين الأمن .
إتلاف المستندات و الأجهزة غير المستخدمة داخل المنظمة كي لا يمكن استخدام المعلومات الحساسة التي تحويها.

وإتلاف أجهزة الكمبيوتر القديمة كي لا تستعمل باستخراج معلومات سرية منها.
فالمهاجم قد يحصل على معلوماته من مخلفات المنظمة كأن يعرف أنواع أنظمة التشغيل التي تستخدمها المنظمة وأنواع برامج الحماية وذلك من بقايا صناديق الأقراص التي كانت تحتوي على هذه البرامج وتخلص منها موظفو الشركة دون إتلافها. وقد يجد في سلال المهملات أيضاً قوائم بأسماء الموظفين ومعلوماتهم السرية مثل رواتبهم أو كلمات المرور الخاصة بهم.
وهذه الطريقة من أكثر الطرق شعبية بين المهاجمين الذين يستخدمون الهندسة الاجتماعية، والسر في شعبيتها أن المهاجم يستطيع جمع معلومات كثيرة ومهمة دون أن يلفت انتباه أحد.
توفير الأجهزة والمعدات العالية الجودة التي تضمن الأمن مثل أجهزة تسجيل الدخول وتسجيل الخروج وأجهزة إتلاف الورق وأجهزة إظهار رقم المتّصل وغيرها من الأجهزة والأدوات التي تساعد في إتمام العمل بحسب النظم والقواعد المفروضة من الشركة لضمان أعلى مستويات الأمن مع الاحتفاظ بجودة سير العمل.
أخيراً، رغم اقتناع الناس بأن خطورة اختراق الأنظمة تأتي من ذوي الخبرة التقنية العالية، إلا أن الخطورة الأكبر تأتي من ذوي الخبرة في الطبيعة البشرية.

http://www.alsaha.com/sahat/3/topics/288067