أنواع الهجمات الإلكترونية
وسائل الحماية
أنظمة التحكم في الوصول Access Control
المصادقة Authentication
المقاييس الحيوية وأنواعها
المصادقه بطريقتين مختلفتين
هو تعبير واسع يغطى مجموعة كبيرة من النشاطات في شركتك. وهو يتضمن كل )المنتجات –
العمليات( التي تتم بهدف )منع وصول الأفراد الغير مصرح لهم – منع تعديل البيانات – حماية المصادر(
افتتحت فعاليات الأسبوع التوعوي في أمن المعلومات في الوزارة بحضور أصحاب السمو والمعالي والسعادة. أدناه العرض الذي تم تقديمه بعنوان "أمن المعلومات -- نظرة عامة".
أنواع الهجمات الإلكترونية
وسائل الحماية
أنظمة التحكم في الوصول Access Control
المصادقة Authentication
المقاييس الحيوية وأنواعها
المصادقه بطريقتين مختلفتين
هو تعبير واسع يغطى مجموعة كبيرة من النشاطات في شركتك. وهو يتضمن كل )المنتجات –
العمليات( التي تتم بهدف )منع وصول الأفراد الغير مصرح لهم – منع تعديل البيانات – حماية المصادر(
افتتحت فعاليات الأسبوع التوعوي في أمن المعلومات في الوزارة بحضور أصحاب السمو والمعالي والسعادة. أدناه العرض الذي تم تقديمه بعنوان "أمن المعلومات -- نظرة عامة".
طرق الاختراق وآليته واهم هجمات الاختراق الدوليه وامثله على الجيوش الالكترونيه لكل بلد و كذلك معلومات عن مركز أمن المعلومات و ايضا أهم الشهادات لامن المعلومات
هجمات بروتوكول التحكم في الإرسال/بروتوكول الإنترنت TCP/IP
بعض هجمات الأمن في الآونة الأخيرة
DNS pasion
SYN flood
Danial of service
DDos
three handshaking
Dos
التحكم في الارسال
عناوين الانترنت وبروتوكول tcp/ip
أنواع الهجمات الإلكترونية
attack
cybersecurity
cyber security
TCP/IP
امن المعلومات المحاضرة السادسة
في عصر التكنولوجيا أصبح لأمن المعلومات الدور الأكبر لصد ومنع أى هجوم إلكتروني قد تتعرض له أنظمة الدولة المختلفة، وأيضاً حماية الأنظمة التشغيلية من أى محاولات للولوج بشكل غير مسموح به لأهداف غير سليمة.
ففي عالمنا المترابط بواسطة الشبكة، يستفيد الجميع من برامج الدفاع السيبراني، فمثلاً على المستوى الفردي يمكن أن يؤدي هجوم الأمن السيبراني إلى سرقة الهوية أو محأولات الابتزاز أو فقدان البيانات المهمة مثل الصور العائلي كما تعتمد المجتمعات على البنية التحتية الحيوية، مثل محطات الطاقة والمستشفيات وشركات الخدمات المالية، لذا فإن تأمين هذه المنظمات وغيرها أمر ضروري للحفاظ على عمل مجتمعنا بطريقة أمنة وطبيعية.
أمن المعلومات
الإرهاب الإلكتروني
الحرب السيبرانية
الجريمة الإلكترونية
المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الإتصالات ولضمان صحتها .
يعد الأمن السيبراني في الوقت الحالي أهم عناصر الأمن في الدول المتحضرة و خاصةً مع التحول الكامل نحو السيبرانية في كافة جوانب الحياة. و تقوم فكرة الأمن السيبراني على تأمين البنية التحتية المعلوماتية للدول و التي تتمثل في المنشآت الهامة و نظم المعلومات الهامة و منها نظم إدارة الحكومات الإلكترونية و التي تُدار بها مؤسسات الدول الحيوية، و كذلك النظم العسكرية و الشرطية و القضائية و الإقتصادية و الصناعية و التجارية و غيرها. و يُعد ما يهددها هو تهديد للأمن القومي للدول. لذا قامت العديد من الدول بإعداد الهيئات التي تختص بحماية الأمن السيبراني، و أصبح هذا المفهوم هو جُلّ إهتمام حكومتنا الرشيدة . فقد سخرت له كافة الإمكانيات و أصبح من معايير قياس تحضّر و مدى إمكانيات الدول فيما يتعلق بالجاهزية السيبرانية لمواجهة التهديدات، و الذي يقدم الإتحاد الدولي للإتصالات سنوياً مؤشراً يتم فيه ترتيب الدول بحسب الجاهزية.
للموسسات التعليميه دور مهم في تعزيز مفهوم الامن السيبراني والتي يساهم معرفتها في معرفة الطرق التربوية لتجنب المخاطر التي تتعرض لها الانظمة المعلوماتية، والاجهزة المتصلة بالشبكة العالمية للمعلومات، وتشعب طبيعة هذه الاجهزة، من هواتف خليوية، واجهزة حوسبة شخصية.
تعتمد المجتمعات الحديثة بشكل متنامي على تكنولوجيات الاتصالات والمعلومات المتصلة بالشبكة العالمية. غير أن هذا الاعتماد المطرد ترافقه مجموعة من المخاطر الناشئة والمحتملة التي تهدد وبشكل أساسي الشبكة وأمن المعلومات والمجتمع المعلوماتي وأعضائه. إن سوء الاستغلال المتنامي للشبكات الالكترونية لأهداف إجرامية يؤثر سلباً على سلامة البنى التحتية للمعلومات الوطنية الحساسة لا سيما على المعلومات الشخصية وأمن الأطفال.
لقد بات الأمن السيبراني يشكل جزءاً أساسياً من أي سياسة أمنية وطنية، حيث بات معلوماً أن صناع القرار في الولايات المتحدة الأمريكية، الاتحاد الأوروبي، روسيا، الصين، الهند وغيرها من الدول، أصبحوا يصنفون مسائل الدفاع السيبراني/الأمن السيبراني كأولوية في سياساتهم الدفاعية الوطنية.
بالإضافة إلى ما تقدم، فقد أعلنت أكثر من 130 دولة حول العالم عن تخصيص أقساماً وسيناريوهات خاصة بالحرب السيبرانية ضمن فرق الأمن الوطني. تضاف جميع هذه الجهود إلى الجهود الأمنية التقليدية لمحاربة الجرائم الالكترونية، الاحتيال الالكتروني والأوجه الأخرى للمخاطر السيبرانية.
وبكلمات أخرى، فان الأمن السيبراني يشكل مجموع الأطر القانونية والتنظيمية، الهياكل التنظيمية، إجراءات سير العمل بالإضافة إلى الوسائل التقنية والتكنولوجية والتي تمثل الجهود المشتركة للقطاعين الخاص والعام، المحلية والدولية والتي تهدف إلى حماية الفضاء السيبراني الوطني، مع التركيز على ضمان توافر أنظمة المعلومات وتمتين الخصوصية وحماية سرية المعلومات الشخصية واتخاذ جميع الإجراءات الضرورية لحماية المواطنين والمستهلكين من مخاطر الفضاء السيبراني.
أ.م.عبدالجبار حسين الظفري
عُرف علم التشفير أو التعمية منذ القدم، حيث استخدم في المجال الحربي والعسكري. فقد ذكر أن أول من قام بعملية التشفير للتراسل بين قطاعات الجيش هم الفراعنة. وكذلك ذكر أن العرب لهم محاولات قديمة في مجال التشفير فقد كان القصد من استخدام التشفير هو إخفاء الشكل الحقيقي للرسائل حتى لو سقطت في يد العدو فإنه تصعب عليهم فهمها.
وفي عصرنا الحالي باتت الحاجة ملحة لاستخدام هذا العلم "التشفير" وذلك لإرتبط العالم ببعضه عبر شبكات مفتوحة. حيث يتم استخدام هذه الشبكات في نقل المعلومات إلكترونياً سواءً بين الأشخاص العاديين او بين المنظمات الخاصة والعامة، عسكرية كانت أم مدنية. فلابد من طرق تحفظ سرية المعلومات. فقد بذلت الجهود الكبيرة من جميع أنحاء العالم لإيجاد الطرق المثلى التي يمكن من خلالها تبادل البيانات مع عدم إمكانية كشف هذه البيانات.
في عصر التكنولوجيا أصبح لأمن المعلومات الدور الأكبر لصد ومنع أى هجوم إلكتروني قد تتعرض
له أنظمة الدولة المختلفة، وأيضاً حماية الأنظمة التشغيلية من أى محاولات للولوج بشكل غير مسموح به لأهداف غير سليمة.
ففي عالمنا المترابط بواسطة الشبكة، يستفيد الجميع من برامج الدفاع السيبراني، فمثلاً على المستوى الفردي يمكن أن يؤدي هجوم الأمن السيبراني إلى سرقة الهوية أو محأولات الابتزاز
أو فقدان البيانات المهمة مثل الصور العائلي كما تعتمد المجتمعات على البنية التحتية الحيوية، مثل محطات الطاقة والمستشفيات وشركات الخدمات المالية، لذا فإن تأمين هذه المنظمات وغيرها أمر ضروري للحفاظ على عمل مجتمعنا بطريقة أمنة وطبيعية.
طرق الاختراق وآليته واهم هجمات الاختراق الدوليه وامثله على الجيوش الالكترونيه لكل بلد و كذلك معلومات عن مركز أمن المعلومات و ايضا أهم الشهادات لامن المعلومات
هجمات بروتوكول التحكم في الإرسال/بروتوكول الإنترنت TCP/IP
بعض هجمات الأمن في الآونة الأخيرة
DNS pasion
SYN flood
Danial of service
DDos
three handshaking
Dos
التحكم في الارسال
عناوين الانترنت وبروتوكول tcp/ip
أنواع الهجمات الإلكترونية
attack
cybersecurity
cyber security
TCP/IP
امن المعلومات المحاضرة السادسة
في عصر التكنولوجيا أصبح لأمن المعلومات الدور الأكبر لصد ومنع أى هجوم إلكتروني قد تتعرض له أنظمة الدولة المختلفة، وأيضاً حماية الأنظمة التشغيلية من أى محاولات للولوج بشكل غير مسموح به لأهداف غير سليمة.
ففي عالمنا المترابط بواسطة الشبكة، يستفيد الجميع من برامج الدفاع السيبراني، فمثلاً على المستوى الفردي يمكن أن يؤدي هجوم الأمن السيبراني إلى سرقة الهوية أو محأولات الابتزاز أو فقدان البيانات المهمة مثل الصور العائلي كما تعتمد المجتمعات على البنية التحتية الحيوية، مثل محطات الطاقة والمستشفيات وشركات الخدمات المالية، لذا فإن تأمين هذه المنظمات وغيرها أمر ضروري للحفاظ على عمل مجتمعنا بطريقة أمنة وطبيعية.
أمن المعلومات
الإرهاب الإلكتروني
الحرب السيبرانية
الجريمة الإلكترونية
المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الإتصالات ولضمان صحتها .
يعد الأمن السيبراني في الوقت الحالي أهم عناصر الأمن في الدول المتحضرة و خاصةً مع التحول الكامل نحو السيبرانية في كافة جوانب الحياة. و تقوم فكرة الأمن السيبراني على تأمين البنية التحتية المعلوماتية للدول و التي تتمثل في المنشآت الهامة و نظم المعلومات الهامة و منها نظم إدارة الحكومات الإلكترونية و التي تُدار بها مؤسسات الدول الحيوية، و كذلك النظم العسكرية و الشرطية و القضائية و الإقتصادية و الصناعية و التجارية و غيرها. و يُعد ما يهددها هو تهديد للأمن القومي للدول. لذا قامت العديد من الدول بإعداد الهيئات التي تختص بحماية الأمن السيبراني، و أصبح هذا المفهوم هو جُلّ إهتمام حكومتنا الرشيدة . فقد سخرت له كافة الإمكانيات و أصبح من معايير قياس تحضّر و مدى إمكانيات الدول فيما يتعلق بالجاهزية السيبرانية لمواجهة التهديدات، و الذي يقدم الإتحاد الدولي للإتصالات سنوياً مؤشراً يتم فيه ترتيب الدول بحسب الجاهزية.
للموسسات التعليميه دور مهم في تعزيز مفهوم الامن السيبراني والتي يساهم معرفتها في معرفة الطرق التربوية لتجنب المخاطر التي تتعرض لها الانظمة المعلوماتية، والاجهزة المتصلة بالشبكة العالمية للمعلومات، وتشعب طبيعة هذه الاجهزة، من هواتف خليوية، واجهزة حوسبة شخصية.
تعتمد المجتمعات الحديثة بشكل متنامي على تكنولوجيات الاتصالات والمعلومات المتصلة بالشبكة العالمية. غير أن هذا الاعتماد المطرد ترافقه مجموعة من المخاطر الناشئة والمحتملة التي تهدد وبشكل أساسي الشبكة وأمن المعلومات والمجتمع المعلوماتي وأعضائه. إن سوء الاستغلال المتنامي للشبكات الالكترونية لأهداف إجرامية يؤثر سلباً على سلامة البنى التحتية للمعلومات الوطنية الحساسة لا سيما على المعلومات الشخصية وأمن الأطفال.
لقد بات الأمن السيبراني يشكل جزءاً أساسياً من أي سياسة أمنية وطنية، حيث بات معلوماً أن صناع القرار في الولايات المتحدة الأمريكية، الاتحاد الأوروبي، روسيا، الصين، الهند وغيرها من الدول، أصبحوا يصنفون مسائل الدفاع السيبراني/الأمن السيبراني كأولوية في سياساتهم الدفاعية الوطنية.
بالإضافة إلى ما تقدم، فقد أعلنت أكثر من 130 دولة حول العالم عن تخصيص أقساماً وسيناريوهات خاصة بالحرب السيبرانية ضمن فرق الأمن الوطني. تضاف جميع هذه الجهود إلى الجهود الأمنية التقليدية لمحاربة الجرائم الالكترونية، الاحتيال الالكتروني والأوجه الأخرى للمخاطر السيبرانية.
وبكلمات أخرى، فان الأمن السيبراني يشكل مجموع الأطر القانونية والتنظيمية، الهياكل التنظيمية، إجراءات سير العمل بالإضافة إلى الوسائل التقنية والتكنولوجية والتي تمثل الجهود المشتركة للقطاعين الخاص والعام، المحلية والدولية والتي تهدف إلى حماية الفضاء السيبراني الوطني، مع التركيز على ضمان توافر أنظمة المعلومات وتمتين الخصوصية وحماية سرية المعلومات الشخصية واتخاذ جميع الإجراءات الضرورية لحماية المواطنين والمستهلكين من مخاطر الفضاء السيبراني.
أ.م.عبدالجبار حسين الظفري
عُرف علم التشفير أو التعمية منذ القدم، حيث استخدم في المجال الحربي والعسكري. فقد ذكر أن أول من قام بعملية التشفير للتراسل بين قطاعات الجيش هم الفراعنة. وكذلك ذكر أن العرب لهم محاولات قديمة في مجال التشفير فقد كان القصد من استخدام التشفير هو إخفاء الشكل الحقيقي للرسائل حتى لو سقطت في يد العدو فإنه تصعب عليهم فهمها.
وفي عصرنا الحالي باتت الحاجة ملحة لاستخدام هذا العلم "التشفير" وذلك لإرتبط العالم ببعضه عبر شبكات مفتوحة. حيث يتم استخدام هذه الشبكات في نقل المعلومات إلكترونياً سواءً بين الأشخاص العاديين او بين المنظمات الخاصة والعامة، عسكرية كانت أم مدنية. فلابد من طرق تحفظ سرية المعلومات. فقد بذلت الجهود الكبيرة من جميع أنحاء العالم لإيجاد الطرق المثلى التي يمكن من خلالها تبادل البيانات مع عدم إمكانية كشف هذه البيانات.
في عصر التكنولوجيا أصبح لأمن المعلومات الدور الأكبر لصد ومنع أى هجوم إلكتروني قد تتعرض
له أنظمة الدولة المختلفة، وأيضاً حماية الأنظمة التشغيلية من أى محاولات للولوج بشكل غير مسموح به لأهداف غير سليمة.
ففي عالمنا المترابط بواسطة الشبكة، يستفيد الجميع من برامج الدفاع السيبراني، فمثلاً على المستوى الفردي يمكن أن يؤدي هجوم الأمن السيبراني إلى سرقة الهوية أو محأولات الابتزاز
أو فقدان البيانات المهمة مثل الصور العائلي كما تعتمد المجتمعات على البنية التحتية الحيوية، مثل محطات الطاقة والمستشفيات وشركات الخدمات المالية، لذا فإن تأمين هذه المنظمات وغيرها أمر ضروري للحفاظ على عمل مجتمعنا بطريقة أمنة وطبيعية.
Back Channels Can be Useful! – Layering Authentication Channels to Provide Co...Mohammed Almeshekah
This paper argues the need for providing a covert back- channel communication mechanism in authentication protocols, discusses various practical uses for such a channel, and desirable features for its design and deployment. Such a mechanism would leverage the current authentication channel to carry out the covert communication rather than introducing a separate one. The communication would need to be oblivious to an adversary observing it, possibly as a man-in-the-middle. We discuss the properties that such channels would need to have for the various scenarios in which they would be used. Also, we show their potential for mitigating the effects of a number of security breaches currently occurring in these scenarios.
الأمن السيبراني المحاضره الثالثه تعريف الأمن السيبراني, أهميته , وأهدافه ايمن البيلي
تعريف الأمن السيبراني, أهميته , وأهدافه
التحديات والمخاطر التي تحيط بالأمن السيبراني
كيفيه تحقيق الأمن السيبراني
الفرق بين أمن المعلومات والأمن السيبراني
مكونات النظام المعلوماتي
مثلث الأمن المعلوماتي
الأمن السيبراني المحاضره السابعه الطب الشرعي السيبرانيايمن البيلي
الطب الشرعي السيبراني
مقدمة إلى الطب الشرعي السيبراني
عمليات إدارة الحوادث الأولية
خطوات إجراء تحقيق جنائي سيبراني
لماذا يجب علينا الإبلاغ عن الجريمة السيبرانية؟
بعض هجمات الأمن في الآونة الأخيرة
#تواصل_تطوير
المحاضرة رقم 197
مهندس / محمد الشامي
عنوان المحاضرة
أمن المعلومات.. مفاهيم أساسية
يوم السبت 04 فباير 2023
السابعة مساء توقيت القاهرة
الثامنة مساء توقيت مكة المكرمة
و الحضور عبر تطبيق زووم من خلال الرابط
https://us02web.zoom.us/meeting/register/tZYuf-utrTIoH9LHZt6AxN_pd8TcTJCsPDpn
علما ان هناك بث مباشر للمحاضرة على القنوات الخاصة بجمعية المهندسين المصريين
ونأمل أن نوفق في تقديم ما ينفع المهندس ومهمة الهندسة في عالمنا العربي
والله الموفق
للتواصل مع إدارة المبادرة عبر قناة التليجرام
https://t.me/EEAKSA
ومتابعة المبادرة والبث المباشر عبر نوافذنا المختلفة
رابط اللينكدان والمكتبة الالكترونية
https://www.linkedin.com/company/eeaksa-egyptian-engineers-association/
رابط قناة التويتر
https://twitter.com/eeaksa
رابط قناة الفيسبوك
https://www.facebook.com/EEAKSA
رابط قناة اليوتيوب
https://www.youtube.com/user/EEAchannal
رابط التسجيل العام للمحاضرات
https://forms.gle/vVmw7L187tiATRPw9
ملحوظة : توجد شهادات حضور مجانية لمن يسجل فى رابط التقيم اخر المحاضرة.
الأمن السيبراني المحاضرة الثانية البنية التحتية للانترنت ايمن البيلي
البنية التحتيه للأنترنت Internet Infrastructure
شبكة الويب العالمية World Wide Web
مقدمة إلى الجريمة السيبرانية
تعريف الجريمة السيبرانية
أسباب ارتكاب الجريمة الإلكترونية
البرامج الضارة وأنواعها
الأمن السيبراني المحاضره الرابعه كلمات المرور والمقاييس الحيوية ايمن البيلي
كلمات المرور والمقاييس الحيوية
تعريف كلمة المرور وفوائدها
المصادقه Authentication
قواعد كلمة المرور لمدير الشبكة
أخطاء كلمات المرور
كيفية كشف كلمات المرور
انواع الهجمات لإختراق كلمة المرور
أختيار كلمة المرور
مولد كلمة المرور
مدير كلمة المرور
المقاييس الحيوية
المصادقه بطريقتين مختلفتين
الأمن السيبراني المحاضره الخامسة أمن مستعرض الإنترنت وأمن البريد ايمن البيلي
أمن مستعرض الإنترنت وأمن البريد
أمن مستعرض الإنترنت
منع الإطارات المنبثقة
استعراض InPrivate
أمن البريد
البريد العشوائي Spam
الهندسة الاجتماعية
نصائح عامة حول استخدام منصات الشبكات الاجتماعية
الجزء الثاني الكورسات المفتوحه عبر الانترنت كيف تحصل على شهادات إلكترونية مج...ايمن البيلي
الجزء الثاني يوضح كيفيه الدراسه عبر الانترنت والحصول على شهاده بالمجان وسنتكلم في الجزء الثاني عن
اشهر الموكات الاجنبية
تقييم الموكات والبحث عنها
الحصول على الكورسات المجانيه
Google training from zero to hero دورة احترافية البحث في قوقل ايمن البيلي
دوره باللغه العربيه جمعت فيها ما يحتاجه الشخص من الخدمات الهامه في القوقل بالاضافه الى طرق البحث البسيطه والمتقدمه في شرح كامل اسئل الله ان ينفع به المسلمون
أحداث سابقة لهجمات أمنية
وسرقة 300,000 بطاقة ائتمان وطلب CD Universe اختراق هاكر روسي لشركة
فدية 100,000 دولار
نشر معلومات البطاقات على الانترنت >----
بصورة غير Daewoo Securities بيع أسهم بقيمة 21,7 مليون دولار تديرها شركة
قانونية بعد اختراق شبكتها.
قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زملائه.
اختراق منشاه .. وزاره الدفاع
اختراق عاملين .. هندسه اجتماعيه
اختراق حاسوب – فيروسات وتروجين الصين وامريكا
اذكر حادثه اختراق مشهور كاختراق احد البنوك
ايش اهميه امن المعلومات - قصه اختراق عسكري .
لماذا السريه مهمه ؟
ليس لدي شيء أرغب بإخفائه
لكن
هل تريد أن يطلع الآخرون على بريدك؟
هل تريد أن يستخدم بريدك لإرسال الرسائل المزعجة للآخرين؟
هل تريد أن يستطيع الآخرون الاطلاع على الملفات الموجودة على جهازك
هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟
التوازن بين عناصر أمن المعلومات
أمثلة:
نظام الملاحة الجوية: السلامة + التوافرية < السرية
شركات صناعة السيارات: السرية < السلامة + التوافرية
الأنظمة العسكرية: السرية + السلامة + التوافرية
فمثلا رواتب الموظفين - المعلومات العسكرية لا يجب أن تصل إلى مخابرات العدوا
اذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالأمن القومي والأسرار العسكرية مثلا إعطاء عنصري السرية والتكاملية أقصى درجات الاهتمام ،
التجسسSnooping
هي سرقة البيانات المنتقلة من مكان إلى آخر ومعرفة محتواها. على سبيل المثال، إذا تم نقل ملف عبر الإنترنت يحتوي على البيانات سرية، التجسس هو الحصول على هذا الملف ومعرفة ما فيه من بيانات.
التنصت Traffic Analysis
التنصت بعكس التجسس، لا تستطيع الإستفادة من البيانات بشكل مباشر (بسبب أنها مشفرة مثلا). ولكن تستطيع معرفة الكثير من المعلومات الأخرى التي قد تكون مفيدة من خلال مراقبة حزم البيانات المنتقلة من جهاز إلى آخر. على سبيل المثال، تستطيع معرفة وجهة الملف (من خلال معرفة الـ IP الخاص بالوجهة). ومعلومة واحدة قد لا تكون مفيدة وحدها، ولكن المعلومات الصغيرة قد تفيد إذا ما جمعتهم معًا.
التعديل Modification
التعديل هي خطوة تلي الحصول على حزمة البيانات، فيستطيع المهاجم تغيير البيانات لتكون في صالحه هو. على سبيل المثال، يستطيع المهاجم الإستفادة من رسالة عميل بنك يريد تحويل أمواله إلى حساب آخر من خلال تغيير الحساب المستفيد ليكون حسابه المهاجم.
سرقة الهوية Masquerading OR Spoofing
سرقة الهوية هي ادعاء المهاجم والتظاهر أنه شخصٌ آخر. كادعاء المهاجم أنه عميل بنك معين (من خلال سرقة كلمة المرور الخاصة بهذا العميل مثلا). وتشمل سرقة الهوية إدعاء أنه مؤسسة أيضًا! فقد يدعي المهاجم أنه البنك ليأخذ معلومات حساسة من العميل.
إعادة إرسال Replaying
هذا الهجوم يعتمد على سرقة نسخة من رسالة معينة، ومن ثم إعادة إرسالها في وقت لاحق. على سبيل المثال، ينسخ المهاجم رسالة لعميل أراد تحويل أموال له من البنك لقيامه المهاجم بخدمة معينة للعميل. في وقت لاحق، يرسل المهاجم نفس الرسالة إلى البنك ليتم تحويل المبلغ مرة ثانية وثالثة ورابعة وهكذا..
الإنكار Repudiation
طريقة الهجوم هذه مختلفة تماما عن كل ما سبق. في هذه الطريقة ينكر أحد طرفي الإتصال قيامه بالإتصال. على سبيل المثال، يقوم عميل بنك بطلب تحويل أموال إلى حساب آخر، وبعد فترة يُنكر طلبه هذا الطلب. أو قيام شخص بشراء بضاعة على الإنترنت، وبعد الدفع، يُنكر البائع حصوله على الأموال.
الحرمان من الخدمة Denial of Service
من أشهر الهجمات على الإطلاق في عالم أمن المعلومات. لها عدة طرق، منها إرسال طلبات كثيرة إلى الموقع تجعله بطيئا أو تقوم بإيقاعه كليا. قد يشمل أيضا الحصول على الرسائل القادمة من الموقع إلى عميل معين ومسحها، ليُخيل للعميل أن المُخدم قد سقط. أو العكس، يقوم المهاجم بمسح كل الرسائل الموجهة من العميل إلى الموقع.
وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير او تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول الى الموقع ، وتتطلب ضمان عدم إنكار الزبون أن التصرف الذي نفذه على الموقع ( كطلب الشراء ) قد صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .
البيانات تتغير دائما، فمثلا في البنك حينما يقوم أحدهم بسحب نقدي، يجب تغيير ما تبقى له في حسابه بناءً على ما تم سحبه. السلامة تعني أن تبقى البيانات كما هي ولا يستطيع تغييرها إلا الأشخاص المصرح لهم بهذا وبالطريقة الصحيحة. وسلامة البيانات ليست مهددة فقط بفعل هجومي من خارج المؤسسة، انقطاع الكهرباء أو زيادة الشحنة الكهربائية قد تؤثر في البيانات! (تذكر أن كل البينات المنتقلة في الشبكة هي عبارة عن شحنات كهربائية).
مثال ذلك قوائم اسماء المقبولين في كليه من الكليات
ونعني بحمايتها من التغيير بإن يقوم شخص ما بحذف بعذ الاسماء او ادراج اسماء اخرى بدلا منها مما يسبب الارباك للناس والحرج للجهه المعنيه
مثال اخر تغيير مبلغ حواله من 100 ريال الى 1000000 ريال .
ترميز التجزئة Hash Encoding
يضمن ترميز التجزئة، أو التجزئة، عدم إتلاف الرسائل أو التلاعب بها أثناء الإرسال. تستخدم عملية التجزئة معادلة رياضية لإنشاء قيمة عددية فريدة خاصة بالبيانات. وفي حالة تغيير ولو حرفًا واحدًا، لن تكون نتيجة المعادلة، ويطلق عليها تشفير الرسالة، مطابقة. ومع ذلك، فإن الدالّة ذات مسار واحد. ولا يسمح معرفة تشفير الرسالة للمتطفل بإعادة إنشاء الرسالة، مما يجعل من الصعب على الشخص اعتراض خوارزمية التجزئة الآمنة
SHA-1
وتشفير الرساله
MD5
يقصد بالتوقيع الالكتروني التوقيع الرقمي علامة أمان إلكترونية يمكن إضافتها إلى الملفات. ويتيح للمستخدم إمكانية التحقق من ناشر الملف كما يساعد في التحقق من أن الملف لم يتم تغييره منذ تم توقيعه رقميًا.
تقنية التوقيع الرقمي:
يتم عن طريق صيغة رياضية خلق مفتاحين مختلفين ولكنهما مرتبطين رياضياً، المفتاح الخاص (Private key) والمفتاح العام (Public key)، الأول والذي لا يعرفه سوى المرسل يستخدم لتشفير البيانات والثاني يستخدم لفك شيفرة الرسالة و يكون معروف لدى الشخص المستقبل أو لدى جهات موثوقة للوصول إليه في حال استدعت الحاجة.
إذا أراد أحدهم ارسال ملف الكتروني موقع رقمياً، تقوم برمجيات خاصة موجودة لدى الموقّع بإنشاء قيمة هاش عن طريق تطبيق وظيفة هاش على البيانات الأصلية، ثم تشفير تلك القيمة باستخدام المفتاح الخاص للمرسل، وأخيراً يُرفق التوقيع (قيمة هاش بعد التشفير) مع الرسالة. وللتحقق من صحة التوقيع، يستخدم المستقبل المفتاح العام الموافق للمفتاح الخاص للمرسل لفك شيفرة التوقيع، فإن نجحت عملية فك شيفرة التوقيع، فهذا يعني أن المرسل قد وقَّع الرسالة بالفعل، وكخطوة ثانية تقوم برمجيات المستقبل باحتساب نتيجة هاش جديدة للرسالة الأصلية بواسطة نفس وظيفة الهاش المستخدمة في خلق التوقيع الرقمي، فإن تطابقت قيمة هاش للتوقيع الذي فكت شيفرته مع قيمة هاش التي تم احتسابها من قِبَل برمجيات المستقبل، فهذا يعني أن ملف الرسالة سليم ولم يتعرض لأي تخريب أثناء الارسال.
مزايا استخدام التوقيع الرقمي:
- التأكد من وثوقية المرسل: بفضل وجود زوج من المفاتيح،عام وخاص، لا يمكن تزوير التوقيع الرقمي إلا في حال معرفة المفتاح الخاص للمرسل.- التأكد من وثوقية الرسالة: مقارنة نتائج الهاش تؤكد ما إذا تم التلاعب بالرسالة بعد التوقيع أم حافظت على محتواها نفسه.- الالتزام: إن نتيجة وثوقية استخدام المفتاح الخاص عند انشاء توقيع رقمي من قِبَل المرسل يُلزمه بالاعتراف بمحتوى الرسالة ولا يدع له مجالاً للتنكر لها.
الهاش يحدث في كل من المصدر وفي الهدف او في الاثنين معا في اوقات مختلفه ( كان يكون ذلك في بدايه الشهر وفي منتصف الشهر )
يتم المقارنه بين القيمتين اذا وجد بان قيمه الهاش متطابقه ولم تتغير فان المعلومات سليمه ولم تتغير
في حاله تغير قيمتي الهاش فاننا نعرف بإن المعلومات حدث لها تعديل وفقدنا تكامل المعلومات بسبب دخول غير مصرح به
من اشهر خوارزميات المزيج MD5, HMAC, or SHA-1
مثال : موظفي بنك لا يقدرون فتح النظام
سقوط موقع الكتروني للخدمات الالكترونيه – حذف فواتير العملاء
يوفر RAID صفيف متكرر من الأقراص المستقلة طريقةً لتخزين البيانات عبر الأقراص الثابتة المتعددة للتكرار (الوفرة الاحتياطية). لنظام التشغيل، يظهر صفيف RAID كقرص منطقي واحد. وتوضح المصطلحات التالية طريقة صفيف RAID في تخزين البيانات على الأقراص المختلفة:
التماثل - للكشف عن أخطاء البيانات.
تقسيم البيانات - لكتابة البيانات عبر محركات أقراص متعددة.
النسخ المتطابق - لتخزين البيانات المكررة على محرك ثانٍ
يوفر صفيف RAID (صفيف متكرر من الأقراص المستقلة) طريقةً لتخزين البيانات عبر الأقراص الثابتة المتعددة للتكرار (الوفرة الاحتياطية). لنظام التشغيل، يظهر صفيف RAID كقرص منطقي واحد. يوضح الشكل 2 مقارنة لمستويات RAID المختلفة. وتوضح المصطلحات التالية طريقة صفيف RAID في تخزين البيانات على الأقراص المختلفة:
تقسيم البيانات - لكتابة البيانات عبر محركات أقراص متعددة.
النسخ المتطابق - لتخزين البيانات المكررة على محرك ثانٍ
بالنسبة للبنوك انه اضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه إعطاء عنصر الاستمرارية ذات القدر من الأهمية ، فان عملت المصارف في حقل البنوك الإلكترونية او الخدمات المصرفية تصبح المعلومات غير ذات قيمه اذا كان من يحق له الاطلاع عليها لا يمكنه الوصول اليها
التحقق من الهوية
• الجواز، بطاقة الأحوال
سرية المعلومات
• ظرف مغلق
سلامة البيانات
• ظرف مغلق مختوم
عدم الإنكار
• التوقيع والتاريخ
ومحور الخطر هو الإنسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فإدراك هذا الشخص حدود صلاحياته ، وإدراكه آليات التعامل مع الخطر ، وسلامة الرقابة على أنشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات التهديدات نوعين تهديدات بفعل الطبيعه وتهديدات بشريه
تهديدات طبيعيه مثلا الصواعق .. الحرائق .. الاعاصير .. الخ
تهديدات بفعل البشر وهي نوعين
التهديدات الداخلية - تتمثل في المستخدمين والموظفين ممن لهم حق الوصول إلى البيانات والأجهزة والشبكة مثال ذلك اخطاء الموظف الغير مقصوده كادخال بيانات خاطئه.
ويقصد اماكن الضعف في النظام والتي تتيح للمهاجم الاعتداء على سلامه النظام
الثغرات قي تكون قصور في البرمجات او خلل في التصميم او نتيجه لاستخدام المهاجم برامج خبيثه مثل الفيروسات
ثغرة تسمح للهاكر أن يقلص من ضمان المعلومات لنظام ما. فالضعف هو تقاطع ثلاثة عناصر:
عيب في النظام
وهاكر يصل لهذا العيب
وقدرة هذا الهاكر على استغلال هذا العيب.
المهاجمين من الداخل
%87 من منفذي الهجمات من داخل المنظمة )تقرير وزارة الدفاع الأمريكية(
معدل تكاليف الهجوم الداخلي 2,7 مليون دولار
)SANS معدل تكاليف الهجوم الخارجي 57 ألف دولار )موقع
عدم وجود العوائق الأمنية بسبب التواجد داخل الشبكة
ويقصد اماكن الضعف في النظام والتي تتيح للمهاجم الاعتداء على سلامه النظام
الثغرات قي تكون قصور في البرمجات او خلل في التصميم او نتيجه لاستخدام المهاجم برامج خبيثه مثل الفيروسات
التهديدات الخارجيه
أمثلة لمخاطر أمنية
انتحال الشخصية
خسارة السمعة
سرقة أجهزة
انقطاع الخدمة )مثل توقف البريد الإلكتروني(
نشر معلومات سرية
التصنت
الإصطياد الإلكتروني
بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمةفعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل
الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
وجود الدافع:
المال
الانتقام
المنافسة
إثبات القدرات الفنية
أغراض سياسية
2. وجود طريقة لتنفيذ الهجوم
Vulnerabilities 3. وجود ثغرات أمنية
التصميم
التهيئة
الشبكة
الجهاز
نظام التشغيل
البرنامج