ماهي قابلية المواقع والانظمة للاختراق(كيف تحصل اختبارات الاختراق)

اختبار الإختراق PENTERATION TESTING

 ” اختبار الاختراق ” أنه مجموعة من النشاطات  التي تُنفذ ل كشف الثغرات الأمنية…. لنعرف ما مدى قابلية النظام للاختراق وماهي الثغرات التي يمكن لاي هاكر  باستغلالها

اختبار الاختراق يتضمن فريق من الأشخاص لكي يقوموا بعمل هذا الاختبار. وهذا الفريق يحاول كشف الثغرات التي توجد في أنظمة أمن المعلومات للمنظمة، وذلك بمحاكاة الشخص الغير مصرح لـه أو ما يعرف بالهاكر، للهجوم على النظام باستخدام نفس الأدوات والتقنيات.

انواعه الاختبار

توجد انواع  مختلفة في اختبار الاختراق، وتعتمد في ذلك على الأهداف المراد إنجازها:

1ـ الاختبار الداخلي والاختبار الخارجي:

الاختبار الخارجي يشير إلى الهجوم على محيط شبكة المنظمة باستخدام إجراءات تؤدى من خارج أنظمة المنظمة؛ وتكون على الأغلب من الإنترنت للقيام بالاختبار، فريق الاختبار يبدءون باستهداف الأجهزة أو الخوادم الظاهرة خارجياً في الشركة مثل خادم اسم النطاق DNS، خادم البريد الإلكتروني Email خادم الموقع الإلكتروني Web أو الجدر النارية .Firewall

الاختبار الداخلي يكون من داخل البيئة التقنية للمنظمة. يكون التركيز في هذه الاختبارات على فهم ماذا يمكن أن يحدث إذا تم اختراق محيط الشبكة بنجاح، أو ماذا يمكن أن يفعل شخص لاختراق مصادر معلومات محددة داخل شبكة المنظمة.

2ـ إستراتيجية اختبار الهدف المحدد واختبار العمى Blind والعمى المضاعف:

*في إستراتيجية اختبار العمى، يزّود فريق الاختبار بمعلومات محدودة جداً عن الأنظمة المستخدمة.وكذلك يجب أن يستخدم فريق اختبار الاختراق المعلومات المتوفرة بشكل عام، و مثال ذلك موقع الشركة الإلكتروني،وكذلك سجل اسم النطاق وما إلى ذلك؛ وهذه المعلومات ستساعدهم في معرفة هدفهم لكي يبدءوا عملية الاختبار.

اختبار العمى قد يعطي معلومات عن المنظمة، يمكن أن تكون غير معروفة لهم مسبقاً، ولكنها هذا الشكل من الاختبارات قد تكون أكثر احتياجاً للوقت ومكلفة جداً مقارنة بغيرها من اختبارات الاختراق، وذلك لأنها تحتاج جهد كبير من فريق الاختبار للبحث عن الهدف.

* اختبار العمى المضاعف “Double-blind”هو توسيع لإستراتيجية اختبار العمى، حيث أنه لا أحد من المنظمة أو مسئولي أمن المعلومات لـه معرفة بهذا الاختبار والأنشطة التي تؤدى فيه. اختبار العمى المضاعف بإمكانه اختبار مراقبة الأمن داخل المنظمة ، تعريف الحوادث الأمنية “Incident Identification”من قبل الموظفين المسئولين وإجراءات الرد “Response Procedures”. عادةً عدد قليل جداً من الناس داخل المنظمة يعلم بهذا الاختبار ويكون غالباً الشخص المسئول عن المشروع من المنظمة.

* اختبار الهدف المحدد وعادةً يطلق عليه اختبار الأنوار المشعلة “Lights-Turn-On”. ويشمل كلاً من فريق تقنية المعلومات من المنظمة وفريق الاختبار وهذا الفريق الذي هو يكون عنده الدراية بكل الأنشطة التي سوف تؤدى في الاختبار، ويكون فريق الاختبار على دراية بالهدف وعنده معلومات عن تصميم الشبكة وما إلى ذلك من معلومات عن ما يستهدفون.

اختبار الهدف المحدد يركز على الإعدادات الفنية أو على تصميم الشبكة أكثر من التركيز على الاستجابة للحوادث في المنظمة أو أي إجراءات تشغيلية أخرى. وهو يأخذ وقتاّ وجهداً أقل لإكماله مقارنة باختبار العمى، لكنه قد لا يزوّد المنظمة بالصورة الكاملة عن الثغرات الأمنية وإمكانية الرد السريع على الحوادث الأمنية.

أنواع الاختبارات:

بالإضافة لاستراتيجيات اختبار الاختراق التي يمكن استخدامها، فلابد من ذكر أنواع الاختبارات التي يقوم بها فريق الاختبار، وهي كما يلي:

1. اختبار أمن التطبيقات:

أكثر الشركات توفر خدمة الدخول إلى خدماتها الرئيسية من خلال تطبيقات عن طريق المواقع الإلكترونية web-based؛ هذا النوع من الدخول ينشأ ثغرات أمنية جديدة، لأنه حتى مع وجود الجُدر النارية و أنظمة المراقبة الأخرى،فالأمن ممكن أن يُخترق؛ حيث أن سير البيانات يجب أن يكون مسموحاً لـه العبور من خلال الجدر النارية. والهدف من هذا الاختبار هو تقييم التحكم بالتطبيقات وجريان عملياتها.

موضوعٌ مهم يجب أن يقيم كذلك، ألا وهو استخدام التشفير لحماية السرية وتكامل البيانات، وكذلك كيفية التأكد من هوية المستخدم وضمان تكامل البيانات المنقولة بين المستخدم والتطبيق على الجهاز الخادم في المنظمة من خلال الإنترنت.

2. اختبار حجب الخدمة “DoS”:

الهدف من هذا الاختبار هو تقييم قابلية النظام لتحمل الهجوم الذي سوف يمنعه من تقديم الخدمة للآخرين حيث أنه إذا تمت عملية حجب الخدمة، فسوف تمنع جميع عمليات أو محاولات الدخول على النظام.

3. اختبار حرب الاتصال” “War Dialing:

اختبار حرب الاتصال هي طريقة أو تقنية لعمل اتصال نظامي على مجموعة من خطوط الهاتف داخل المنظمة، وفي ذلك محاولة لتعريف المودمات أو أجهزة الدخول البعيد ومن ثم عمل اتصال مع كمبيوترات تكون موصولة على شبكة المنظمة؛ حُسن النية عند بعض المستخدمين داخل المنظمة، قد يجعل شبكة المنظمة عرضة للثغرات الخطيرة باستخدام هذه التقنية، من غير أخذ الحيطة اللازمة. وعندما يتم تعريف المودمات أو أي أجهزة تسمح بالدخول البعيد، تتم من بعدها عملية التحليل باستخدام بعض التقنيات لعمل الدخول الغير مسموح به ومن ثم يتم اختراق نظم معلومات المنظمة.

4. اختبار اختراق الشبكة اللاسلكية:

وجود الشبكات اللاسلكية بالطرق النظامية أو عن طريق حسن النية من قبل المستخدمين، يُوجد لدينا هتك جديد لأمن المنظمة. بعض الأحيان يطلق مسمى سيارة الحرب “War Driving” على هذا النوع من الاختراق.

الهاكرز أصبحوا أكثر مهارة في تعريف الشبكات اللاسلكية وكشفها وذلك بقيادة السيارة أو حتى المشي حول المباني أو المكاتب مستخدمين أجهزة الشبكات اللاسلكية. والهدف من هذا الاختبار هو تعريف الفجوات الأمنية أو الأخطاء التي عُملت في تصميم أو تنفيذ وتشغيل شبكات لاسلكية داخل المنظمات.

5. اختبار اختراق الهندسة الاجتماعية “Social Engineering”

عادة يكون هذا الاختبار مرتبطاً باستراتيجية اختبار العمى أو اختبار العمى المضاعف ؛ وهو يشير إلى التقنيات المستخدمة في التواصل الاجتماعي ويكون في الغالب مع موظفي المنظمة أو المزودين أو المتعهدين أو غيرهم ممن لـه علاقة مباشرة بأنظمة المنظمة، والهدف من هذا الاختبار هو الحصول على المعلومات التي من خلالها يتم اختراق أنظمة المنظمة. ومثل هذه التقنيات تحتوي على التالي:ـ

· انتحال شخصية موظف الدعم الفني في المنظمة ومن ثم طرح الأسئلة على المستخدمين، ومثال تلك الأسئلة: سؤال المستخدم عن معلومات الحسابات – الكلمات السرية – التي يستخدمها في الدخول على الأنظمة.

· انتحال شخصية الموظف ومن ثم الدخول على مناطق عالية الحساسية والتي تحتوي على الأنظمة، حيث أن هذه الأنظمة محمية بواسطة موظفي الأمن داخل المنظمة.

· اعتراض الرسائل داخل المنظمة أو حتى اعتراض الموظف المراسل أو كذلك البحث في قمامة ومخلفات المكاتب عن معلومات حساسة تم طباعتها.

اختبار الهندسة الاجتماعية يختبر الأمور الفنية بشكل قليل، ولكنه يعادل في أهميته الاختبارات الأخرى لما قد يعرض المنظمة من مخاطر وثغرات قاتلة في أنظمتها.

هل الجدر النارية FIREWALLS وأنظمة كشف التطفل IDS كافية:

معظم المنظمات تمتلك تقنيات أمنية معقدة مثل الجدر النارية أو أنظمة كشف التطفل، وذلك لتساعدها في حماية معلوماتها وسرعة التعرف على الهجمات الخفية. وحيث أن هذه التقنيات مهمة جداً إلا أنها غير آمنة 100%. وذلك لأن الجدر النارية غير محمية مما هو مسوح الدخول عليه مثل التطبيقات ذات الدخول المباشر ON LINE أو أي خدمات أخرى مسموح الوصول إليها داخل المنظمة. وكذلك بالنسبة لأنظمة كشف التطفل ليس باستطاعتها كشف ما ليس مبرمجاً فيها لكشفه والتعرف عليه، وهي لن تكون فعالة إن لم تكن الشركة تمتلك نظام مراقبة ورد سريع على التنبيهات التي تصدر من هذه الأنظمة.

الجدر النارية وأنظمة كشف التطفل لن تكون ذات جدوى ونفع إن لم تكن تُحدث باستمرار بآخر التحديثات والإصدارات لها وإلا سوف تفقد فاعليتها في كشف ومنع الهجمات الخطرة على أنظمة المنظمة.

واستخدام اختبار الاختراق سوف يثبت مدى فاعلية ما قامت به المنظمة من عمل التحصينات باستخدام هذه الأنظمة والتقنيات.

شبكتي آمنة:

كثير من المنظمات تقول أن شبكاتها آمنة، لماذا احتاج إنفاق الكثير من المال لعمل فحص لأمن شبكتي وهو غير لازم، ولماذا ولماذا ولماذا…؟ الجواب بسيط جداً …هو عدم الأمن. قد يعتقد الشخص أنه آمن، ولكن في معظم الأحيان تجد الشركات ومن أول اختبار أو اختراق لها بأن معظم بياناتها الشخصية والسرية عرضة للفصح أو أنها قد فضحت.

كان الناس قبل أحداث 11 سبتمّبر تعتقد أن الدول حصينة من الداخل وأن عندها التحكم الكامل لما تملك وقد ثبت غير ذلك. وعليه فإنه لا يوجد شيء آمن وهذا ينطبق على الأشخاص، المنظمات وحتى على الدول نفسها. من هنا يأتي الحرص على عمل أنظمة توفر الأمن بشكل كبير من جميع النواحي.

“ينطبق وصف النعامة التي تضع رأسها في التراب على من يقول أن شبكته آمنة”

بعض البرامج التي تستخدم في اختبار الاختراق:

فيما يلي مجموعة مهمة من البرامج المجانية والتجارية المستخدمة في اختبار الاختراق.

– Nessus : www.nessus.org

برنامج لمسح الشبكة وكشف الثغرات فيها، يستخدم مع نظام يونكس.

– Sara : www.arc.com/sara

برنامج كذلك لمسح الشبكة وكشف الثغرات فيها.

– Hping : www.kyuzz.org

برنامج يستخدم لإرسال رزم ” packets ” من نوع ICMP, UDP, TCP .ويسمح باختبار قوانين الجدر النارية ويدعم اختبار الرزم المجزئة.

– Firewalk :www.packettactory.net

أداة تستخدم لخرق قوائم تحكم الدخول “ACL” من خلال الجدر النارية ويعطي الإمكانية لرسم خريطة الشبكة.

– John The Ripper : www.openwall.com/John

أداة تستخدم لكسر كلمات السر.

– Crack/Libcrack : www.vsers.dircon.co.uk

أداة تستخدم لكسر كلمات السر وتستخدم مع نظام يونكس.

– Toneloc :

أداة تستخدم في حرب الاتصال WarDialing حيث تقوم بعمل فحص للمودمات الموضوعة على وضعية الرد الأتوماتيكي.

– Internet Security Server :www.iss.net

برنامج تجاري رائع يستخدم من قبل معظم شركات اختبار الاختراق ويستخدم لكشف الثغرات..

– Phone sweep : www.sandstorm.net

برنامج حرب الاتصال War-Dialer ويستخدم لكشف الأنظمة المستخدمة للمودمات بغرض الدخول البعيد.

– NMAP : www.nmap.org

برنامج رائع لكشف وعمل خريطة الشبكات من خلال الجدر النارية.

– Ethereal: www.ethereal.com

برنامج يقوم بتحليل بروتوكولات الشبكة حيث يقوم بشم محتواها من خلال اتصال الجهاز الذي نُصّب عليه هذا البرنامج بها. ويعمل مع ويندوز ولينوكس.

www.the3kira.blogspot.com : المصدر