القوانين الـ10 الثابتة لأمان أجهزة الكومبيوتر (1/2)
سكوت كالب
في العام 2000، نشر سكوت كالب (Scott Culp) من مركز الاستجابة الأمنية في شركة مايكروسوفت مقال بعنوان "The ten immutable laws of security" في موقع وب مايكروسوفت. ورغم أن الإنترنت وأمان الكمبيوتر يتغيّران بسرعة مذهلة، إلا أن تلك القوانين تبقى حقيقية وثابتة على مدى السنوات اللاحقة. هذه القوانين الـ10 تصف بعض محدوديات الأمان بشكل ممتاز، وبحال تمّ تطبيقها، فإنه يمكن لكل منّا أن يتمتع بأمان عال في حاسبه الشخصي.. فما هي:
1- إذا استطاع شخص أن يقنعك بتشغيل برنامجه في كمبيوترك، فهو لم يعد كمبيوترك بعد الآن. إذ أن المهاجمين غالباً ما يحاولون تشجيع المستخدم على تثبيت برنامج نيابة عنهم. فالعديد من برامج الفيروسات وأحصنة طروادة تعمل بهذه الطريقة. مثلاً، نجح الفيروس ILOVEYOU ملايين الأجهزة حول العالم، لأن المستخدمين غير الحريصين شغّلوا نصه البرمجي، أي فتحوا الرسالة التي تحتوي على برنامج تشغيل عندما وصل الرسالة إليهم في البريد الإلكتروني. هناك فئة أخرى جديدة من البرامج يحاول المهاجمون إقناع المستخدمين بتثبيتها، وهي برامج التجسّس. وحالما يتم تثبيتها، فإن تلك البرامج تبدأ بمراقبة نشاطات المستخدم في كمبيوتره وتقدّم تقارير إلى المهاجم.
2- إذا استطاع شخص أن يعدّل نظام التشغيل في كمبيوترك، فهو لم يعد كمبيوترك بعد الآن. إن نظام التشغيل مثبّت بأمان، والجهاز الذي تم الحصول عليه بأمان المثبّت فيه يُشار إليهم كـ قاعدة الكمبيوتر الموثوق بها (Trusted Computing Base أو TCP). فإذا تمكّن الهاكرز من استبدال أو تعديل أحد ملفات نظام التشغيل أو بعض مكوّنات أجهزة النظام، لا يعود بالإمكان الوثوق بـTCP. مثلاً، قد يستبدل المهاجم الملف Passfilt.dll، الذي يُستعمل لفرض تعقيد كلمة المرور، بإصدار له يسجّل أيضاً كل كلمات المرور التي تُستعمل في النظام. إذا تم التلاعب بنظام التشغيل أو لم يكن يمكنك ضمان أنه لم يتم التلاعب به، لا يجب أن تثق بنظام التشغيل بعد اليوم.
3- إذا كان لدى شخص ما وصول مادي غير محظور إلى كمبيوترك، فهو لم يعد كمبيوترك بعد الآن. ويقصد بالوصول المادي هنا، أنه استطاع وضع جهاز اليو إس بي الخاص به في جهازك، أو وضع سي دي أو اتصل بجهازك عبر كابل. فحالما يمتلك الهاكرز وصولاً مادياً إلى كمبيوتر، لا يعود بوسعك القيام بأمور كثيرة لمنعه من اكتساب امتيازات مسؤول في نظام التشغيل. وبالتالي، تصبح كل البيانات المخزَّنة تقريباً مكشوفة لديه. فقد يستطيع الهاكرز الذي يملك وصولاً مادياً أن يثبّت أجهزة أو برامج لمراقبة وتسجيل ضربات المفاتيح بشكل كلي، فأي ضغطة على أي مفتاح من لوحة المفاتيح سيتم تسجيلها.
4- إذا سمحت لشخص غير موثوق به وضع برامج في موقع الوب الخاص بك، فهو لم يعد موقعك بعد اليوم. لأن الهاكرز الذي يستطيع تصنيع برامج أو تعديل شيفرة في موقع الوب الخاص بك، يمكنه أن يسيطر على موقع الوب بالكامل. وكثيراً ما تمّ اختراق مواقع كبيرة وشهيرة بسبب وصول أحد العاملين غير الموثوق بهم إلى الموقع.
5- تذكّر أن كلمات المرور الضعيفة التي تستعملها في حسابك في البريد أو الموقع أو الجهاز، ستكسر أي أمان قوي موجود لدى جهازك. فحتى لو كان تصميم الشبكة آمناً بشكل تام، فإن استعمال المستخدمين والمسؤولين لكلمات مرور فارغة أو افتراضية أو بسيطة بطريقة أخرى، سيصبح الأمان غير فعّال حالما يكسر أو يكتشف المهاجم كلمة المرور.
موضوع: القوانين الـ10 الثابتة لأمان أجهزة الكومبيوتر 
الإثنين 6 ديسمبر - 0:03
