مفاهيم اساسيه

قبل الشروع في قراءه الكتاب، اود ان اتفق مع القارئ الكريم على بضعه مصطلحات، حتى يسهل علي كتابه الكتاب، وايضا يسهل على القارئ متابعتي دون تشوش في المصطلحات:

  • TCP/IP

هي  حزمه من بروتوكولات الاتصال تستخدم من قبل شبكه الانترنت واشباهها، وقد سميت بهذا الاسم لاحتوائها على اهم حزمتين من البروتوكولات – وان كانت تحتوي على العديد من الحزم الاخرى – وهما بروتوكول النقل – Transmission Control Protocol – وبروتوكول الانترنت – Internet Protocol – وهناك اربع طبقات يعمل من خلالها البروتوكول، طبقه الربط – Link – و طبقه الانترنت – Internet – وطبقه النقل – Transport – واخيرا طبقه التطبيق – Application. تم بدء العمل في بروتوكول TCP/IP في الستينات و السبعينات من القرن العشرين وحتى وصوله الى الصوره التي نعرفها الان، وفي هذا الكتاب، فان جل اهتمامنا منصب على ما يحدث في الطبقه الاخيره من هذا البروتوكول، وهي طبقه التطبيقات

  • الويب، الشبكه العنكبوتيه (World Wide Web)

هو نظام مترابط من وثائق النص الفائق يتم الوصول لها من خلال الانترنت، يعتمد الويب على حزمه بروتوكول TCP/IP ويقوم بشحن المعلومات الخاصه بتصفح وثائق النص الفائق المختلفه من خلال طبقه التطبيقات. تم انشاء الويب من خلال معهد CERN في جنيف السويسريه، وقد ظهرت الحاجه الى وسيله يتم من خلالها تبادل المعلومات – كالنصوص والصور – عبر الاقسام البحثيه المختلفه، وحتى يتسنى للعلماء والباحثين الاطلاع على ابحاث زملائهم

  • متصفح الويب (Web Browser)

هو ذلك البرنامج المخصص لاستعراض المعلومات – نصوص، صور، فيديو، وغيرها – من خلال نظم الويب. من اشهر متصفحات الويب: Microsoft Internet Explorer، Mozilla Firefox، Google Chrome، Opera، وهناك ايضا متصفحات غير مشهوره تقوم بتصفح النصوص فقط، مثل المتصفح Lynx

  • بروتوكول نقل النص الفائق (Hyper Text Transfer Protocol)

هو ذلك البروتوكول الذي يقوم باتباعه كل من خادم الويب ومتصفح الويب لارسال واستقبال وعرض وثائق النص الفائق – المكتوبه بلغه HTML (Hyper Text Markup Language) – فعلى سبيل المثال، عندما تكتب في عنوان المتصفح www.google.com يقوم المتصفح – بالنيابه عنك – بانشاء اوامر وارسالها الى خادم الويب الخاص بـجوجل، وعندما يتسلم خادم الويب الخاص بجوجل هذه الاوامر، يتم الاستجابه لها وفق التوصيفات المحدده، ويبدأ بارسال المعلومات – نصوص، صور، الخ – الى متصفح الويب، ويقوم متصفح الويب بعرض تلك المعلومات للمستخدم

  • الحلويات (Cookies)

هي تلك المعلومات النصيه التي يتم تخزينها بمعرفه متصفح الويب عندما يطلب خادم الويب انشاءها، وقد تكون الحلويات مجرد معلومات في ذاكره المتصفح، او قد يتم تخزينها على هيئه ملفات نصيه على القرص الصلب الخاص بالمستخدم

  • خادم الويب (Web Server)

عندما نطلق كلمه خادم – دون تقييدها – فانها قد تدل على الاجهزه (Hardware) او على البرنامج (Software) او على كليهما، مع اعتبار انه لا يوجد جهاز خادم دون ان يحتوي على برنامج يخدم. وخادم الويب هو ذلك البرنامج – سواءا كان يعمل على جهاز تم تحديد دوره ليقوم فقط بتوظيف كل مصادره لتلبيه البرنامج، او كان يعمل على جهاز يشترك فيه خادم الويب مع خوادم اخرى كخادم قواعد البيانات في مصادر ذلك الجهاز. يقوم خادم الويب بتلبيه طلبات عملاء الموقع المستضاف، فعندما يطلب احد العملاء مثلا ملف الاتصال – contactus.html – يقوم خادم الويب بالبحث في مجلد الموقع المطلوب عن ذلك الملف، ثم يقوم بارساله الى العميل، ليقوم متصفح الويب الخاص بالعميل استعراضه واظهار ما به من نصوص وصور وخلافه. ومن الممكن ان يقوم خادم الويب باستضافه اكثر من موقع على نفس الجهاز، ويقوم بتحديد الموقع المطلوب بناءا على الموقع الذي يطلبه العميل. والمنفذ الفطري والمتعارف عليه الذي ينصت له خادم الويب هو المنفذ رقم 80

  • تطبيقات الويب (Web Application)

هي تلك البرامج التي يكتبها مطور الويب والتي يستضيفها خادم الويب ويقوم بتنفيذها بناءا على التعليمات الوارده فيها عندما يقوم متصفح الويب بطلبها – نيابه عن العميل، تاتي تطبيقات الويب بلغات كثيره، فمن PHP، Perl، Ruby، Python، ASP.Net، ASP، Java، او حتى C او C++، وطالما ان مطور التطبيقات يلزم تطبيقاته بتنفيذ بروتوكون نقل النص الفائق، فيمكنه كتابه تلك التطبيقات بما يحلو له من لغات البرمجه

  • خادم التطبيقات (Application Server)

هو خادم يعمل من خلال خادم الويب ليقوم بتنفيذ التعليمات الوارده في تطبيقات الويب، فعندما يتسلم خادم الويب طلبا لتطبيق مكتوب بلغه Perl، فانه يقوم بتحويله الى خادم التطبيقات ليقوم بتنفيذ التعليمات الوارده، وعندما يتسلم خادم الويب طلبا لتطبيق مكتوب بلغه ASP.Net، فانه يقوم بتحويله الى خادم التطبيقات ليقوم بتنفيذ التعليمات الوارده في التطبيق، وهكذا مع PHP و Java وغيرها من لغات البرمجه

  • بروتوكول طبقه التشفير (Secure Socket Layer Protocol) ([1])

يسهل بروتوكول طبقه التشفير التواصل بين تطبيقات العميل/الخادم (Client/Server) عبر الشبكه بطريقه تمنع اي طرف اخر من الاطلاع او العبث بالمعلومات المتدفقه بين العميل والخادم. خلال عمليه الاتصال بين العميل والخادم، يتم التفاوض (Negotiate) حول عده اشياء، كالتالي:

  • يقوم العميل – متصفح الويب مثلا – بارسال قائمه بحزم التشفير التي يدعمها، ويقوم الخادم باختيار افضل تلك الحزم – من حيث قوه التشفير المطلوبه – ويرسل قائمه بذلك الى العميل
  • يرسل الخادم مع القائمه السابقه الشهاده الرقميه الخاصه به، تحتوي تلك الشهاده على عده معلومات، مثل  المفتاح العام الخاص بالخادم الذي سوف يستخدمه العميل لتشفير الاتصال بحيث لايتم فك التشفير الا باستخدام المفتاح السري الخاص بذلك الخادم. وايضا شهاده السلطه الموثوق بها (Trusted Certificate Authority)، وهي الجهه التي وقعت على تلك الشهاده الرقميه
  • يمكن للعميل الاتصال بالجهه التي اصدرت تلك الشهاده، وهي السلطه الموثوق بها، للاستعلام عن صلاحيه الشهاده الرقميه، وذلك قبل ان يقرر المتابعه ام لا
  • من اجل توليد مفتاح الجلسه (Session Key) الذي سوف يستخدم في التشفير، يقوم العميل بانتاج ارقام عشوائيه ثم يقوم بتشفيرها مستخدما المفتاح العام الخاص بالخادم، ويقوم بارسالها اليه، وعن طريق المفتاح السري الخاص بالخادم، يمكنه الاطلاع على تلك الارقام العشوائيه
  • من خلال تلك الارقام العشوائيه، يبدأ الطرفان في تشفير وفك تشفير قناه الاتصال، مما يحقق الهدف المرجو، وهو عدم قدره اي طرف اخر على الاطلاع او العبث بالمعلومات المتدفقه بين الطرفين

يتم انشاء مفتاح للجلسه باستخدام الارقام العشوائيه لسبب مهم، وهو ان يكون الشفره النهائيه للمعلومات المشفره غير متكرره عبر عده جلسات حتى لو تطابقت المعلومات التي يتم تشفيرها، مما يصعب من محاوله فك الشفره. بقي ان تعرف ان الاتصال المشفر من الممكن استخدامه في العديد من تطبيقات وبروتوكولات الانترنت، مثل بروتوكول نقل النص الفائق، والنقل الآمن للملفات (File Transfer Protocol)، البريد الالكتروني (Post Office Protocol)، وغيرها

  • بروتوكول نقل النص الفائق المؤمن (Hyper Text Transfer Protocol Secure/over SSL)

هو مزيج من بروتوكول نقل النص الفائق وبروتوكول طبقه التشفير يقدم خدمه تامين نقل البيانات وتشفيرها من متصفح الويب الى خادم الويب والعكس

  • خوارزم (Algorithm)

اصل كلمه Algorithm تعود الى العالم العربي الشهير محمد بن موسى الخوارزمي (المولود في خوارزم التابعه الان لاوزبكستان)، وهو اول من وضع حلا ممنهجا لمشكلات الجبر الرياضيه، ثم نحت الغرب الكلمه المتداوله الان من اسمه العربي. الخوارزم هي عمليه ايجاد حل ممنهج للمشاكل، وهي لا غنى عنها لاي مبرمج، وانه من العجيب ان نستخدم نحن العرب الكلمه المنحوته من اللغه العربيه، بينما نترك الكلمه العربيه الاصليه([2])

  • التشفير (Encryption)

التشفير هو اجراء عمليه تحويل المعلومات (النص الواضح – plain text) ([3]) باستخدام خوارزميه معينه (شفره – cipher) لتصبح غير مقروئه لاي طرف سوى ذلك الطرف الذي يمتلك معرفه خاصه، المفتاح (key)، وهناك نوعين اساسيين من التشفير، التشفير المتماثل (Symmetric Encryption)، والتشفير الغير متماثل (Asymmetric Encryption)

  • التشفير المتماثل

هو ذلك النوع من التشفير الذي يتم فيه استخدام نفس المفتاح (ككلمه السر مثلا) في تشفير المعلومات وايضا في فك شفره المعلومات، على سبيل المثال، عندما تطلب من معالج الكلمات (MS Word) ان يقوم بحماية الوثيقه باستخدام كلمه السر، فانه يطالبك بادخال كلمه السر، ثم يقوم بتشفير الوثيقه مستخدما كلمه السر التي قمت بادخالها، وعندما تريد – في وقت لاحق – ان تقوم بفتح تلك الوثيقه، يطالبك البرنامج بادخال كلمه السر، واذا قمت بادخال كلمه السر الصحيحه، فانه يقوم باستخدام كلمه السر في فك الشفره لتحصل في النهايه على الوثيقه الاصليه

  • التشفير الغير متماثل

هو النوع الاخر من التشفير، وفيه يتم استخدام زوج من المفاتيح، مفتاح سري (Private Key)، ومفتاح عام (Public Key)، المفتاح العام يتم استخدامه للتشفير، والمفتاح السري يتم استخدامه لفك التشفير.  على سبيل المثال، اذا اردت ان تقوم بارسال بريد الكتروني الى شخص ما بحيث لا يستطيع اي شخص سوى المستلم فقط معرفه ما في الرساله، حتى لو تم اعتراضها – عن طريق اي وسيط ما، كمقدم خدمه الانترنت الذي تقوم بالاتصال بالانترنت من خلاله، او هاكر قام بتقنيه هجوم الرجل الوسيط عليك، وقام باعتراض كافه الحزم الصادره والوارده من والى جهازك – فان الحل الامثل لذلك هو ان تقوم باستيراد المفتاح العام الخاص بالمستلم، ثم تقوم باستخدام المفتاح العام الخاص بالمستلم لتشفير الرساله، ثم تقوم بارسال الناتج – الشفره – الى المستلم، والان اذا افترضنا ان احد المعترضين – سواءا كان مقدم خدمه الانترنت الخاص بك او احد الهاكرز مثلا – قد استطاع اعتراض الاتصال والحصول على نسخه كامله من الرساله، فان الرساله لن تكون مقروئه ابدا، وبما انه لا يمتلك المفتاح السري الخاص بالمستلم، فانه لن يستطيع فك شفره الرساله، وعندما يستلم صديقك الرساله، فانه يقوم بفك شفرتها مستخدما المفتاح السري الخاص به، عندها، وعندها فقط، تظهر محتويات الرساله تماما كما قمت بتكتابتها. لهذا يتحتم على كل الافراد الذي يستخدمون تقنيه التشفير الغير متماثل ان يحتفظوا بالمفتاح السري الخاص بهم في مكان امن، فانه لو انتقل الى طرف اخر، فان كل المعلومات التي تم تشفيرها بالمفتاح العام المرافق لهذا المفتاح الخاص،سوف تكون متاحه تماما لذلك الطرف الاخر

  • فرم([4])، هاش (Hashing)

هي سلسله من الاجراءات او المهام (Function) الرياضيه لتحويل بيانات ذات احجام متباينه الى رقم – يكون في العاده رقما كاملا (Integer) – محدود الخانات، يطلق على القيم الناتجه من هذه العمليه عده اسماء، منها قيمه الفرم (Hash Value)، مجموع الفرم (Hash sums)، او checksum. يتم استخدام عمليه الفرم في التاكد من تكامل البيانات (Data Integrity)، على سبيل المثال، اذا قمت بتنزيل احد البرامج من احد المواقع، وقام الموقع بترك قيمه الفرم لذلك البرنامج، فانه من الافضل ان تقوم بعمله باستخراج قيمه الفرم لذلك البرنامج – بعد تنزيله – لتتأكد ان القيمه الناتجه عندك هي نفس القيمه الموجوده في الموقع، وبالتالي يمكنك الاعتماد على انه لم يتم التلاعب بهذا البرنامج – اضافه او نقصانا او تعديلا، من قبل الهاكرز مثلا. تعد MD5 احد اشهر الوظائف في هذا المضمار، وهي تقوم باصدار 32 رقم سداسي عشر – Hexadecimal Digit – ليمثلوا قيمه الفرم الخاصه بملف، صوره، برنامج، او حتى مجرد نص ما. وهي احدى الوسائل المتبعه للتأكد من ان كلمه السر الخاصه بمستخدم ما صحيحه دون التخزين المسبق لكلمه السر اصلا

  • الشهاده الرقميه، شهاده المفتاح العام، شهاده الهويه (Digital Certificate، Public Key Certificate، Identity Certificate)

هي وثيقه الكترونيه تستخدم التوقيع الالكتروني لتقوم بربط المفتاح العام بهويه محدد، قد تكون تلك الهويه تشير الى شخص، موقع، منظمه او ماشابه. تستخدم الوثيقه للتاكد من ان المفتاح العام مرتبط بتلك الهويه. تقوم جهه ما بالتوقيع الالكتروني على تلك الوثيقه، ومن هذه الجهات هي سلطه الشهاده (Certificate Authority)، وهي الجهه التي تقوم بالتوقيع الالكتروني على الشهاده الرقميه لاضفاء الثقه على الشهاده الرقميه، ومن المعلومات التي تحتويها الشهاده الرقميه (الشكل 3):

  • الرقم المسلسل (Serial Number)
  • الموضوع (Subject)
  • صادره لـ (Issued To)
  • صادره عن (Issued By) وهي الجهه التي وقعت الشهاده
  • خوارزم التوقيع (Signature Algorithm)
  • صالحه من (Valid-From)
  • صالحه الى (Valid-To)
  • المفتاح العام (Public Key) هو الشفره الذي سوف يستخدمها العميل لتشفير قناه الاتصال بينه وبين الجهه صاحبه الشهاده الرقميه، بينما تقوم الجهه صاحبه الشهاده الرقميه، باستخدام المفتاح السري لفك شفره قناه الاتصال

الشكل  3 الشهاده الرقميه الخاصه ببريد جوجل

  • سلطه الشهاده (Certificate Authority)

هي السلطه التي تقوم بالتوقيع الالكتروني على الشهاده الرقميه لتكون تلك الشهاده صالحه للاستخدام في النطاق المعني، على سبيل المثال، اذا كنت تعمل في شركه، وقام مدير النظام (System Administrator) بانشاء نظام متبع يحتم على كل موظف ان يستخدم شهاده رقميه موقعه من سلطه الشهاده الخاصه بالشركه وذلك بغيه استخدام خادم الرسائل الالكترونيه، فانه يستحيل على الموظف ان يقوم بانشاء شهاده رقميه خاصه به ويقوم بتوقيعها بنفسه (او عن طريق طرف اخر) بغيه ان يقوم باستخدام تلك الشهاده لتعريف نفسه لدى خادم الرسائل الالكترونيه ومن ثم الولوج الى الخادم، وذلك لأن خادم الرسائل الالكترونيه سوف يقوم بالاتصال بخادم سلطه الشهاده ليستعلم منه عن اصليه الشهاده، وبما ان سلطه الشهاده لم توقع على الشهاده الرقميه التي قام الموظف بانشائها بنفسه، فانها سترد بان الشهاده الرقميه غير صالحه، وسوف يرفض خادم الرسائل الالكترونيه اتمام الاتصال بذلك الموظف

  • الشهاده الجذر (Root Certificate)

هي تلك الشهاده الرقميه التي تخص جهه ما وتم توقيعها عن طريق نفس تلك الجهه، اي ان جهه الاصدار هي نفسها جهه التوقيع، ويتم تحميل كل متصفحات الويب بالشهادات الجذر، وذلك لتسهل على المستخدم تصفح مواقع الانترنت المختلفه التي تم توقيع الشهادات الرقميه عن طريق الجهات المالكه للشهادات الجذر، دون ان تظهر رساله تحذير للمستخدم تخبره ان الشهاده الرقميه الخاصه بالموقع الذي يتصفحه الان ليست موقعه من جهه معروفه، لذلك يتم شحن متصفحات الويب بكل شهادات الجذر الخاصه بالجهات التي تقوم بالتوقيع الالكتروني على الشهادات الرقميه لباقي الجهات([5])

  • Sniffer (الترجمه الحرفيه لـ sniff هي شم!)

برنامج يقوم بعرض كافه المعلومات بالتفصيل عن كل الحزم الصادره والوارده من الجهاز عبر بطاقه الشبكه. يمكنك ان تستفيد من مثل هذا البرنامج باكثر من طريقه، فاذا كان فضولك يقتلك لمعرفه كافه المعلومات الخاصه بالحزم الذي يرسلها ويستقبلها جهازك لموقع مايكروسوفت، او اذا كنت تود فحص برنامج ما يقوم بالاتصال بالشبكه بطريقه مريبه، او اذا كنت تود الحصول على فهم اعمق لحزمه الـ TCP/IP، فان هذا البرنامج هو صديقك، وهناك عده برامج تؤدي نفس الغرض، منها Wireshark، وهذا البرنامج يدعم كل من نظام النوافذ واللينوكس

  • خادم وسيط (Proxy Server)

هو الخادم الذي يتلقى طلبات العملاء – عن طريق متصفح الويب مثلا – ثم يقوم باعاده طلبها بالنيابه عن العميل، وعندما يقوم الخادم باجابه الطلب، يقوم الوسيط بارسالها  الى العميل، فهو يضع نفسه بين الخادم والعميل، وبالتالي فان كافه المعلومات الذاهبه من والى الخادم او العميل تمر من خلاله. هناك عده استخدامات للخادم الوسيط:

  • اخفاء هويه العملاء الذي يقوم بخدمتهم
  • الاستفاده من الـنقد (Cash)، فعندما يتم استخدام الوسيط عن طريق عدد كبير من العملاء، فان هناك فرص كبيره لتوفير عناء احضار المكونات طازجه من الانترنت، فمن الوارد ان يقوم احد العملاء سابقا بطلب ذلك المكون، وبالتالي عندما يقوم احد العملاء لاحقا بطلب نفس المكون، يقوم الوسيط بارسال نسخه محفوظه من ذلك المكون الذي قام باحضاره سابقا، وبالتالي يتم توفير مصادر الشبكه وتسريع عمليه استعراض متصفح الويب
  • التحكم بالمواقع المسموح بالدخول اليها
  • متابعه حركه عملاء الوسيط، مما يسهل الاداره والمراقبه (والمحاسبه ايضا!)
  • بروتوكول التعرف على العنوان (Address Resolution Protocol)

هو ذلك البروتوكول المعني بتحويل عنوان التحكم بالوصول (Media Access Control Address) الى عنوان انترنت، يستخدم ذلك البروتوكول في الشبكه الداخليه فقط (Local Area Network) لتحديد من هو الجهاز ذو عنوان الانترنت الفلاني، حتى يتسنى لجهاز التوجيه (Router/Switch) ارسال الحزم الخاصه بجهاز ما الى ذلك الجهاز دون حصول لبس مع جهاز اخر على نفس الشبكه الداخليه

  • هجوم الرجل الوسيط (Man In The Middle Attack)

تجنب الدخول على مواقع مهمه من شبكات عامه – كشبكات الانترنت اللاسلكيه المنتشره في المطارات والمطاعم والجامعات ومولات التسوق – قدر الامكان، واذا كنت لابد فاعلا، فكن حذرا جدا، فمن الممكن ان يكون هناك هاكر على هيئه شاب رقيع يقوم بتشغيل برنامج مثل Ettercap مستغلا عيبا امنيا شهيرا في بروتوكول ARP، ثم يقوم ذلك الهاكر مستخدما ذلك البرنامج بفبركه الشهادات الرقميه الخاصه بالموقع الذي تود الدخول اليه، وسوف يقوم متصفح الويب بتحذيرك قائلا ان الشهاده غير موثوق بها، فاذا ظهرت لك تلك الرساله، فلا تقم ابدا باستكمال الدخول الى الموقع، لانه فور ارسال اسم المستخدم وكلمه السر خاصتك الى ذلك الموقع، سيقوم Ettercap بفك شفره الاتصال واظهارها لذلك الشاب، والعمليه …

  • الرقعه الامنيه (Security Patch)

الرقعه الامنيه هي عباره عن محاوله استبدال برنامج او مكتبه (Library) معيبه امنيا باخرى اكثر امانا، فعندما يتم الكشف عن عيب امني ما – وليكن في نظام تشغيل النوافذ مثلا – يتم استبدال البرنامج او المكتبه – قد تكون هنا Dynamic Link Library  - باخرى لا تحتوي على ذلك العيب الامني، لذا فان الف باء التامين هو ترقيع نظام التشغيل والبرامج – سواءا كانت خادم الويب، خادم قاعده البيانات، جدار النار، متصفح الويب، او حتى مشغل ملفات الفيديو -   دوريا، فما اسهل ان يتم اختراق نظام غير مرقع، فعندما يكتشف احدهم ثغره ما – ولتكن على سبيل المثال Buffer Overflow او تجاوز سعه المخزن المؤقت – فان حمى مهاجمه كل الاجهزه المصابه تنتشر كالنار في الهشيم، ويبدأ تساقط الاجهزه – سواءا كانت خوادم او حتى اجهزه شخصيه – جهازا تلو الاخر، ولسوء حظ مطور المواقع – والمبرمج عموما، فانه لا توجد رقعه تساعده في تغطيه العيوب الامنيه لتطبيقاته

  • استغلال اليوم صفر (Zero-Day Exploit)

هو عمليه الهجوم واستغلال الضعف الامني دون ان يقدم البائع – vendor، مثل Microsoft او غيرها من الشركات المطوره للبرامج او نظم التشغيل – رقعه لذلك الضعف. فعندما يتم اكتشاف ثغره جديده – اي لا يعلم البائع شيئا عنها او انه قد علم ولكنه لم ينته بعد من عمل الرقعه – فان مستخدمي ذلك البرنامج المعيب – سواءا كان نظام تشغيل او خادم ويب او ماشابه – يقعون في حيص بيص، وهناك سيناريوهات واقعيه وحقيقيه جدا لهاكرز قاموا باكتشاف عيوب في انظمه شعبيه جدا بينما لم يعلم البائع او انه قد علم ولكن عمليه الاصلاح سوف تاخذ وقتا قبل ان يتم اصدار رقعه لذلك العيب، وهنا يتحول الامر الى كابوس حقيقي للمسؤولين عن الاجهزه – سواءا كانت خوادم او حتى مجرد اجهزه شخصيه – وعلى كل حال، فان الواقع المعاش يقول ان عدد الاختراقات الناجحه ضد الاهداف الغير مرقعه والتي تم اصدار رقع امنيه لها دون ان يقوم المسؤولين بتثبت تلك الرقع هو اكبر بكثير من عدد الاختراقات الناجحه ضد اهداف لا يعلم اصحابها او البائعين لها بوجود عيوب امنيه فيها، خلاصه القول، هناك رقع امنيه، وليس هناك رقع للغباء! ([6])

([1]) تم تطوير امان طبقه النقل (Transport Layer Security) لتحل محل طبقه التشفير، الا ان المفاهيم الاساسيه واحده

([2]) لست من هواه البكاء على الاطلال، ولكن اذا اردنا نحن العرب ان تسود لغتنا العربيه كما كانت سائده في الماضي، فان علينا ان نرتقي بالمحتوى العلمي العربي يدا بيد مع الارتقاء بالثقل السياسي لنا كعرب – ثقل اي دوله سياسيا هو مجموع قوتها الاقتصاديه والعسكريه وثقلها السكاني وموقعها الجغرافي و و الخ – ، وهنا، وهنا فقط، سوف يضطر غير العرب الى تعلم العربيه – تماما كما يضطر اي طالب علم غير انجليزي الى تعلم اللغه الانجليزيه الان ان اراد تطوير علمه والاطلاع على المحتوى العلمي الغزير جدا الصادر عن والمكتوب بـالانجليزيه – للاستفاده من المحتوى العلمي العربي، ومثل هذه العمليه لن تحل فقط بتعريب المحتوى العلمي الغربي – كما فعلت احدى كليات الطب في احدى جامعات سوريا، حيث قامت بتعريب كل المصطلحات الطبيه الانجليزيه للعربيه، لتصبح البروستاتا العثنه!، قل لي ماذا سوف يفعل الطبيب عندما تصدر نشره علميه طبيه تخص فتحا جديدا في كيفيه القضاء على سرطان البروستاتا، هل بالله عليك سيستطيع قراءه ذلك البحث؟ اعتقد انه سؤال مشروع – ولكنها تحل بالارتقاء على كافه الاصعده – سياسيا وعلميا واقتصاديا وعسكريا وغيره – واعتذر للقارئ الكريم على الاستطراد في موضوع فرعي

([3]) هذا هو الاساس، لكن يمكنك طبعا اجراء نفس العمليه على الصور، والوثائق، والافلام، والبرامج، وكافه انواع الملفات دون التقيد بسعه محدده، بل يمكنك ان تجري تلك العمليه على قرص صلب كامل اذا اردت. وهناك برامج تسهل تلك العمليه على المستخدم العادي، مثل برنامج PGP – Pretty Good Privacy – الذي طوره فيليب زيمرمان خصيصا لتشفير رسائل البريد الالكتروني، وقد وجهت امريكا تهمه ضد فيليب بعدما قام بتطوير ذلك البرنامج ونشره مجانا عبر الانترنت من خلال مجموعات USENET، حيث اتهمته بانتهاك قوانين التصدير الامريكيه بافشاء اسرار مدرجه تحت بند الاسرار النوويه!!! وظل فيليب رهن التحريات الجنائيه مده 3 سنوات، حتى اغلق مكتب المدعي الامريكي التحريات الجنائيه واسقط التهمه عام 1996، وهناك نسخه تجاريه من PGP تقدم تسهيلات كثيره للمستخدم، منها عمليه تشفير الوسائط، مثل القرص الصلب وخلافه.

([4]) من الامثله المشهوره التي يتم ضربها لشرح عمليه الـ Hash هو مثال اللحم المفروم، فعندما تضع بعض اللحم البقري في المفرمه، فان ناتج الفرم هو لحم بقري مفروم، وعندما تضح لحم دجاج في المفرمه، فان ناتج الفرم هو لحم دجاج مفروم، وهذا المثال يوضح الركيزتين التي بني عليهما مفهوم الـ Hash، الركيزه الاولى انك تستطيع دوما معرفه اصل الشيء الذي تم فرمه من النظر الى الناتج المفروم، فان اللحم البقري المفروم يعني بالتاكيد ان الذي تم وضعه في المفرمه هو لحم بقري، الركيزه الثانيه، انه يستحيل اعاده ناتج الفرم – اللحم البقري المفروم – الى اصله ليصبح قطعه كبيره كما كان قبل دخوله المفرمه. لذا فان عمليه الفرم هي عمليه مهمه من المنظور الامني، فهي تقدم تشفير ذو اتجاه واحد (One Way Encryption) وبالتالي فانه يمكنك التاكد من اصليه وتكامل المعلومات دون الحاجه الى معرفه محتواها

([5]) لعل السؤال الذي يفرض نفسه الان هو لماذا؟ لماذا يتحتم على موقع ما ان يقوم بالحصول على التوقيع الالكتروني من جهه اخرى؟ والاجابه باختصار هي الثقه. لنفرض انك قمت ببناء موقع جميل يقوم ببيع الكتب – مثلا – وانك تود ان تقدم للعميل خدمه الدفع الالكتروني، وانك قمت باصدار شهاده رقميه وقمت بتوقيعها بنفسك، من وجهه النظر الفنيه لا مشاكل البته، فاذا كان عملاء الموقع يعرفونك جيدا فانهم سوف يحددون اذا ما كنت اهلا للثقه ام لا، وعندها سوف يقررون ان يستكملوا الاجراءات ام الفرار من الموقع، ولكن من وجهه النظر العمليه فانه من الصعب الحصول على ثقه العميل – خاصه لحظه الدفع الالكتروني – عندما يرى ان متصفح الويب قام بتحذيره ان الموقع الفلاني لم يقم بالتوقيع الالكتروني من جهه معتمده، سوف تجد بعض العملاء لا يهتمون اصلا – ان كانوا يفهمون الرساله من الاساس! – برساله التحذير تلك ويقوموا باستكمال الاجراءات، ولكن الكثير من العملاء المتشككين – خاصه المتابعين لاخبار النصب الالكتروني – سوف يحجمون. لذا فلكي تحصل على ثقه العملاء عليك ان تقوم بتوقيع الشهاده الرقميه من جهه معتمده، وسوف تطالبك تلك الجهه بالعديد من المعلومات والوثائق والاجراءات للتاكد من انك صاحب الموقع وان الموقع لا يقوم بالنصب والاحتيال. فالمسأله اولا واخيرا ليست مسأله فنيه من نوع ممكن او غير ممكن، فالاجابه – فنيا – ممكن، ولكن السؤال من الناحيه العمليه هو موثوق به ام غير موثوق به

([6]) احيلك – عزيزي القارئ – الى موقع zone-h (www.zone-h.org)، يقوم الهاكرز باعلام ذلك الموقع بانهم سوف يخترقون الهدف الفلاني، ويقوم zone-h بمداومه التردد على الهدف لياخذ لقطه للهدف بعد اختراقه، وعندما تستعرض ارشيف الموقع، ستتعجب من عدد الانظمه المخترقه (والتي قام zone-h بتسجيلها، فما بالك بالاختراقات الغير معلومه!) – وصلت الى حوالي مليون ونصف في عام 2010! – مع ان اكثر من 90 بالمئه من تلك الثغرات تم اصدار رقع امنيه لها!، واذا استثنينا تطبيقات الويب المعيبه امنيا من هذه النتيجه، فسوف ترتفع النسبه السابقه الى اكثر من 95 بالمئه!؟

اترك رد

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / تغيير )

Twitter picture

You are commenting using your Twitter account. Log Out / تغيير )

Facebook photo

You are commenting using your Facebook account. Log Out / تغيير )

إلغاء

Connecting to %s