الوحدة الرابعة
أمن المعلومات والتشفير
Information Security and Crypotography
الفصل الأول :
ثانياً : الهندسة الاجتماعية
من أهم مكونات النظام : العنصر البشري
يجب الاهتمام بالعنصر البشري في أي نظام للحفاظ على أمن المعلومات
من الأمور التي يعتمد عليها اختيار الكادر البشري المسؤول عن حماية الأنظمة :
الكفاية العلمية و اختبارات شفوية وورقية و مقابلات واخضاع الكادر البشري لضغوط نفسية حسب موقعهم
الهندسة الاجتماعية تعني :
كافة الوسائل والأساليب التي يستخدمها المعتدي الالكتروني لجعل مستخدم الحاسوب يعطي معلومات سرية
أو ما يقوم به المعتدي الالكتروني من أعمال تسهّل عليه الوصول لأجهزة الحاسوب أو المعلومات المخزنة فيها
تعد الهندسة الاجتماعية من أنجح الوسائل وأسهلها للحصول على المعلومات غير المصرح بالاطلاع عليها بسبب
1- قلة اهتمام المتخصصين في مجال أمن المعلومات
2 - عدم وعي مستخدمي الحاسوب بالمخاطر المترتبة عليها
من مجالات الهندسة الاجتماعية :
1- البيئة المحيطة 2- الجانب النفسي
البيئة المحيطة و تتضمن :
- مكان العمل : كتابة كلمات المرور بجانب الحاسوب والتي تمكن من الأشخاص الغير مخولين من الدخول للنظام بسهولة ليحصل على المعلومات التي يريدها
- الهاتف :عند الاتصال بمراكز الدعم واستدراجهم للحصول على كلمات المرور وغيرها من المعلومات لاستخدامها فيما بعد من الأشخاص غير المخولين لذلك
- النفايات الورقية :عند جمع النفايات في مراكز العمل التي قد تحوي كلمات المرور و معلومات تخص الموظفين وأرقام هواتفهم وبياناتهم الشخصية أو تقويم العام السابق وكل ما تحويه من معلومات لاستغلالها في تتبع الموظفين والحصول على المعلومات المرغوبة
- الإنترنت : من أكثر الوسائل شيوعا في البيئة المحيطة
لأن الموظفين أو مستخدمي الحاسوب عادة يستخدمون كلمة المرور نفسها للتطبيقات جميعها
حيث يقوم المعتدي الالكتروني بـــالخطوات الآتية للحصول على كلمات المرور
- انشاء موقع الكتروني من قبل المعتدي الالكتروني
- التسجيل في الموقع الالكتروني باستخدام اسم المستخدم و كلمة المرور التي يستخدمها الشخص عادة
- يتمكن المعتدي الالكتروني من الحصول على المعلومات الي يريدها
الجانب النفسي في الهندسة الاجتماعية
هي كسب ثقة مستخدم الحاسوب للحصول على المعلومات التي يريدها المعتدي الالكتروني
من أشهر الأساليب المستخدمة بالجانب النفسي ضمن الهندسة الاجتماعية :
1- الاقناع :حيث يستطيع المعتدي اقناع الموظف أو مستخدم الحاسوب بتقديم الحجج والبراهين أو باستخدام طريقة غير مباشرة مثل الايحاءات النفسية المتعمدة لحث المستخدم من قبول المبررات دون تفكير أو تحليل لحث المستخدم من قبول المبررات دون تفكير أو تحليل حيث يظهر المعتدي الالكتروني نفسه بمظهر صاحب السلطة أو إغراء المستخدم بامتلاك خدمة نادرة أو يقدم عرض للمستخدم من خلال الموقع الالكتروني لفترة محددة لتمكنه من الحصول على كلمة المرور ويمكن أيضا إبراز أوجه التشابه مع الشخص المستهدف لإقناعه بأنه يحمل نفس الصفات والاهتمامات فيصبح الشخص أكثر ارتياحا وأقل حذرا للتعامل معه فيقدم له المعلومات التي يريدها
2- انتحال الشخصية والمداهنة :
هو تقمص شخصية شخص آخر ( حقيقي أو وهمي) مثل فني صيانة معدات الحاسوب أو عامل نظافة أو مدير أو سكرتير
تكون الشخصية المنتحلة ذات سلطة لذا يبدي الموظفين خدماتهم وعدم التردد بتقديم المعلومات لهذا الشخص المسؤول
3- مسايرة الركب : هو قيام الشخص بما يقومه باقي الزملاء حتى لا يبدو أن موقفه مغايرًا
ومن الأمثلة على مسايرة الركب
عندما يقدم المعتدي الإلكتروني بأنه إداري من فريق الدعم الفني ويرغب بعمل تحديثات للأجهزة فإذا سمح أحد الموظفين بعمل تحديثات سوف يسايره باقي الزملاء والسماح للمعتدي بتحديث أجهزتهم مما يمكن المعتدي الإلكتروني من الحصول على المعلومات التي يريدها والمخزنة على الأجهزة