عربي English Türkçe أردو فارسى
pdf
Logo

6 ثغرات أمنية تعاني منها الشركات

منها استخدام الهواتف الجوالة الشخصية والاتصالات بشبكة «واي فاي»

  • لندن: «الشرق الأوسط»
TT
TT
  • لندن: «الشرق الأوسط»

كان هناك اعتقاد بأن سفينة «تايتانيك» غير قابلة للغرق، لأنها شهادة على البراعة الهندسية في ذلك العصر، ولأن السفن الفاخرة لا تصطدم بالجبال الجليدية! وفي الشركات الحديثة، يوجد اعتقاد مشابه عن مثل تلك الحصانة! ولكن، في كل مؤسسة كبيرة يسير العمل فيها من دون أي حوادث مزعجة، يوجد الكثير من القصص حول حوادث اقتحام خطرة وفوضى تعقب الاتصال بالشبكات اللاسلكية بتقنية «واي - فاي»، واستخدام «بندقية قناص البلوتوث» للاستيلاء على أسرار الشركات.

وتلقي مجلة «كومبيوتر وورلد» الإلكترونية نظرة على ست ثغرات أمنية، غالبا ما توجد حتى في الشركات التي تفخر كثيرا باحتياطاتها الأمنية. وقد جرت مراجعتها لاكتشاف ما يمكن أن تفعله الشركات لمكافحة هذه الثغرات، قبل أن ترتطم سفينتها بجبل جليدي يقصم ظهرها.

* هواتف غير مرخصة 1. هواتف ذكية غير مرخصة على شبكات «واي - فاي»: تسبب الهواتف الذكية بعضا من المخاطر الكبرى على أمن الشركات، وذلك، إلى حد كبير، بسبب أن بعض الموظفين لا يمكنهم مقاومة استخدام أجهزتهم الشخصية في المكتب، حتى وإن كان أصحاب العمل لديهم سياسات راسخة تمنع استخدام مثل تلك الأجهزة.

ويقول روبرت هانسن، مؤسس شركة استشارات أمن الإنترنت (سيكثيوري): إن «الخطر يكمن في احتواء الهواتف الجوالة على خواص ثلاثية متمثلة في اتصالات (بلوتوث) و(واي - فاي) ونظام (جي إس إم) اللاسلكي (النظام العالمي للاتصالات الجوالة)». ويوضح أن الموظفين الذين يستخدمون هواتفهم الذكية الشخصية في موقع العمل «يقدمون قناة معرضة لهجمات محتملة».

إذا كنت تستخدم جهازا مثل هاتف ذكي يمتد عمله بين عدة مجالات لاسلكية، «من الممكن أن يستخدم شخص ما في مكان انتظار السيارات بندقية قناص البلوتوث التي يمكنها قراءة البلوتوث من على بعد ميل، والاتصال بهاتف ذكي، ومن ثم الاتصال بشبكة الشركة اللاسلكية». وتعد خاصية البلوتوث بوابة مفتوحة تتيح للمتسللين أن يدخلوا على شبكة «واي – فاي»، وبذلك يمكنهم الدخول إلى شبكة الشركة.

ويضيف هانسن: أنه ليس من المرجح أن تكون السياسات التي تمنع استخدام الهواتف الذكية، فعالة، حيث ينجذب الموظفون بشدة إلى استخدام أجهزتهم في العمل، حتى وإن كان ذلك ممنوعا. وبدلا من ذلك، يقترح هانسن، أن الشركات لا بد أن تسمح فقط للأجهزة المرخصة بالدخول إلى الشبكة.

ويتمثل تكتيك آخر في مراقبة الاتصال بالشبكة للتأكد من أن أي شخص يتصل بها مصرح له بذلك. وهناك أسلوب آخر: توفير هواتف ذكية قوية تجيزها الشركة تعمل على برامج شهيرة مثل «أندرويد» من «غوغل»، وبذلك تثني الموظفين عن استخدام أجهزة غير معتمدة.

* منافذ طباعة لاسلكية 2. منافذ مفتوحة على طابعة متصلة بالشبكة: تبدو طابعة المكتب جهازا آخر غير ضار، ولكنها في الحقيقة تشكل تهديدا أمنيا، على الرغم من أن معظم الشركات غافلة عن هذا الخطر. لقد أصبح من الممكن اتصال الطابعات بخدمة «واي - فاي» على مدار الأعوام القليلة الماضية، بل يتصل بعضها بخدمة الجيل الثالث وخطوط الهاتف من أجل إرسال رسائل الفاكس. وتمنع بعض النماذج الدخول إلى منافذ معينة في الطابعات، ولكن، كما يقول هانسن، إذا كان هناك 200 منفذ مغلق في الطابعات في شركة كبيرة، ربما يكون هناك ألف منفذ آخر مفتوح. ويمكن أن يخترق الهاكرز شبكات الشركة عبر تلك المنافذ. وأفضل وسيلة للتعامل مع هذه المشكلة، إيقاف جميع الخيارات اللاسلكية في الطابعات.

3. برامج شبكة مطورة خصيصا ذات شفرة سيئة: ويعيش جميع العاملين في أمن الشركات تقريبا في خوف من الثغرات التي تسببها البرامج غير الدقيقة. ومن الممكن أن يحدث ذلك عن طريق البرامج المطورة خصيصا، وهناك البرمجيات التجارية مفتوحة المصدر. ويقول هانسن إن إحدى الوسائل المنتشرة هي الاتصال ببرنامج التشغيل «xp_cmdshell» على الخادم الكومبيوتري، وهو ما قد يتركه مبرمج أو مدير نظم ليست لديه خبرة مفتوحا أمام الهجوم. ويحصل الهاكرز الذين يفعلون ذلك على اتصال كامل بقاعدة البيانات التي تمنحهم مدخلا للبيانات وبابا خلفيا سريعا للشبكات.

* خداع وقرصنة 4. خداع الشبكات الاجتماعية: من الممكن خداع مستخدمي مواقع مثل «فيس بوك» و«تويتر» للكشف عن معلومات ذات حساسية. وعادة ما يكون هذا النوع من الهجمات متقنا، ولا يمكن تعقبه بالضرورة.

ويوضح هانسن ذلك قائلا: «غالبا ما يرغب الأشخاص الذين يبحثون عن وظائف في الكشف عن معلومات شخصية». ويضيف أن أحد عملائه أخبره عن كيفية استخدام متسللين لبريد إلكتروني مزيف. لذا يجب على الشركات أن تستخدم أنظمة التحقق من البريد الإلكتروني التي تؤكد هوية المرسل. وترسل أنظمة التحقق هذه، رسالة إلكترونية كرد على العنوان الإلكتروني للتأكد من صحة بيانات المرسل. وتجرم بعض الولايات، من بينها تكساس، انتحال شخصية عبر البريد الإلكتروني.

5. تحميل الموظفين أفلاما وموسيقى غير قانونية: لا تمر شبكات النظير للنظير (P2P) مرور الكرام. ففي أي شركة كبيرة، ينتشر استخدام الموظفين لأنظمة «النظير للنظير» لتحميل برامج غير قانونية أو لإنشاء خوادمهم الخاصة لنشر البرمجيات.

يقول وين شوارتاو، الرئيس التنفيذي لشركة «سيكيوريتي أوارنس» للتدريب الأمني: إنه «يجب منع استخدام شبكات (النظير للنظير) تماما في كل الشركات وفقا لسياساتها. ويجب غلق جميع منافذ تلك الشبكات في محيط الشركة. ومن الممكن إيقاف برامج (النظير للنظير) من خلال قوائم بيضاء/ سوداء ووضع مرشحات على خوادم الشركة».

ويضيف أنه ليس من الصعب إدخال شفرة معادية في برامج «النظير للنظير»، ويمكنها أن تصبح رأس جسر داخل المؤسسة، اعتمادا على تصميم الشفرة.

* رسائل نصية 6. خداع الرسائل النصية القصيرة وعدوى البرامج الضارة: إحدى وسائل الهجوم الأخرى المحتملة هي الرسائل النصية عبر الهواتف الذكية. ومن الممكن أن يستخدم الهاكرز الرسائل النصية القصيرة للاتصال بالموظفين في محاولات مباشرة لجعلهم يكشفون عن معلومات ذات حساسية مثل أوراق اعتماد الدخول إلى الشبكة ومعلومات عن الشركة. بل يمكنهم أيضا استخدام الرسائل النصية لتثبيت برامج ضارة على الهاتف.

يقول شوارتاو: «ولإثبات مثل هذا الخطر، أوضحنا كيف يمكن لجذور خفية أن تقوم بتشغيل الميكروفون في الهاتف من دون معرفة صاحبه. ويمكن أن يرسل المتسلل رسالة نصية غير مرئية إلى الهاتف المصاب ليطلب منه إجراء مكالمة ويشغل الميكروفون». وأشار إلى أن هذا الأسلوب قد يكون مؤثرا إذا كان صاحب الهاتف، على سبيل المثال، في اجتماع وأراد الهاكرز التجسس عليه.

ويضيف أن هناك وسائل لتصفية نشاط الرسائل النصية، ولكن غالبا ما يتم ذلك من خلال الخدمة اللاسلكية، حيث إن الرسائل النصية القصيرة لا تعتمد على «آي بي»، وبذلك، في الغالب، لا يتحكم بها مديرو الشركات. وأفضل خيار لمنع مثل هذه الهجمات هو العمل مع الشركات التي تقدم الخدمة للتأكد من أنها تستخدم برامج تمنع البرامج الضارة ومرشحات رسائل، وتعيد توجيه هذا النوع من الهجمات.

ومن جديد، فإن من الممكن أن يقلل من هذا الخطر وضع سياسات استخدام الهواتف الذكية التي تشجع أو تشترط استخدام أجهزة وخطط خدمة تعتمدها أو تقدمها الشركة فقط.