تقوم الدول والشركات عادة بعمل اتفاقيات مع الشركات العالمية او المحلية لعمل فحص امني وعمل اختراق اخلاقي، بمعنى هل يمكن ان نقوم باختبار انفسنا وحماية انفسنا ضد الاختراق الخارجي؟ يقوم بهذه الاعمال متخصصين بعد توقيع اتفاقيات سرية المعلومات لخطورتها ولحساسيتها.
هذه الاختبارات تسمى penetration testing او red teaming وفي المجمل معناها اختبر نفسك ومدى حمايتك قبل ان تتعرض لاختراق فعلي من قبل المخربين.
هذه ليست المرة الأولى التي يظهر فيها احد المستشارين او الموظفين المتعاقد معهم في القطاعات الحكومية او الخاصة بعد انهاء فترة عقودهم في الدول الخليجية او العربية، المشكلة تكمن في نشر هذه النتائج على الملأ وبلا اكتراث في احد اهم مؤتمرات امن المعلومات او الاختراق حول العالم، DefCon.
قلب نظام الحكم في الكويت
اثيرت قضية مؤخراً بسبب عرض احد المستشارين السابقين (Chris Rock) في دولة الكويت في مؤتمر DefCon ليظهر انه استطاع اختراق البنية التحتية كاملة لدولة الكويت. الاختراق وصل الى شركات الاتصالات وبنوك وقطاع بنكي و القطاع النفطي ليضع فرضية امكانية قلب نظام الحكم عبر اختراق هذه المنشئات. الصورة بالأسفل توضح جزء من هذا العرض امام الألاف من الحضور والملايين بعد نشر المحاضرة كاملة على اليوتيوب.
لعل اهم اسباب مثل هذه التصرفات: عدم توقيع اتفاقيات سرية المعلومات الملزمة للمستشار او الفاحص ان يلتزم السرية وحتى ان غادر مقر عمله. كما ان اهمال امن المعلومات والبنى التحتية السبب الرئيس لوجود مثل هذا الخلل من الأساس. انشاء مراكز البحوث لأمن المعلومات وتشجيع العمل الحر وعمل الهواة في امن المعلومات والاختراق الاخلاقي، الاهتمام بامن المعلومات وتفعيله كما يجب ينمي الحس الأمني وينمي المهارات اللازمة للدفاع والهجوم إن لزم الأمر.
يظهر هؤلاء الاشخاص بعد انتهاء مهاهم وتجاوزاً للقوانين المفروضة من اتفاقيات "منع نشر المعلومات" لتوضع الدول العربية والخليجية موقع الضعف في مجال امن المعلومات بشكل علني.
اقتحام أحد البنوك في بيروت لبنان
مثال أخر على نفس التصرف من شخص آخر في عام 2015، قدم "Jayson Street" في مؤتمر DefCon في امريكا عرض عن كيف استطاع اختراق احد البنوك اللبنانية بالتفاصيل وبالصور، كما شرح كيف استطاع الدخول وخداع الموظفين حتى استطاع اختراق الشبكة عبر احد الأجهزة.
هذه الاختبارات تسمى penetration testing او red teaming وفي المجمل معناها اختبر نفسك ومدى حمايتك قبل ان تتعرض لاختراق فعلي من قبل المخربين.
هذه ليست المرة الأولى التي يظهر فيها احد المستشارين او الموظفين المتعاقد معهم في القطاعات الحكومية او الخاصة بعد انهاء فترة عقودهم في الدول الخليجية او العربية، المشكلة تكمن في نشر هذه النتائج على الملأ وبلا اكتراث في احد اهم مؤتمرات امن المعلومات او الاختراق حول العالم، DefCon.
قلب نظام الحكم في الكويت
اثيرت قضية مؤخراً بسبب عرض احد المستشارين السابقين (Chris Rock) في دولة الكويت في مؤتمر DefCon ليظهر انه استطاع اختراق البنية التحتية كاملة لدولة الكويت. الاختراق وصل الى شركات الاتصالات وبنوك وقطاع بنكي و القطاع النفطي ليضع فرضية امكانية قلب نظام الحكم عبر اختراق هذه المنشئات. الصورة بالأسفل توضح جزء من هذا العرض امام الألاف من الحضور والملايين بعد نشر المحاضرة كاملة على اليوتيوب.
لعل اهم اسباب مثل هذه التصرفات: عدم توقيع اتفاقيات سرية المعلومات الملزمة للمستشار او الفاحص ان يلتزم السرية وحتى ان غادر مقر عمله. كما ان اهمال امن المعلومات والبنى التحتية السبب الرئيس لوجود مثل هذا الخلل من الأساس. انشاء مراكز البحوث لأمن المعلومات وتشجيع العمل الحر وعمل الهواة في امن المعلومات والاختراق الاخلاقي، الاهتمام بامن المعلومات وتفعيله كما يجب ينمي الحس الأمني وينمي المهارات اللازمة للدفاع والهجوم إن لزم الأمر.
يظهر هؤلاء الاشخاص بعد انتهاء مهاهم وتجاوزاً للقوانين المفروضة من اتفاقيات "منع نشر المعلومات" لتوضع الدول العربية والخليجية موقع الضعف في مجال امن المعلومات بشكل علني.
اقتحام أحد البنوك في بيروت لبنان
مثال أخر على نفس التصرف من شخص آخر في عام 2015، قدم "Jayson Street" في مؤتمر DefCon في امريكا عرض عن كيف استطاع اختراق احد البنوك اللبنانية بالتفاصيل وبالصور، كما شرح كيف استطاع الدخول وخداع الموظفين حتى استطاع اختراق الشبكة عبر احد الأجهزة.
العرض كاملا لكيفية الاختراق والوصول عبر اليوتيوب:
https://www.youtube.com/watch?v=2vdvINDmlX8
تحديث وتعليق من جيسون سترييت على المقال "t is only mentioning the city not the company there are many many different banks in Beirut. I was just referring to the city"
تعليق آخر "to make sure there is no misunderstanding the company gave me permission to use those photos and I never mentioned them by name"
تحديث وتعليق من جيسون سترييت على المقال "t is only mentioning the city not the company there are many many different banks in Beirut. I was just referring to the city"
تعليق آخر "to make sure there is no misunderstanding the company gave me permission to use those photos and I never mentioned them by name"
المؤتمر يعقد سنويا في امريكا، ويظهر فيه عادة اهم اخبار الاختراق وطرائقها. على مختصي امن المعلومات والمخترقين الاخلاقيين، ان صح التعبير، المبادرة لحضور مثل هذه المؤتمرات والتعرف على الاساليب المختلفة وطرق الدفاع ومن ثم الهجوم وما بينمها من تحليل ورصد ومتابعه.
